我国网站个人信息保护的合规性考察

2021-10-22 13:48杜永欣,周茂君
关键词:法律规制个人信息信息安全

杜永欣,周茂君

摘要:信息技术变革与数据价值应用所引发的信息安全问题,促使个人信息保护成为行业发展所面临的重要议题。制定隐私政策是当前信息保护领域网络服务提供者自律规约的主要途径,结合法律规范框架下的十一项要求指标,通过对九家网站隐私政策的一般及特殊规定、信息收集与使用、信息保存与管理以及信息共享、转让与公开披露四大方面内容条款的合规性考察发现,当前,我国网站隐私保护政策虽渐趋完善,但存在着明显的自主规约匮乏与法律规制依赖困境,自律效力依然堪忧。我国个人信息保护问题的解决,有赖于制定专门的个人信息保护法,并根据行业特性实施相应的个人信息保护特别法;设立专门的个人信息保护监管机构,完善保障个人信息安全的协调管理机制;加强行业自律管理,提升个人信息保护的行业自律规约能力,通过法律规制与行业自治的有效协同,推进我国个人信息保护的规范化进程。

关键词:个人信息;隐私政策;行业自律;法律规制;信息安全

中图分类号:D922.294; G203       文献标识码:A

文章编号:16738268(2021)04006211

一、研究问题与缘起

随着社会进步和信息技术的发展,个体的社会交往活动无不裹挟于信息洪流之中,用户的各种在线行为变得有迹可循,其个人信息个人信息、个人隐私、个人数据是当前较常混用的概念,美国习惯使用“个人隐私”,如1974年颁布的《隐私法案》(Privacy Act of 1974);欧盟多使用“个人数据”,如最新颁布的《通用数据保护条例》(GDPR);我国多采用“个人信息”的概念,如《信息安全技术 个人信息安全规范》,并且在学术研究中也出现用“个人信息”代替“个人隐私”的趋势,本文亦采用这一概念内涵。成为可被追踪记录并加以利用的重要商业资源。如今,个人信息在助力行业创新与社会发展中的作用日益凸显,数据价值开发不断拓展信息收集和使用的边界,以往被视为具有私人属性的信息往往也被应用于商业目的,导致个人信息安全风险日益提升。不当的个人信息利用危及个人权益,容易造成人格尊严和自由、甚至是人身和财产安全损害,从Facebook连续多起大规模数据泄露风波到支付宝年度账单的隐私争议[12],频发的数据泄露事件将个人信息安全问题置于社会热议的焦点,日益严峻的数据安全形势使加强个人信息保护刻不容缓。

当前,个人信息的保护主要诉诸于技术、自律和法律三种途径[3]。技术方法即通过加密、Cookies数据接收阻止等手段实现保护,自律则依赖于主体的责任承担,而法律规制旨在寻求有效的立法方案以达到信息保护的目的,其中,以美国为代表的自律模式和以欧盟为代表的法律规制模式[4]在个人信息保护模式构建和经验借鉴中颇受关注。在世界范围内的个人信息保护立法潮流下,欧洲《通用数据保护条例》(GDPR)以及美国《加州消费者隐私法案》(CCPA)先后开始施行,我国也陆续出台了个人信息保护的相关规定,以促进个人信息的规范使用和保障个人信息的安全。2012年全国人大常委会通过的《关于加强网络信息保护的决定》开启了我国个人信息保护的立法之路,随即,个人信息保护成为《网络安全法》《消费者权益保护法》和《信息安全技术 个人信息安全规范》(以下简称《规范》)等法律规范的重要内容。与此同时,为消除用户隐私顾虑以建立信任机制、响应法律规范的要求,行业范围也展开了相应的个人信息保护实践,以贯彻法规要求中的“知情同意”等保护原则,实现合规经营。网络隐私政策也称为“点击视为同意协议”[5],是网络服务提供者告知用户在使用其所提供的网络服务中涉及的信息安全问题,披露其收集、利用和保护用户个人信息的目的、范围和方式等内容的在线文件,网络服务提供者通过公示其相关原则和措施,以达到与用户之间的信息保护共识[67]。当前,制定隐私政策以明确对个人信息的规范使用,已成为国内外普遍采用的行业自律措施之一[8],即使是推崇行业自律的美国和以严格的法律保护而著称的欧盟,也并非依赖单一机制保护个人信息[9],行业自律保护机制被视为个人信息保护中不可或缺的重要环节[10]。

