杜永欣，周茂君

(1.北京大學(xué) 新聞與傳播學(xué)院，北京 100871；2.武漢大學(xué) 新聞與傳播學(xué)院，湖北 武漢 430072)

一、研究問題與緣起

隨著社會進步和信息技術(shù)的發(fā)展，個體的社會交往活動無不裹挾于信息洪流之中，用戶的各種在線行為變得有跡可循，其個人信息(1)個人信息、個人隱私、個人數(shù)據(jù)是當前較?；煊玫母拍睿绹?xí)慣使用“個人隱私”，如1974年頒布的《隱私法案》(Privacy Act of 1974)；歐盟多使用“個人數(shù)據(jù)”，如最新頒布的《通用數(shù)據(jù)保護條例》(GDPR)；我國多采用“個人信息”的概念，如《信息安全技術(shù) 個人信息安全規(guī)范》，并且在學(xué)術(shù)研究中也出現(xiàn)用“個人信息”代替“個人隱私”的趨勢，本文亦采用這一概念內(nèi)涵。成為可被追蹤記錄并加以利用的重要商業(yè)資源。如今，個人信息在助力行業(yè)創(chuàng)新與社會發(fā)展中的作用日益凸顯，數(shù)據(jù)價值開發(fā)不斷拓展信息收集和使用的邊界，以往被視為具有私人屬性的信息往往也被應(yīng)用于商業(yè)目的，導(dǎo)致個人信息安全風(fēng)險日益提升。不當?shù)膫€人信息利用危及個人權(quán)益，容易造成人格尊嚴和自由、甚至是人身和財產(chǎn)安全損害，從Facebook連續(xù)多起大規(guī)模數(shù)據(jù)泄露風(fēng)波到支付寶年度賬單的隱私爭議[1-2]，頻發(fā)的數(shù)據(jù)泄露事件將個人信息安全問題置于社會熱議的焦點，日益嚴峻的數(shù)據(jù)安全形勢使加強個人信息保護刻不容緩。

當前，個人信息的保護主要訴諸于技術(shù)、自律和法律三種途徑[3]。技術(shù)方法即通過加密、Cookies數(shù)據(jù)接收阻止等手段實現(xiàn)保護，自律則依賴于主體的責(zé)任承擔(dān)，而法律規(guī)制旨在尋求有效的立法方案以達到信息保護的目的，其中，以美國為代表的自律模式和以歐盟為代表的法律規(guī)制模式[4]在個人信息保護模式構(gòu)建和經(jīng)驗借鑒中頗受關(guān)注。在世界范圍內(nèi)的個人信息保護立法潮流下，歐洲《通用數(shù)據(jù)保護條例》(GDPR)以及美國《加州消費者隱私法案》(CCPA)先后開始施行，我國也陸續(xù)出臺了個人信息保護的相關(guān)規(guī)定，以促進個人信息的規(guī)范使用和保障個人信息的安全。2012年全國人大常委會通過的《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》開啟了我國個人信息保護的立法之路，隨即，個人信息保護成為《網(wǎng)絡(luò)安全法》《消費者權(quán)益保護法》和《信息安全技術(shù) 個人信息安全規(guī)范》(以下簡稱《規(guī)范》)等法律規(guī)范的重要內(nèi)容。與此同時，為消除用戶隱私顧慮以建立信任機制、響應(yīng)法律規(guī)范的要求，行業(yè)范圍也展開了相應(yīng)的個人信息保護實踐，以貫徹法規(guī)要求中的“知情同意”等保護原則，實現(xiàn)合規(guī)經(jīng)營。網(wǎng)絡(luò)隱私政策也稱為“點擊視為同意協(xié)議”[5]，是網(wǎng)絡(luò)服務(wù)提供者告知用戶在使用其所提供的網(wǎng)絡(luò)服務(wù)中涉及的信息安全問題，披露其收集、利用和保護用戶個人信息的目的、范圍和方式等內(nèi)容的在線文件，網(wǎng)絡(luò)服務(wù)提供者通過公示其相關(guān)原則和措施，以達到與用戶之間的信息保護共識[6-7]。當前，制定隱私政策以明確對個人信息的規(guī)范使用，已成為國內(nèi)外普遍采用的行業(yè)自律措施之一[8]，即使是推崇行業(yè)自律的美國和以嚴格的法律保護而著稱的歐盟，也并非依賴單一機制保護個人信息[9]，行業(yè)自律保護機制被視為個人信息保護中不可或缺的重要環(huán)節(jié)[10]。

