搜索引擎企业隐私政策声明研究
——以百度与谷歌为例*

范慧茜，曾　真

(山东工商学院 外国语学院，山东 烟台 264005)



搜索引擎企业隐私政策声明研究
——以百度与谷歌为例*

范慧茜，曾真

(山东工商学院 外国语学院，山东 烟台 264005)

摘要：张贴隐私政策声明是网站缓解用户隐私担忧的一项重要举措。从三个主要方面对百度和谷歌(中文网站)的隐私政策声明进行对比研究，结果发现，两大网站的隐私政策声明存在不少差异，谷歌也并不必然就比百度做得好，都在某种程度上存在不规范的情况。在对比基础上找出问题的形成原因并讨论其完善机制，以期切实实现通过制定隐私政策声明履行网站保护隐私权的承诺。

关键词：网站；隐私政策声明；内容分析；百度

随着信息技术的快速发展，网站能够越来越容易地收集网络用户信息。这些信息对于网站来说具有重要的商业价值，但对于用户而言，信息在没有被告知的情况下被收集，往往会感到自己的隐私权受到了侵犯。而对于网站收集的个人信息，用户需要知道网站将如何安全地存储、使用。为降低消费者的隐私焦虑，网站往往会张贴隐私政策声明宣示其保护隐私的做法。有学者调查了2007年度的Alexa发布的全球简体中文网站排行榜前100名网站的隐私政策制定情况，结果发现大量网站没有向用户清楚显示其隐私政策，极少数网站能充分反映公平信息实施的要求，而且包裹式的契约往往偏向网站利益，有违背互惠诚信原则的嫌疑[1]。由此可见，我国国内网站的隐私政策制定情况令人堪忧。

百度作为全球最大的中文搜索引擎，是中国互联网企业的代表；谷歌是全球最大的搜索引擎，也有总部设在香港的中文搜索网页，可以作为美国互联网企业的代表。通过初步调查，发现百度和谷歌发布的隐私政策声明存在很大差别，进一步研究发现，它们各自的隐私政策声明内容的完备性、其真实意图和功能与其宣称的目标的一致性，以及隐私政策声明的实际效益等方面都值得进行分析比较。

本文拟以这两大网站的隐私政策声明为研究样本，通过内容分析来考察两网站的隐私政策，比较它们之间的异同，评析其优缺点，发现不足之处并提出改进建议，从而对网站自律保护个人隐私的建设进行进一步的思考。

一、研究方法

尝试采用内容分析法来考察百度与谷歌中文网站的隐私政策声明内容，比较它们之间的差别，从中发现各自的优点和不足之处。内容分析(content analysis)是一种主要以各种文献为研究对象的研究方法，借用自然科学研究的方法进行历史文献内容的量化分析。其旨在采用一致的标准客观考察文本信息的特征，通过归类内容为预先定义的类别将定性信息定量化[2]。内容分析的结果是文本内容的定量化表示，从本质上来说是分类化与描述性的，这些结果不仅展示了文本中存在什么，同时也显示了文本中缺乏什么[3]。

隐私政策声明是网站形象、管理方式和行为特征的外在表现，是用户判断网站是否保护和尊重个人网络隐私权的最直接的和首要的依据。一般而言，网站的隐私政策声明包括很多条款，但归纳起来其内容可分为以下三个主要方面：(1)一般情况；(2)信息收集与存储；(3)信息使用与共享。基于这三个方面，结合对网站隐私政策声明初步调查的结果，并参考已有指标体系[4]，本文将就18个问题分析两大网站的隐私政策声明内容，见表1所列。