虽然当前许多企业都制定了隐私政策,但究竟在个人信息保护中发挥着怎样的规范作用以及产生的约束效力如何,是当前我国行业信息保护实践有待探讨和反思的问题。有学者从宏观视角分析了美国行业自律模式对我国个人信息保护的借鉴意义[11],以及欧美法律体系中个人信息保护相关规定的本土化移植问题[12],基于国家和社会层面探讨了个人信息保护与监管的多元机制[10];也有学者从实践应用角度对网络隐私政策展开调查,并基于考察结果提出了完善建议[1317],由此为行业中的个人信息保护实践提供了诸多有益的参考。就隐私政策的规范程度以及自律效力而言,需要纳入法律框架予以综合考量,随着我国个人信息保护法律框架的日趋完善,依据法律规范标准审视和反思其在实际应用中的响应情况,是发现我国个人信息保护中的问题以及寻求应对方法的有效路径。根据2018年中国消费者协会发布的《100款App个人信息收集与隐私政策测评报告》发现,其中多达91款APP涉嫌数据权限“越界”[18],用户信息的过度收集和使用情况依然不容乐观。2019年,我国在全国范围内组织展开了App违法违规收集使用个人信息专项治理,并发布了《百款常用APP 强制开启权限情况通报》《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》《APP 违法违规收集使用个人信息行为认定办法》等多项成果文件,以治理个人信息保护中所存在的乱象、规范市場秩序。在商业利益驱动、经营理念差异以及管理水平差距等多种因素的影响下,依靠网络服务提供者主动纳入法定要求、承担社会责任的自律规则,有待对其进行进一步的规范性考察和监督管理。对隐私政策内容条款的合规性审视,有助于了解当前我国行业实践中网络服务提供者的自律现状、发现隐私政策制定和执行中的问题,从而在优化提升中推进我国个人信息安全的规范化进程。

二、个人信息保护的法律标准与自律规约要点梳理

(一)法律框架下的个人信息保护要求

隐私政策条款的制定需符合法律规范的要求,才具备合理运作的基础。通过对《网络安全法》《信息安全技术 个人信息安全规范》《消费者权益保护法》和《电子商务法》等相关个人信息保护法律法规内容的全面梳理,总结了包括限制权限、最少够用、明确目的、敏感告知、最短时限、保证质量、确保安全、主体参与、安全评估、透明公开、责任明确在内的11项要求指标(见表1),以此作为全面衡量网站隐私政策内容规范性、合理性的考察依据。

(二)网络隐私政策的自律规则

隐私政策是具有公开属性的自律规则,其所载内容反映了网络服务提供者对个人信息保护的关注方面和重视程度,且与其保护理念及实践密切相关。因而,对网站隐私政策内容的分析能够了解网站在个人信息保护中的认知倾向和关注焦点[19],是审视行业实践中网站个人信息保护自我规约情况的有效方法。根据Alexa

Alexa排名是指网站的世界排名,主要分为综合排名和分类排名,已有研究中多采用该排名作为较为权威的网站访问量评价指标(参见Alexa 热门中文网站排名:https://www.alexa.com/topsites/countries/CN),本研究的网站排名和隐私政策内容获取截止时间为2020年3月31日。中文网站访问量排名,本文选取了网站排名前50名中的第1至5名、中间第26至30名以及第46至50名的网站,在排除无法访问、未张贴隐私政策以及隐私政策重复的情况后,最终选取了天猫、百度、腾讯、搜狐、宝宝树、金融界、哔哩哔哩、爱奇艺、四川在线共九家网站的隐私政策作为分析文本,并结合法律规范框架的要求对其条款内容进行了综合考量,进而主要从以下四个方面对网站隐私政策内容展开考察分析:(1)一般及特殊规定;(2)信息收集与使用;(3)信息保存与管理;(4)信息共享、转让与公开披露。

三、法律规制与合规审视:我国网站个人信息保护的现状考察

隐私政策是网站自行制定的行为准则及指引,其相较于法律规范标准而言具有较强的及时性和灵活性特征,并旨在通过内在约束效力规范网站个人信息处理行为,避免侵犯用户正当权益。虽然网站隐私政策中具有某项指标条款并不意味着该项内容达到了规范标准的要求,但至少反映了网站在个人信息处理过程中意识到该项要求指标的必要性。因而,各网站隐私政策的内容披露则为了解其信息保护内在机制提供了可行的评估视角。〖FL)〗〖HJ〗

〖HT5”H〗〖JZ〗表2〓网站访问量排名及隐私政策

〖HJ1.8mm〗

〖HT5”SS〗〖BG(!〗〖BHDFG1*2,WK14,WK12,WK13*2,WK12W〗9家隐私政策样本网站2家未张贴隐私政策网站3家隐私政策重复网站1家无法访问网站

〖BHDG14*2,WK14ZQ,WK12ZQ0,WK13*2ZQ0,WK12W〗〖SQ*2〗

(1)天猫(Tmall.com)(2)百度(Baidu.com)(3)腾讯QQ(Qq.com)(4)搜狐(Sohu.com)(26)宝宝树(Babytree.com)(27)金融界(Jrj.com.cn)(28)哔哩哔哩(Bilibili.com)(46)爱奇艺(Iqiyi.com)(47)四川在线(Scol.com.cn)〖SQ*2〗