雖然當前許多企業(yè)都制定了隱私政策，但究竟在個人信息保護中發(fā)揮著怎樣的規(guī)范作用以及產(chǎn)生的約束效力如何，是當前我國行業(yè)信息保護實踐有待探討和反思的問題。有學(xué)者從宏觀視角分析了美國行業(yè)自律模式對我國個人信息保護的借鑒意義[11]，以及歐美法律體系中個人信息保護相關(guān)規(guī)定的本土化移植問題[12]，基于國家和社會層面探討了個人信息保護與監(jiān)管的多元機制[10]；也有學(xué)者從實踐應(yīng)用角度對網(wǎng)絡(luò)隱私政策展開調(diào)查，并基于考察結(jié)果提出了完善建議[13-17]，由此為行業(yè)中的個人信息保護實踐提供了諸多有益的參考。就隱私政策的規(guī)范程度以及自律效力而言，需要納入法律框架予以綜合考量，隨著我國個人信息保護法律框架的日趨完善，依據(jù)法律規(guī)范標準審視和反思其在實際應(yīng)用中的響應(yīng)情況，是發(fā)現(xiàn)我國個人信息保護中的問題以及尋求應(yīng)對方法的有效路徑。根據(jù)2018年中國消費者協(xié)會發(fā)布的《100款A(yù)pp個人信息收集與隱私政策測評報告》發(fā)現(xiàn)，其中多達91款A(yù)PP涉嫌數(shù)據(jù)權(quán)限“越界”[18]，用戶信息的過度收集和使用情況依然不容樂觀。2019年，我國在全國范圍內(nèi)組織展開了App違法違規(guī)收集使用個人信息專項治理，并發(fā)布了《百款常用APP 強制開啟權(quán)限情況通報》《網(wǎng)絡(luò)安全實踐指南——移動互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范》《APP 違法違規(guī)收集使用個人信息行為認定辦法》等多項成果文件，以治理個人信息保護中所存在的亂象、規(guī)范市場秩序。在商業(yè)利益驅(qū)動、經(jīng)營理念差異以及管理水平差距等多種因素的影響下，依靠網(wǎng)絡(luò)服務(wù)提供者主動納入法定要求、承擔(dān)社會責(zé)任的自律規(guī)則，有待對其進行進一步的規(guī)范性考察和監(jiān)督管理。對隱私政策內(nèi)容條款的合規(guī)性審視，有助于了解當前我國行業(yè)實踐中網(wǎng)絡(luò)服務(wù)提供者的自律現(xiàn)狀、發(fā)現(xiàn)隱私政策制定和執(zhí)行中的問題，從而在優(yōu)化提升中推進我國個人信息安全的規(guī)范化進程。

二、個人信息保護的法律標準與自律規(guī)約要點梳理

(一)法律框架下的個人信息保護要求

隱私政策條款的制定需符合法律規(guī)范的要求，才具備合理運作的基礎(chǔ)。通過對《網(wǎng)絡(luò)安全法》《信息安全技術(shù) 個人信息安全規(guī)范》《消費者權(quán)益保護法》和《電子商務(wù)法》等相關(guān)個人信息保護法律法規(guī)內(nèi)容的全面梳理，總結(jié)了包括限制權(quán)限、最少夠用、明確目的、敏感告知、最短時限、保證質(zhì)量、確保安全、主體參與、安全評估、透明公開、責(zé)任明確在內(nèi)的11項要求指標(見表1)，以此作為全面衡量網(wǎng)站隱私政策內(nèi)容規(guī)范性、合理性的考察依據(jù)。