表1　分析项目表

二、隐私政策声明内容对比

(一)一般情况

两大网站隐私政策声明的一般情况对比包括如下内容。

其一，隐私政策声明的链接和形式。百度主页没有直接显示任何与“隐私”有关的字眼，点击“使用百度前必读”，会看到“隐私权保护声明”一栏，点开后有2 246个字的“百度隐私权保护声明”。因为准备研究资料，笔者在2013年7月前看到的曾是另一个1 072个字数的版本，这一版本现在已经查不到。尽管百度隐私政策声明有这样的告知：“百度随时会对本隐私权保护声明进行修订。百度会在网页中显著的位置发布相关规定以便及时通知您”，但是对于新旧版本的衔接关系百度并没有说明。与百度的并不明显的隐私政策声明链接不同，谷歌主页右下方即有“隐私权政策和条款”，点开后有“隐私权政策”，再次点击后看到最新版本的隐私权政策，共计4 500字，网站明确标明该版本修订于2013年6月24日，另有从2005年至今的其他8个版本的存档。

其二，术语和关键词。百度与谷歌的隐私政策声明采用的都是正式的契约文本，语言比较专业，需要认真阅读才有可能读懂其含义。百度只有一项超级链接的内容，点开后会看到“隐私保护工具设置”，对浏览器cookie的作用做出了说明，并提供按钮可以选择“停用”或“启用”cookie，谷歌没有涉及此项内容，而是对专业术语和关键词如个人信息、IP地址、匿名标识符等，都用超级链接的方式进行了明确的解释。相形之下百度对专业术语没有过多的涉及，只是在最后附上关于匿名标识符和cookie的解释。

其三，责任承担。谷歌主动说明“我们会定期检查隐私权政策的遵守情况。此外，我们还遵循一些自我监管框架”。并以超级链接的方式对所加入的行业自律组织、其受约束的协议等做出详细解释，没有免责条款。另外明确说明“收到正式的书面投诉后，会与投诉人联系，以便采取进一步行动”。“与相应的监管机构(包括当地的数据保护机构)合作，以解决 Google 与用户之间无法直接解决的有关个人数据转让的投诉问题。”

百度在隐私政策声明中没有说明如何遵守自己制定的隐私政策，加入了何种行业自律组织，是否受某个行业自律组织的监管等，但却罗列了很多免责条款，如“互联网上不排除因黑客行为或用户的保管疏忽导致账号、密码遭他人非法使用，此类情况与百度无关”。

至于联系方式，百度在隐私政策声明的末尾注明：“如果您还有其他问题和建议，请联系百度”，但却没有告诉如何“联系百度”。谷歌的声明是：“如果您有任何问题，请与我们联系。”点开超级链接后看到的是英文页面，通过英文通讯地址可以联系谷歌。

其四，总体对比。隐私权保护声明重在内容，但形式也很重要，如果网站真正对用户的隐私负责、尊重用户的权益，就应该将其隐私政策声明从其他方面的信息中独立出来，并在主页的显著位置提供链接。就这一点而言，谷歌比百度做得要好。

从语言的易懂性来看，百度侧重cookie的介绍，而谷歌则更侧重于专业术语的解释，二者各有千秋，如果能够互相学习、将二者的优点结合起来，会更有利于用户对隐私政策声明的理解。两家网站都告知用户如果有问题，请和它们联系，百度没有同时告知联系的方式，而点击谷歌的联系方式，超链接的是英文网页，谷歌中文网站不设中文联系方式，显然对不懂英语的用户设置了障碍，由此可见两大网站和用户联系的诚意都值得质疑。

网站在制定并执行隐私政策声明时，应有相应的内部机制来执行这些内容，有足够的技术和实力来保证隐私政策声明的执行。否则的话，缺乏隐私权保护声明的网站固然是危险的，有隐私政策声明、但没有真正贯彻执行的网站就更加不安全了，因为它会使用户产生错觉、放松警惕。在这方面，谷歌没有为自己免责，并有行业自律约束，相比于百度的隐私政策声明更为令人信服，执行力更强。总之，对比隐私政策声明的一般情况，谷歌比百度更为全面和规范。