(48)东方网(Eastday.com)(49)简书(Jianshu.com)〖SQ*2〗

(5)天猫登录(Login.tmall.com)(6)天猫年货(Nianhuo.tmall.com)(30)阿里巴巴(1688.com)〖SQ*2〗

(29)谷歌搜索(Google.cn)〖BG)F〗〖HT〗

〓〖HT6SS〗(注:网站排名和隐私政策获取截止时间为2020年3月31日)〖HJ〗〖HT〗〖KH*2〗

〖FL(K2〗

(一)一般及特殊规定的考察

隐私政策的一般情况说明往往并不直接指向个人信息保护的核心标准和权利义务,而是为实现隐私政策约束效力所需的辅助性指标要求[20]。如表2所示,从隐私政策制定依据、相关概念界定、更新通知、联系方式四个方面的分析发现:首先,隐私政策制定的依据来源是判断其可信赖程度的重要因素,天猫等网站表明其主要依据现行法律法规要求制定和更新相应的条款内容,其中,哔哩哔哩明确表示其主要依据《网络安全法》和《规范》等相关法律法规;其次,在个人信息概念及范围界定方面,包括天猫、百度在内的六家网站对隐私政策中所涉及的关键性概念进行了说明,且哔哩哔哩、爱奇艺则声明其定义出自《规范》;再次,隐私政策更新则反映了网站对个人信息保护的关注度和及时性,天猫、腾讯等都标明了更新时间,表示会对重大变更予以显著通知,仅有部分网站告知了具体的更新内容,主要集中于未成年人信息规定、用户权利方面;最后,联系与反馈是用户和网络服务提供者有效沟通、維护自身权益的途径,九家网站都公布了用户针对隐私政策疑问的联络方式,其中,天猫明确告知了投诉举报方式,爱奇艺则设立了专门的个人信息保护专员处理相关事宜,在反馈途径方面表现出更为负责的态度。由此可见,该类隐私条款的制定主要出于“守法合规”目的,相关法律法规对其内容制定具有促进作用,网站信息保护制度初步呈现出尊重用户权利、日益与时俱进的特征。

与一般性规定指标不同,隐私政策中的特殊项目则主要是对个人信息处理行为中所涉及的特定技术应用、特定主体以及个人信息的特殊处理做出的规定性说明。从Cookies及同类技术使用、未成年人及儿童隐私条款和数据跨境传输情况三个方面的考察表明:网站对Cookies及同类技术的使用,主要是出于个性化服务提供目的,如安全认证、分析用户偏好、广告宣传改善等,且九家网站均表明用户可自行管理或删除Cookies数据信息;未成年人作为网站服务使用的特殊群体,除金融界以外的八家网站均针对未成年人的服务使用和信息处理做出了特别说明,表示未成年人网络服务使用需经过父母或其他监护人同意。爱奇艺表示,如发现未经监护人同意的情况,会尽最大努力与监护人取得联系,并在监护人要求下尽快删除相关未成年人个人信息,相较之下更为具体。此外,天猫、腾讯等网站进一步对儿童信息安全及法律责任承担作了具体规定。考虑到个人信息跨境流转更易造成信息主体利益损害[21],天猫、百度等针对个人信息的跨境传输情形进行了说明,主要涉及遵循法律规定、个人同意授权以及个人主动的跨境交易等前提。

(二)个人信息的收集与使用

对个人信息收集和使用是网站围绕用户个人信息提供相关服务的关键环节,对其合规性考察可从如下几方面进行:网站是否遵循“合法、正当、必要”的法律规范要求,承诺按照隐私协议进行既有约定下的信息收集和使用活动;网站是否明确披露收集个人信息的目的、范围和方式,满足用户知情需要;网站收集和使用活动是否基于功能实现的必要,符合最少够用原则;网站对与个人权益关联密切的敏感信息有无特殊提示和功能关联性说明,符合必要性规定。考察结果情况如表3所示。

个人信息收集和使用不应肆意进行,而应受到合法、合理的限制约束,产品或服务提供所需以及用户合法授权,是其信息收集和使用的主要权限约束条件。九家网站均表示个人信息收集和使用是基于产品或服务提供的目的,且实现各项功能所需信息的收集和使用要在用户合法授权的范围内进行,其中,腾讯、哔哩哔哩表示依法遵循“正当、合法、必要”的原则收集和使用个人信息。

告知用户数据收集和使用目的旨在满足用户知情权利,也是个人进行授权选择的基础。九家网站的隐私政策均包含如何进行数据收集和使用的相关条款,向用户具体阐释所收集的不同类型信息、用途以及方式。具体来看,网站的信息收集主要是基于实现核心和附加两大业务功能的需要,如天猫、宝宝树作为电商平台,其信息收集和使用主要涉及会员服务、商品或服务信息展示、订单管理等,哔哩哔哩、爱奇艺两大视频网站表示主要基于账号注册、搜索、视频展示和播放等业务功能需求。另外,包括天猫、百度、哔哩哔哩和爱奇艺在内的四家网站均表明会将信息用于其他未载用途,但会事先征求用户同意。

在信息收集数量的限度与原则方面,天猫表示“尽力避免收集无关的个人信息”,且在儿童信息处理中明确表示采取“最少够用授权原则”;百度、腾讯明确表示仅会出于隐私政策所述的产品或服务提供功能需要而收集、使用个人信息;除金融界和四川在线以外的七家公司,均对不同类型的个人信息所满足的特定功能进行了说明,并提醒用户对于部分附加功能实现所需信息的拒绝授权不会影响基础功能使用。在明确信息与产品关联的情况下,用户可根据自身需要而授权相应的个人信息,由此实现了用户选择范畴的最少够用要求。网站的信息收集既涉及用户的基础信息(如姓名、手机号、邮箱等),也包括行为活动信息(搜索、浏览、评论、转发等),且部分功能涉及个人敏感信息。天猫等六家网站对隐私政策中涉及的敏感信息进行了提醒,其中,爱奇艺、哔哩哔哩具体说明了此类信息与特定功能的关联性,体现了网站对个人敏感信息的关注与重视。