表1 個人信息保護規(guī)范要求標準

(二)網(wǎng)絡(luò)隱私政策的自律規(guī)則

隱私政策是具有公開屬性的自律規(guī)則，其所載內(nèi)容反映了網(wǎng)絡(luò)服務(wù)提供者對個人信息保護的關(guān)注方面和重視程度，且與其保護理念及實踐密切相關(guān)。因而，對網(wǎng)站隱私政策內(nèi)容的分析能夠了解網(wǎng)站在個人信息保護中的認知傾向和關(guān)注焦點[19]，是審視行業(yè)實踐中網(wǎng)站個人信息保護自我規(guī)約情況的有效方法。根據(jù)Alexa(2)Alexa排名是指網(wǎng)站的世界排名，主要分為綜合排名和分類排名，已有研究中多采用該排名作為較為權(quán)威的網(wǎng)站訪問量評價指標(參見Alexa 熱門中文網(wǎng)站排名：https://www.alexa.com/topsites/countries/CN)，本研究的網(wǎng)站排名和隱私政策內(nèi)容獲取截止時間為2020年3月31日。中文網(wǎng)站訪問量排名，本文選取了網(wǎng)站排名前50名中的第1至5名、中間第26至30名以及第46至50名的網(wǎng)站，在排除無法訪問、未張貼隱私政策以及隱私政策重復(fù)的情況后，最終選取了天貓、百度、騰訊、搜狐、寶寶樹、金融界、嗶哩嗶哩、愛奇藝、四川在線共九家網(wǎng)站的隱私政策作為分析文本，并結(jié)合法律規(guī)范框架的要求對其條款內(nèi)容進行了綜合考量，進而主要從以下四個方面對網(wǎng)站隱私政策內(nèi)容展開考察分析：(1)一般及特殊規(guī)定；(2)信息收集與使用；(3)信息保存與管理；(4)信息共享、轉(zhuǎn)讓與公開披露。

三、法律規(guī)制與合規(guī)審視：我國網(wǎng)站個人信息保護的現(xiàn)狀考察

隱私政策是網(wǎng)站自行制定的行為準則及指引，其相較于法律規(guī)范標準而言具有較強的及時性和靈活性特征，并旨在通過內(nèi)在約束效力規(guī)范網(wǎng)站個人信息處理行為，避免侵犯用戶正當權(quán)益。雖然網(wǎng)站隱私政策中具有某項指標條款并不意味著該項內(nèi)容達到了規(guī)范標準的要求，但至少反映了網(wǎng)站在個人信息處理過程中意識到該項要求指標的必要性。因而，各網(wǎng)站隱私政策的內(nèi)容披露則為了解其信息保護內(nèi)在機制提供了可行的評估視角。

(一)一般及特殊規(guī)定的考察

隱私政策的一般情況說明往往并不直接指向個人信息保護的核心標準和權(quán)利義務(wù)，而是為實現(xiàn)隱私政策約束效力所需的輔助性指標要求[20]。如表2所示，從隱私政策制定依據(jù)、相關(guān)概念界定、更新通知、聯(lián)系方式四個方面的分析發(fā)現(xiàn)：首先，隱私政策制定的依據(jù)來源是判斷其可信賴程度的重要因素，天貓等網(wǎng)站表明其主要依據(jù)現(xiàn)行法律法規(guī)要求制定和更新相應(yīng)的條款內(nèi)容，其中，嗶哩嗶哩明確表示其主要依據(jù)《網(wǎng)絡(luò)安全法》和《規(guī)范》等相關(guān)法律法規(guī)；其次，在個人信息概念及范圍界定方面，包括天貓、百度在內(nèi)的六家網(wǎng)站對隱私政策中所涉及的關(guān)鍵性概念進行了說明，且嗶哩嗶哩、愛奇藝則聲明其定義出自《規(guī)范》；再次，隱私政策更新則反映了網(wǎng)站對個人信息保護的關(guān)注度和及時性，天貓、騰訊等都標明了更新時間，表示會對重大變更予以顯著通知，僅有部分網(wǎng)站告知了具體的更新內(nèi)容，主要集中于未成年人信息規(guī)定、用戶權(quán)利方面；最后，聯(lián)系與反饋是用戶和網(wǎng)絡(luò)服務(wù)提供者有效溝通、維護自身權(quán)益的途徑，九家網(wǎng)站都公布了用戶針對隱私政策疑問的聯(lián)絡(luò)方式，其中，天貓明確告知了投訴舉報方式，愛奇藝則設(shè)立了專門的個人信息保護專員處理相關(guān)事宜，在反饋途徑方面表現(xiàn)出更為負責(zé)的態(tài)度。由此可見，該類隱私條款的制定主要出于“守法合規(guī)”目的，相關(guān)法律法規(guī)對其內(nèi)容制定具有促進作用，網(wǎng)站信息保護制度初步呈現(xiàn)出尊重用戶權(quán)利、日益與時俱進的特征。