(二)信息收集与存储

关于信息收集和存储，主要涉及如下方面的内容。

1.收集信息的目的、方式及类型

百度与谷歌收集信息的目的，除却个别字眼的差别外，意思完全一致，都声称收集用户的个人信息是为了向用户“提供更好的服务”，都不涉及收集信息会给网站带来的收益。收集信息的方式主要有两种：用户提供和网站在用户使用服务的过程中获取。收集的信息类型包括一般网站都会收集的个人信息、设备信息和日志信息等。它们之间的差异在于，谷歌更加详细地列举了各种信息的类型及其如何在提供服务的过程中获取用户的信息，较多地使用超级链接，用清晰的语言详细解释了一些专业术语和关键词的含义，如IP 地址、非个人身份信息、个人信息、敏感的个人信息等，使用户能够清楚了解各种术语的含义，并通过举例使专业的术语更加通俗易懂，减少专业性、降低用户理解的难度。

在这方面，百度就语焉不详，只对cookie和匿名标识符作了解释，唯一的超级链接是“隐私保护工具”，用户通过它“限制百度对cookie信息的使用”，对用户隐私信息无保护程度分类，无敏感信息保护规定，对设备信息和日志信息却列举详细，明显是避重就轻。

2.关于cookie的告知

谷歌的隐私政策声明先是告知用户其访问网站时cookie会被发送到计算机上，使该网站识别用户的浏览器，同时还可能存储用户使用偏好及其他信息。谷歌运用修辞方法、文字游戏等试图让网民以为cookie是安全无害的，并不可怕。但实际上，cookie会监视和追踪网民的网络活动，从而收集网民的个人信息。谷歌语焉不详地提示用户可以重置浏览器拒绝所有的cookie，或者在发送 cookie 时提示，但同时着重强调没有cookie“某些网站功能或服务可能无法正常工作”。虽然告知用户可以拒绝cookie，却没有为之提供有效的拒绝途径。

相比之下，虽然百度也强调cookie对网民的好处：一旦决定不用，不利于网民的自身利益，但同时为用户提供了超级链接“隐私保护工具”来拒绝启用cookie。

3.信息的安全性及完整性

百度与谷歌都很重视信息的安全性，详细列举了会采取的保护用户安全的各项措施，如百度“成立了专责团队，研发和应用多种安全技术和程序等措施严格保护您的个人信息不被未经授权的访问、使用或泄漏”，并要求用户使用密保工具服务进一步保障信息安全；谷歌提供各种保护，以免保存的信息“在未经授权的情况下被访问、篡改、披露或破坏”，并详细列举了特别采取的四种专业的保护措施。

关于信息的完整性，谷歌声明“无论您在何时使用我们的服务，我们都力求让您能够访问自己的个人信息”，并承诺提供各种方式让用户快速更新信息或删除信息，但同时说明如果“出于合法业务或法律方面的原因而必须保留这些信息”，则不会删除。而且免费提供更新信息或删除信息，是基于谷歌“不需要过多投入”的前提下。同时，“当您从我们的服务中删除信息后，我们可能不会立即从在用的服务器中删除这些信息的残留副本，也可能不会从备份系统中删除相应的信息”。谷歌设置了种种限制使用户要删除已经提供给谷歌的信息变得很困难，即便如此，在这点上也比百度做得要强，因为百度对此只字未提。

4.对未成年人隐私的保护

“百度非常重视对未成年人个人信息的保护。若您是18周岁以下的未成年人，在使用百度的产品和/或服务前，应事先取得您家长或法定监护人的同意。”百度语焉不详的保护声明并没有清楚地说明是否和如何收集未成年人的信息，却明确地将给未成年人把关的责任转嫁给了其监护人，自己却置身事外，一副完全与我无关的姿态，并没有承担起相应的告知义务。

谷歌的隐私政策声明没有关于未成年人隐私保护的条款，仔细搜寻后会发现与其“隐私权政策”并列的一个超级链接“不可不知的小知识”网站，声称“可以帮助您和家人安全上网”，再点击两次后可以看到谷歌为“保护儿童和青少年的网上安全”，“为父母和老师提供相关工具，使他们可以为子女和学生选择合适的网上内容”。但没有涉及未成年人数据保护问题。