(三)个人信息的保存与管理

网站对已收集的个人信息进行合理保存和有效管理,既是其保障个人信息安全的责任所在,也是保障用户权益的要求。其规范要求主要涉及以下方面:网站是否以实现目的所需的最短时间为标准保存个人信息,合理限定保存时限;网站是否声明不会泄露、窜改、毁损所收集的个人信息,尊重信息主体的信息权益;网站是否采取必要措施保障个人信息安全,对信息予以脱敏处理;网站是否明确告知用户信息访问、修改和授权撤回等权限,为用户提供自主管理信息的途径。对九家网站隐私政策的相应考察情况如表4所示。

以腾讯为代表的四家网站均表示仅会在实现产品和服务提供目的所需的最短期限内保留个人信息,天猫等三家网站表明以产品或服务需要为限,但未明确承诺时间最短。除此以外,法律规定留存、法定义务履行以及个人主动删除也是影响网站信息留存期限的因素,多数网站表示会对超出隐私政策所述留存期限的信息进行删除或匿名化处理。值得注意的是,百度表明会对相关逾期信息进行匿名化处理,不会用于商业化使用但仍然会依法保留;腾讯表示会在合理期限内删除或匿名化处理个人信息,但并未对“合理期限”予以具体说明;四川在线则是依照个人信息的不同等级确定存储期限,按照法律法规要求最低期限不少于6个月,显然只透露了最低留存时限而无从知晓其留存时间上限。由此可以看出,网站关于个人信息留存的时限界定较为模糊,存在违规操作的空间。

对个人信息质量的保障要求,旨在防止因信息扭曲或泄露而致使个人权益遭到损害。包括天猫在内的八家网站均表示采取了相应的信息安全保障措施,以防止个人信息遭到未经授权访问、公开披露、使用、修改等。各网站对信息质量保障的承诺标准和措施存在明显差异,百度、爱奇艺等五家网站承诺其保护水平符合业界安全标准要求,且爱奇艺表明其保障措施涉及技术、组织架构和管理体系等多层面,将最大程度降低信息安全风险。在安全保障标准方面,天猫提供网络安全等级保护认证,搜狐进行了国家信息安全等级测评和备案,相较之下更具有直接性的说服力和权威性;哔哩哔哩则设立安全应急响应中心以及时响应信息安全漏洞和突发事件,在安全保障提供方面更为及时;搜狐的权限管理制度进行数据权限拆分、最小授权,实行数据分级管理和保护制度,对敏感信息加密保护,在网站的数据安全保障方面表现出创新性和完备性。网站的信息保护措施为保证个人信息质量提供了支持保障,但标準参差不齐、保护效力存疑的弊端也较为明显。

信息主体参与其个人信息管理是实现信息自控、尊重主体信息自决权利的要求,当前,同意授权模式已成为隐私政策中普遍采用的信息自控方式,除此之外,法定的用户权利涉及信息处理的多个环节。天猫等七家网站均明确告知用户可通过访问、更正或补充、删除等方式管理个人信息;搜狐为用户提供了获取部分个人信息副本的权限,表现出较高的信息透明度。至于对个人信息管理请求的响应,天猫承诺在15天内做出答复,对处理结果不满意可以通过天猫客服发起投诉,对用户信息需求回应较为高效;腾讯则表示在“合理的期限”予以回复;四川在线则未给出回复时限。因而,用户对个人信息管理参与既存在透明性局限,也呈现出反馈滞后、效力不足的问题。

(四)个人信息的共享、转让与公开披露

网站对既有个人信息的使用不仅限于自身平台,还涉及数据共享、转让以及公开披露的情形,这就涉及第三方甚至多方平台的信息安全问题。清晰而有效的信息流转或公开规则,有助于消除用户对其个人信息“下游”应用的担忧,促进网站个人信息保护框架的完善。对信息流转规范的考察主要包括:网站是否按要求事先开展信息安全影响评估,采取有效的保护措施;网站是否明确告知信息主体个人信息共享、转让或公开披露的目的、类型等具体情况,以必要的透明公开保障用户对个人信息流转的知情权;网站是否明确个人信息共享、转让以及公开披露而造成用户合法权益损害的责任承担。相应的考察情况如表5所示。

九家网站对个人信息安全影响评估规定的响应甚少,仅爱奇艺声明“我们的安全团队将对信息数据的输出形式、流转、使用等做安全评估与处理等”,各网站对安全影响评估的规范要求显然重视不足。从信息共享情况来看,天猫、百度、搜狐等表示,除特定情况(如个人授权、法律要求、合作共享等)以外,不会向任何第三方共享用户个人信息;部分网站对第三方的信息权限进行了限制,承诺信息共享在合法、正当范围之内,且授权合作伙伴无权将信息用于任何其他用途;腾讯则采取“默认分享”但加以条件限制的形式进行信息分享,并表明会要求第三方平台按照相关保密和安全措施进行处理;百度表示会采用加密、匿名化处理等手段保障个人信息流转的安全。在信息流转和披露方面,搜狐表示会对公开披露的信息采取符合業界标准的安全防护措施,并就披露信息方式、范围征得用户同意,也会对相关机构法定的披露要求进行核实,表现出较为完善的信息保护程序。关于第三方平台的保护标准,多数网站表示自身平台现有的保护条款同样适用于第三方平台,搜狐、爱奇艺承诺只分享去标识信息,并将签署严格的保密协议;腾讯、爱奇艺承诺将要求第三方平台按照不低于原有的标准进行个人信息保护。总而言之,各网站在信息流转方面的安全评估意识匮乏,虽承诺将为个人信息提供安全保障,但并未明确信息公开及流转的情形和具体信息内容。

由于信息共享和转让涉及多方主体,明确权责即厘清数据参与主体的权限范围以及责任尤为重要。对此,爱奇艺针对用户个人、合作伙伴以及自身平台分别做了责任承担说明,表明其将严格按照其隐私政策的约定及相关法律法规的要求开展相关活动,并承诺愿意就其过错承担法律范围内的损害赔偿责任,除此以外,对其他任何主体的行为后果不承担法律规定范围外的任何责任;宝宝树声明在处理用户与他人的纠纷时,其仅会在法律有明确规定的情况下承担相应的法律责任;金融界、四川在线仅提及第三方、用户个人的责任承担。由此可见,个人信息共享与流转过程中的责任承担机制薄弱、信息安全难以保障。

四、我国网站个人信息保护的规范进程及问题透视

制定清晰而明确的隐私政策是个人信息保护法律规制背景下市场的普遍调适行为,日益成为数据驱动时代网络服务运行的必备条件。当前,我国网站个人信息保护虽趋于规范,但自主规约匮乏和法制依赖问题依然堪忧,亟待寻求突破保护实效困境的方案。

(一)从自律到自觉:网站个人信息保护的自我规约进程

个人信息保护的法律框架对网站自律形成了有效的推动,市场竞争调节也促进了行业中个人信息保护机制的构建。一方面,网站对个人信息的“自觉”保护初见成效,各网站隐私政策条款在更新中逐渐纳入相应的要求指标,隐私政策日渐完善。一些网站的条款内容专业而明晰,较法定规范标准更为详细,表现出良好的规范意识与负责态度。在一些自律规范条款项目中,部分网站做出了积极有益的尝试,如百度、爱奇艺采用图文结合的方式更为人性化地告知用户;爱奇艺的未成年人保护条款在征求监护人同意原则的基础上,还承诺会主动向监护人反馈未成年人在未经许可时的使用情况;搜狐则实施了较为专业化的数据分级管理与数据权限拆分制度,在此方面的诸多探索与创新,有利于推进行业实践中网站自律的规范化发展。另一方面,各网站隐私政策自律规范标准的行业化特征初显,隐私政策条款内容与网站的功能服务关联密切,呈现出自律规约定制化趋势。天猫与宝宝树作为电商平台,主要围绕其平台功能进行个人信息收集与使用,涉及诸多商品提供与交易支付的内容条款;爱奇艺、哔哩哔哩作为网络视频平台,其隐私政策条款则旨在说明视频服务提供中的个人信息处理情况,与产品及用户使用场景联系较为紧密,由此反映出当前网站自律实践中个人信息保护趋于标准化的特征。

(二)自主匮乏与法制依赖:网站个人信息保护自律规约的合规性困境

随着我国个人信息保护规定的相继发布,网站对个人信息的保护意识和实践也日益完善,但基于网站隐私政策内容条款的分析来看,当前依然显示出诸多亟待解决的问题。其一,隐私保护存在较强的主体差异性,标准不一造成信息透明度不足,从而导致行业中个人信息处理“黑箱”现象。目前,距2017年6月《网络安全法》、2018年5月《规范》的实施时隔已久,而网站隐私政策仍呈现出内容详略不一、完善程度参差不齐的局面,部分网站隐私政策的更新时间仍不明确,更有甚者仍未张贴隐私政策,从而无从知晓其个人信息处理情况,信息保护更无从谈起;部分网站隐私政策(如爱奇艺、天猫)内容文本字数达万字以上,而也有网站(如金融界)的条款说明仅寥寥数条且无实质性规定,趋于完备还是流于形式差距显著,这也反映出自律规约尚缺乏统一的规范标准和有效的执行监督机制。其二,自律规范框架下信息主体议价能力薄弱,不平等协商造成网络服务提供者与用户之间权利失衡。知情同意原则在实际应用中呈现诸多弊端,征求用户同意的方式某种程度上已成为行业实现合规与合理化的“避风港”,用户并无实际选择权。例如宝宝树声明,“如果您不同意本政策任何内容,您应立即停止使用宝宝树平台服务”,在这种“是”或“否”的规则面前,用户几乎无协商空间和议价能力,不利于形成合理而规范的市场秩序。为维护网站自身利益和发展需要,网站的隐私条款更倾向于强调平台自身对个人信息的收集和使用权利,而对隐私保护的责任重视不足,主要表现为以“协约组合”的方式弱化用户权利、拓展自身权限范围,实际上则是对个人权益的侵蚀。其三,行业实践中的自律保护呈现出法律框架下的依赖效应,缺乏主动的探索创新。从各项指标的符合程度来看,法定的基本规范要求尚未全面落实,推荐性规范标准更是未获得有效响应,各网站对强制性指标执行程度较高,而对引导性标准的满足程度较低,由此反映出行业实践中网站自律保护的滞后性,依赖法律推动而缺乏自主探索。此外,网站对自身权益的规定更为详尽而灵活,而对用户权益的相关描述则往往采用“合理期限”“可能”“尽力”等模糊词汇,为其淡化责任、权利“越界”留存了空间,容易造成对用户信任的破坏。因此,我国网站的自律意识与自律管理能力仍有待提升,个人信息自律保护的规范化依然任重而道远。