5.总体对比

总体而言，就信息收集与存储来看，百度与谷歌各有优点和不足之处。谷歌在告知收集信息类型和信息完整性方面比百度做得要好，但在关于cookie的告知上，百度却比谷歌略胜一筹，而在未成年人隐私保护方面，两者都需要进一步改进。未成年人由于心智发育不完全、辨别能力有限，其个人信息更容易被收集，因此应对未成年人的隐私权予以特别保护，而两者的做法既不符合法律的规定也不符合行业自律的要求。

美国1998年即通过的《儿童网上隐私权保护法案》，限制和规范商业网站在线收集13岁以下儿童的个人信息的行为，禁止未经父母同意而向儿童收集个人资料的行为[5]。美国许多网站如微软、雅虎在其隐私政策声明中专门设立了保护儿童隐私的条款，对儿童网络隐私的保护做出了特殊的规定。显然，谷歌中文页面对这个问题的忽视很不应该。

(三)信息使用与共享

在信息时代，信息作为战略性资源，其自由流动具有重要的基础性意义。但同时，网民的个人隐私信息应得到合理、有限的使用，而网站则应承诺不将其用于未经授权的商业用途或其他用途[6]。

1.信息的使用

百度和谷歌隐私政策声明对信息的使用方式高度一致，都说是为了改进服务、开发新的服务以及为用户提供个性化的服务，都不涉及信息会给网站带来的收益。是否会将信息用于当初收集以外的目的，百度的隐私政策声明没有涉及这一点，谷歌则声明当将信息用于本隐私权政策未载明的其他它用途时，会事先征求用户的同意。

2.信息的分享

两个网站的声明都既包含信息的二次使用也包括与第三方分享。谷歌对信息类型进行了区分，当使用和分享的是“非身份识别信息”，则不特别提及需要用户的许可，当使用的是可识别身份的信息时，则明确表明要征得用户的同意。

百度“可能会与公众分享”针对产品的使用而统计的非身份识别信息，而对“从相关产品和/或服务产生的信息”，没有区分类型，只是笼统地表明“除非事先获得您的授权或本声明另有规定外”，“不会将这些信息对外公开或向第三方提供(百度关联公司除外)”。

至于向有关方面披露个人信息，两个网站都除了说明要征得用户的同意以外，也详细列举了例外的情形，如法律、法规的要求。谷歌同时还列举了在网站经营产生变动的几种情形下，对可能影响到的个人信息，“继续确保其机密性并通知受到影响的用户”，承诺网站不会擅自将用户信息出售谋利，而百度对此没有提及。

3.规范机制

百度与谷歌的隐私政策声明都采用原则禁止及例外允许的规范机制，即原则上不搜集或处理他人个人资料(或为特定目的外之利用)，以保障信息自主权，同时设例外情形，以促进个人资料合理使用。即数据的搜集使用或作特定目的外之使用，除法定情形外，须经当事人的同意。谷歌严格遵循原则禁止、例外允许的规范机制，而百度只提及二次使用、与第三方分享及例外情形，没有涉及如果将用户的个人信息用于最初收集以外的目的，是否会征得用户的同意，以及在经营变动的情形下，如何处理用户的信息。

未经用户的许可，将个人信息用于最初收集以外的目的或进行二次使用或与第三方共享，都是对用户隐私权的一种隐性侵害或变相侵害。至于什么是用户的许可，百度的措辞是“事先获得您的授权”，谷歌则是“在征得您的同意后”，但却都没有明确表示如何获得授权或征得同意，即用户无法向网站表达其是否许可。百度和谷歌在此处都是玩了文字游戏，表面上看，声明其使用信息要经过用户授权或同意，但实际上，用户是无法行使此项权利的。

上述对比可见，谷歌更重视对个人信息主体权利的保护和自身责任的承担。征得同意以及拥有删除与选择权等都是对个人信息主体性地位的尊重，符合信息社会隐私权保护的价值追求。