五、法律规制与自律协同:我国网站个人信息保护问题应对策略

大数据时代信息流动无处不在,个人信息保护既是个体发展的必要保障,也关乎行业生态构建以及社会的健康发展。法律的功能在于以限制性标准达到使各种行为活动趋于合理的目的[22],法律规范只有对个人信息保护产生实际效果,才能有效推进行业中个人信息保护实践,积极引入行业自律机制,构建以法律规制为主导、行业自律有效协同的综合治理体系,是我国应对个人信息保护问题的可行之策。

第一,制定出台专门的个人信息保护法,完善个人信息保护的法制体系,切实保障个人信息权益。在20世纪70年代,科技进步与社会发展促使欧美国家兴起了个人信息保护立法热潮,而如今大数据时代的冲击使个人信息保护问题日益成为国际广泛关注的焦点,个人信息专门立法的呼声日益高涨,世界各国也纷纷加入个人信息立法保护行列。我国对个人信息的法律保护经歷了从无到有、渐趋丰富的过程,但从既有的法律法规现状梳理情况来看,我国当前对个人信息保护的规定散见于各类法律条文之中,呈现出零散化、碎片化特征,相互之间协同性不足。由于我国尚未制定施行专门的《个人信息保护法》,个人信息保护缺乏独立、权威的法律依据。立法上的不明确,直接导致了个人信息保护范围的不确定,是当前个人信息保护面临诸多困境的重要原因,这也更加凸显了大数据时代我国个人信息保护专门立法的必要性和紧迫性。因此,当前需要通过法律规制为个人信息的有序使用与自由流通提供坚实基础,具体应强调以下方面内容:其一,明确个人信息属性及范围,保障个人信息权益。我国对“个人信息”的保护主要出于对“人格尊严”“个人隐私”等相关范畴的引申保护[23],这种诉诸于侵权救济的被动保护模式已难以满足当前个人信息保护的需要,法律应赋予个人积极能动的信息自决权,如访问权、更正权、删除权(被遗忘权)以及GDPR中所规定的可携带权,以有效保障个人对信息的自控与自决。其二,强化各类网络应用的个人信息保护功能,以法律条款规定企业将个人信息保护要求纳入其产品或服务的设计之中,借鉴GDPR中“通过设计和默认方式保护数据”(data protection by design and by default)的规定,要求企业采取必要的安全措施(如匿名化、数据加密等),并向用户提供清晰、易懂、可获得的信息处理规范准则,提升信息处理的透明公开程度,推动企业运作中个人信息保护责任体系的构建。其三,完善对未成年人等特殊群体的个人信息保护,规定企业对该类特殊群体提供相关产品或服务时,应将对其信息收集和使用的特殊性纳入考量,主动承担相应的社会责任,避免单一依赖监护人同意授权,同时应强化对特殊群体信息权益损害的惩罚力度。其四,引入数据评估与数据泄露通知制度,明确要求企业定期开展数据安全评估,并向相关监督管理部门提交评估报告,一旦发生未经授权的数据泄露及其他可能导致个人信息权益受损的情形,应及时采取应对补救措施,并向相关部门以及受损主体通知问题处理进度。其五,加强对个人信息的跨境流动监管,针对企业的信息跨境流转活动,应向个人明确披露信息流转用途及方式,并取得个人的明确同意,在经由监管部门对其信息安全影响认定通过后,方可获得个人信息转移许可。随着2019年10月我国《儿童个人信息网络保护规定》的正式实施,2020年10月《个人信息保护法(草案)》公布并公开征求意见,我国的个人信息保护将进入专门的、精细化的法律保护阶段,这也进一步表明个人信息立法保护的必要性和时代趋势。

第二,颁布行业个人信息保护法,构建个人信息保护特别法规体系。统一的个人信息保护法具有系统性、权威性优势,但综合性保护立法也面临不同行业的适应性问题,过于概括性和抽象性的内容,往往难以适应不同行业领域的具体情况,面临实际应用中的局限性。为更好地满足特殊行业、特殊领域个人信息保护的需要,应制定有针对性的行业个人信息保护法,例如,欧盟的《电子通信数据保护指令》、美国的《电子通信隐私权法》和《家庭教育权利与隐私法》[24]等,都是针对特殊领域而专门定制的法律,这对于不同行业的个人信息保护而言,更具专业性和可操作性。我国针对行业个人信息保护的分散立法可借鉴美国经验,采取统一立法基础上辅以行业特别法的个人信息保护模式,针对不同行业(如通信、医疗、金融等)所呈现问题的特殊性,制定相应的法律予以规范,从而有效推进法律要求有效转化为行业自治规则,发挥行业在个人信息保护中的积极作用。