(四)两大网站都没有告知的内容

网站为了某种特定目的收集个人数据是必要的，但对这些数据的保存期限不应超过实际需要。例如，英国1984年实施的《数据保护法》明确规定：以任何目的持有个人数据的时间不得超过该目的必需的时间。之所以要规定数据保存时间，一是防止网站日后将这些数据用作他途；二是出于安全的考虑，电子文档很容易由于各种原因被丢失、篡改或毁坏。但两大网站的隐私政策声明都没有涉及这方面的内容，究其原因，可能是网站为了方便以后对这些信息的使用，而有意忽略这项告知。

另外，网站存在的基础是网络用户，保证用户所拥有的权利是网站发展的前提条件，而用户的权利总是与网站的义务相辅相成。隐私政策声明的内容是否完备，其中一项检验标准就是看是否告知了用户权利。遗憾的是，两大网站都没有将用户权利作为重点而单独和集中列出，谷歌在为数不多的条款以“您可以”等模糊的字眼表述了用户权利，百度连这样的表述都没有，这就使得用户对自己的权利不甚了解，最终忽略对自己权利的使用。

总之，网站张贴隐私政策声明是其经营自律的一种表现，意在打消网站用户和潜在用户担心隐私受到侵犯的顾虑，树立尊重用户隐私、保护用户隐私权的正面形象。不制定隐私政策声明的网站，在保护用户隐私方面是应受到质疑的，但制定并张贴了隐私政策声明的网站，是否就完全可以信任呢？

从以上列举的内容不难看出：在所谓的“提供个性化和更优质的服务”的幌子下，无论是百度还是谷歌都存在实质侵害网民隐私信息的行为和倾向。而张贴的隐私政策声明通过巧妙的措辞，让用户产生一种错觉，认为网站是在承诺保护网民的隐私权。除非网民非常认真地阅读并仔细地推敲这些隐私政策声明，一般的网民很难觉察到，这些网站所张贴的隐私政策声明，实际上对其网络隐私权提供的保护很少，也没有对网站收集网民的个人信息而获利的行为进行任何说明。

因此，原本应是保护网民网络隐私权的隐私政策声明，实际上成了网站“引诱”网民“主动”提供个人信息的“诱饵”，用艺术化的措辞掩盖其商业化的真实的意图的声明更具有麻痹性，侵害用户的隐私也更有隐蔽性。

三、网站如何完善隐私政策声明

学界一般认为，美国在互联网行业自律方面，走在世界前列，网站制定和张贴隐私政策声明是其主要的自律措施之一。谷歌作为一家美国企业，声称已加入美欧安全港(Safe Harbor)协议，从表面来看，其隐私政策声明似乎比百度更为全面和规范一些，对用户隐私权的保护更为详尽和完善。但深入研究两家的隐私政策声明后，可以发现：谷歌并不必然就比百度强，有些方面，如未成年人隐私保护方面，两大网站都存在问题需要改正。综合上述研究的结果及分析，笔者提出以下建议供网站管理者制定隐私政策声明时参考。

(一)隐私政策声明位置应该醒目

每个网站的信息都是海量的，如果像百度一样将自己的隐私政策声明隐于大量的信息中，网站保护用户隐私的诚意就令人生疑。隐私政策声明应该如谷歌一样，在主页比较醒目的位置出现，方便用户查看。

(二)隐私政策声明制定应该规范

一是标题可以采用“隐私政策(privacy policy)”或“隐私政策声明(privacy statement)”，既符合国际惯例，也比较专业，还使用户容易找到。二是语言表达要清楚简洁，对比较专业的术语应予以易懂的解释和举例说明。隐私政策过于冗长往往导致用户不愿浏览，网站可提供一个完整版与一个精简版，供用户选择。三是提供明了、可及的联系方式，如E-mail地址、通讯地址或联系电话等，表达出和用户接触、保护用户隐私的诚意。