第三,设立统一的个人信息保护机构,健全个人信息保护的协调管理机制。通过专业化的个人信息保护机构,为法律规范应用实践提供必要支持,已成为各国推进个人信息保护有效开展而广泛采取的做法,如德国信息保护委员会、法国政府信息获取委员会、新加坡个人信息保护委员会等[25],其在落实个人信息保护条款、保障个人信息权益中发挥了重要作用。当前,我国对个人信息保护问题的监管主要是通过传统的监管机构职责延伸至各行各业[26],而对于大数据时代兼具专业性和复杂性的个人信息保护问题而言,更需要特定的信息保护机构履行监督管理职责,对企业的个人信息保护机制进行科学鉴定,提供标准化的信息安全认证,并针对行业中可能存在的个人信息安全问题提供专业化的应对方案,对行业中的个人信息保护情况予以全面监督。与此同时,为个人提供系统而完善的维权路径、为企业提供非法信息处理行为的举报平台,有利于监督行业个人信息保护实践对法律要求的落实情况,调动多方主体参与到监督管理之中,切实保障个人信息权益。因而,我国可借鉴国际经验(如法国、新加披、日本等),成立专门的信息管理与协调机构,由专业人员组成“信息委员会”,实施专业性的信息监督管理措施,为相关主体提供科学、权威的评判。由此,个人可充分知情自身的信息安全风险情况,以及时采取必要安全措施,企业则可将专业化的鉴定结果作为其信息公开与决策制定的依据,从而实现行业中个人信息保护的动态平衡。

第四,构建行业个人信息保护自律规范体系,提升行业自主规约能力。自律规约机制与行业的个人信息保护实践密切相关,只有实现个人信息保护的法制框架与行业自律机制有效协同,才能摆脱法制依赖的被动局面,激发行业个人信息保护的自主创新。因此,就企业微观层面而言,应树立信息安全理念、提升信息处理规范意识,主动将信息安全要求纳入其组织管理与发展战略之中,建立企业内部的信息安全评估制度,以有效识别和防范可能的信息安全风险,及时采取补救或预防措施,在自我规约实践中践行个人信息保护责任,其政策制定应从长远视角看待问题,考虑到社会与组织的关系。当前,个人信息保护已不仅仅是执行操作的问题,而是关乎市场竞争以及企业未来发展的战略性决策,只有符合信息化时代的规则秩序和发展潮流,才能在行业竞争中脱颖而出。所以,企业应重视自身数据管理与信息处理能力的提升,积极推进个人信息保护的自主创新,以前瞻性的发展规划谋求行业竞争优势。从行业宏观层面来看,应加快完善个人信息保护行业自律规范体系的构建,打造标准化的自律规范秩序。2001年,由中国互联网协会发布的《中国互联网自律公约》,对我国个人信息保护行业自律机制的建立具有重要意义,随着大数据时代个人信息应用的日益成熟,应针对不同行业特性及其信息处理活动特征,建立完善的行业自律规约准则,为行业中信息处理活动的有序开展提供详细的、可操作的规范指引。同时,行业协会应对行业自律条款的执行情况进行监督,定期公布严重违背个人信息保护自律准则的黑名单,发挥市场调节中的优胜劣汰机制,与法律规范要求形成良好呼应。

六、结语

技术的进步日益提升信息价值的挖掘和应用能力,传播的智能化对个人信息安全不断发出挑战。在信息资源价值日益凸显的时代背景下,个人信息成为兼具个体性和公共性的战略资源,对个人信息的保护不仅关涉个人利益,也关乎社会整体利益,如何在信息利用和保护个人信息权益之间实现合理权衡,是个人信息保护法律规制和行业自律所面临、且有待持续探讨的命题。隐私政策作为网络服务提供者对个人信息处理的公开承诺,反映了企业在利用个人信息获取收益与承担社会责任之间的价值平衡,是行业个人信息保护实践的重要环节。面对席卷而来的信息化潮流,个人信息保护问题的治理涉及多元复杂的利益格局,合理、规范化秩序的构建,还有待于法律框架与行业自律的有机结合与良性互动,通过多元主体合作参与,共同推进个人信息保护的规范化进程。

参考文献:

[1]叶丹. Facebook数据泄露敲响互联网信息安全警钟[EB/OL].(20180323)[20200325]. https://www.sohu.com/a/226172834_161794.

[2]支付宝账单或让你不知不觉签了个“服务协议”[EB/OL].(20180103) [20200325]. https://m.weibo.cn/status/4192219667451484?display=0&retcode=6102.

[3]MICHELFELDER D P.The moral value of informational privacy in cyberspace[J].Ethics and Information Technology,2001(2):129135.

[4]张秀兰.网络隐私权保护研究[M].北京:北京图书馆出版社,2006:113.

[5]GINDIN S E. Nobody Reads Your Privacy Policy or Online Contract? Lessons Learned and Questions Raised by the FTCs Action Against Sears [J]. Northwestern Journal of Technology and Intellectual Property,2009 (1):137.

[6]POLLACH I. Privacy Statements as a Means of Uncertainty Reduction in WWW Interactions [J]. Journal of Organizational and End User Computing,2006(1):2349.