(三)隐私政策声明内容应该全面

隐私政策声明应包含告知、选择、访问、安全及执行等方面的内容，上述内容应该全面而详尽。另外两项重要内容不仅应该包含而且应该单列：一是与网站义务密切联系的用户权利应该单独列出，使用户对自己的权利一目了然；二是相较于成年人，未成年人更容易成为隐私泄漏的受害者，网站应该在隐私政策声明单独列出对未成年人隐私保护的条款。

(四)隐私政策声明遵守应该可查

网站隐私政策声明的实际遵守情况可从三个方面查起：一是网站内部应从制度上保证用户的网络隐私权不受侵害，实现网络隐私权的基础保护;二是行业自律组织发挥积极作用加以监督和监管;三是用户加强隐私保护意识，在自我保护网络隐私权的同时，对网站不规范乃至违法的行为予以监督和揭发。

四、结　语

百度和谷歌作为中美两国搜索引擎企业的代表，都是盈利性企业，尽量免除自己的隐私权保护责任才是理性选择。人们无法指望它们自觉做好隐私政策声明和保护，它们即使做了，也往往出于装点门面的需要或者只是作为辅助政策，并不打算切实执行[1]。谷歌作为美国企业，其中文网站的隐私政策声明不可谓不全面，但是依然有漏洞，甚至其中文网站没有加入隐私认证标识组织，百度同样存在种种不容忽视的问题。这充分说明，隐私政策声明的完善和落实，无法单纯依靠网站自觉做到。事实上，隐私保护是对企业施加的义务，根本无法期待企业能够自觉自主完成。美国对于因特网一贯提倡“少干预，重自律”，但也有其强大的行政努力和立法冲动[7]。行业自律必须与政府监管相结合，这是一条必须要走的隐私政策声明制定与完善之路。

参考文献：

[1]陈丽冰.中文网站隐私权政策保护现况探讨[J].图书馆论坛,2009(4):144-148.

[2]NEUENDORF K A. The Content Analysis Guidebook[M]. CA: Sage Publications,2002:10-15.

[3]周涛.基于内容分析法的网站隐私政策声明研究[J].杭州电子科技大学学报(社会科学版),2009(3):12.

[4]POLLACH I.Privacy statements as a means of uncertainty reduction in WWW interactions[J].Journal of Organizational and End User Computing,2006(1):23- 49.

[5]张秀兰.网络隐私权保护研究[M].北京：北京图书馆出版社,2006:236.

[6]周昕.网络环境下的知情权边界[J].重庆邮电大学学报(社会科学版),2010(5):40- 47.

[7]东海,张昊.隐私权利已经终结?——以美国互联网法律为例的考察[J].江西社会科学,2012(7):193-196.

(编辑:刘仲秋)

DOI：10.3969/j.issn.1673- 8268.2016.04.009

*收稿日期：2015- 07-30

基金项目：国家社会科学基金项目：信息社会个人隐私权的公法保护研究(11BFX035)

作者简介：范慧茜(1972-)，女，山东栖霞人，副教授，法律硕士，主要从事民商法、法律语言学研究。

中图分类号：D923；F49

文献标识码：A

文章编号：1673- 8268(2016)04- 0055- 06

On Privacy Policy Statements of Search Engine Enterprises:Taking Baidu and Google as Examples

FAN Huiqian, ZENG Zhen

(CollegeofForeignStudies,ShandongTechnologyandBusinessUniversity,Yantai264005,China)

Abstract:An important measure taken by websites is the posting of a privacy policy statement, which should ease users’ concerns about the exposure of their personal information. This paper does a comparison study on the privacy policies between China’s Baidu and the Chinese webpage of Google from three different angles. The findings show there are significant differences between the two websites’ privacy policies. Google doesn’t necessarily do a better job than Baidu, and to a certain degree, both websites have room for improvement. Causes of problems and solutions to them have been identified and discussed on the basis of comparing, in order that promises to protect users’ privacy through formulating a privacy policy statement can be achieved.

Keywords:website; privacy policy statement; content analysis; Baidu