[7]SOLOVE D J,HARTZOG W. The FTC and the New Common Law of Privacy[J].Columbia Law Review,2014(17):583676.

[8]何培育,馬雅鑫,涂萌.Web浏览器用户隐私安全政策问题与对策研究[J].图书馆,2019(2):1926.

[9]高秦伟.个人信息保护中的企业隐私政策及政府规制[J].法商研究,2019(2):1627.

[10]高志明.个人信息保护中的自律与监督[J].青岛科技大学学报(社会科学版),2016(3):8394.

[11]徐敬宏.美国网络隐私权的行业自律保护及其对我国的启示[J].情报理论与实践,2008(6):955957.

[12]文铭,易永豪.论被遗忘权的本土化移植[J].重庆邮电大学学报(社会科学版),2020(6):7986.

[13]张秀兰.中文网站隐私政策制定情况调查与分析[J].大连海事大学学报(社会科学版),2006(1):3841.

[14]谭咏梅,钱小平.我国网站隐私保护政策完善之建议[J].现代情报,2006(1):215217.

[15]申琦.我国网站隐私保护政策研究:基于49家网站的内容分析[J].新闻大学,2015(4):4350.

[16]徐敬宏,赵珈艺,程雪梅,等.七家网站隐私声明的文本分析与比较研究[J].国际新闻界,2017(7):129148.

[17]冯洋.从隐私政策披露看网站个人信息保护——以访问量前500的中文网站为样本[J].当代法学,2019(6):6474.

[18]中国消费者协会.100款App个人信息收集与隐私政策测评报告[R/OL].(20181128)[20200325]. http://www.cca.org.cn/jmxf/detail/28310.html.

[19]SAPIR E. Language: An introduction to the study of speech [M]. New York: Courier Dover Publications, 2004:5876.

[20]李延舜.我国移动应用软件隐私政策的合规审查及完善[J].法商研究,2019(5):2639.

[21]MCMAHON R B. After Billions Spent to Comply with HIPAA and GLBA Privacy Provisions,Why is Identity Theft the Most Prevalent Crime in America?[J]. Villanova Law Review,2004(3):625627.

[22]E·博登海默.法理学:法律哲学与法律方法[M].邓正来,译.北京:中国政法大学出版社,1999:484.

[23]洪海林.个人信息的民法保护研究[D].重庆:西南政法大学,2007.

[24]翟羽艳.我国隐私权法律保护体系存在的问题及其完善[J].学习与探索,2019(10):8084.

[25]肖登辉,张文杰.个人信息权利保护的现实困境与破解之道——以若干司法案例为切入点[J].情报理论与实践,2017(2):5155.

[26]杨震,徐雷.大数据时代我国个人信息保护立法研究[J].南京邮电大学学报(自然科学版),2016(2):19.

Compliance Investigation of Personal Information Protection onChinese Websites:Text Analysis based on the Privacy Policies of Nine Websites

DU Yongxin1, ZHOU Maojun2

(1. School of Journalism and Communication, Peking University, Beijing 100871, China;

2. School of Journalism and Communication, Wuhan University, Wuhan 430072, China)

Abstract:

Information security problems caused by the reform of information technology and the application data value have made personal information protection an important issue facing the development of the industry. The formulation of a privacy policy is the main way for Internet service providers to selfregulate in the field of information protection. Combined with the eleven requirements under the framework of legal regulations, we investigated the compliance of the privacy policies of nine websites from four aspects, general and special regulations, information collection and use, information preservation and management, and information sharing, transfer and public disclosure, and found that although the privacy policies of Chinese websites are gradually becoming more complete, there is obvious lack of independent regulations and the dilemma of dependence on legal regulations. Therefore, the selfregulatory effectiveness is still worrying. The governance of personal information protection in China depends on not only the formulation of a unified personal information protection law, but also the special laws based on the characteristics of the industry. We should establish a special personal information protection supervision agency and improve the coordination and management mechanism to ensure the safety of personal information, strengthen the selfregulation management and enhance the capability for personal information protection of the industry. We should promote the standardization of personal information protection through the effective coordination of legal norms and industry selfregulation.

Keywords:

personal information; privacy policy; selfregulation; legal regulation; information security

(編辑:刘仲秋)

收稿日期:20200629修订日期:20201207

基金项目:国家社会科学基金项目:中国新媒体广告规制研究(17BXW094)

作者简介:

杜永欣(1996),女,河南信阳人,博士研究生,主要从事广告传播、国家传播研究;

周茂君(1963),男,重庆人,教授,博士生导师,主要从事广告传播、媒介经营与管理、网络与新媒体研究。

猜你喜欢
法律规制个人信息信息安全
保护死者个人信息 维权要不留死角
敏感个人信息保护:我国《个人信息保护法》的重要内容
信息安全不止单纯的技术问题
浅论非法使用个人信息的刑法规制
主题语境九:个人信息(1)
基于模糊综合评价法的信息安全风险评估模型
基于模糊综合评价法的信息安全风险评估模型
商业预付卡经营行为的法律规制
我国网络经济中不正当竞争行为的法律规制
我国著作权集体管理组织垄断行为的法律规制