表2 網(wǎng)站個人信息處理一般及特殊條款的合規(guī)情況

與一般性規(guī)定指標不同，隱私政策中的特殊項目則主要是對個人信息處理行為中所涉及的特定技術(shù)應(yīng)用、特定主體以及個人信息的特殊處理做出的規(guī)定性說明。從Cookies及同類技術(shù)使用、未成年人及兒童隱私條款和數(shù)據(jù)跨境傳輸情況三個方面的考察表明：網(wǎng)站對Cookies及同類技術(shù)的使用，主要是出于個性化服務(wù)提供目的，如安全認證、分析用戶偏好、廣告宣傳改善等，且九家網(wǎng)站均表明用戶可自行管理或刪除Cookies數(shù)據(jù)信息；未成年人作為網(wǎng)站服務(wù)使用的特殊群體，除金融界以外的八家網(wǎng)站均針對未成年人的服務(wù)使用和信息處理做出了特別說明，表示未成年人網(wǎng)絡(luò)服務(wù)使用需經(jīng)過父母或其他監(jiān)護人同意。愛奇藝表示，如發(fā)現(xiàn)未經(jīng)監(jiān)護人同意的情況，會盡最大努力與監(jiān)護人取得聯(lián)系，并在監(jiān)護人要求下盡快刪除相關(guān)未成年人個人信息，相較之下更為具體。此外，天貓、騰訊等網(wǎng)站進一步對兒童信息安全及法律責(zé)任承擔(dān)作了具體規(guī)定?？紤]到個人信息跨境流轉(zhuǎn)更易造成信息主體利益損害[21]，天貓、百度等針對個人信息的跨境傳輸情形進行了說明，主要涉及遵循法律規(guī)定、個人同意授權(quán)以及個人主動的跨境交易等前提。

(二)個人信息的收集與使用

對個人信息收集和使用是網(wǎng)站圍繞用戶個人信息提供相關(guān)服務(wù)的關(guān)鍵環(huán)節(jié)，對其合規(guī)性考察可從如下幾方面進行：網(wǎng)站是否遵循“合法、正當、必要”的法律規(guī)范要求，承諾按照隱私協(xié)議進行既有約定下的信息收集和使用活動；網(wǎng)站是否明確披露收集個人信息的目的、范圍和方式，滿足用戶知情需要；網(wǎng)站收集和使用活動是否基于功能實現(xiàn)的必要，符合最少夠用原則；網(wǎng)站對與個人權(quán)益關(guān)聯(lián)密切的敏感信息有無特殊提示和功能關(guān)聯(lián)性說明，符合必要性規(guī)定。考察結(jié)果情況如表3所示。

表3 網(wǎng)站個人信息收集和使用條款的合規(guī)情況

個人信息收集和使用不應(yīng)肆意進行，而應(yīng)受到合法、合理的限制約束，產(chǎn)品或服務(wù)提供所需以及用戶合法授權(quán)，是其信息收集和使用的主要權(quán)限約束條件。九家網(wǎng)站均表示個人信息收集和使用是基于產(chǎn)品或服務(wù)提供的目的，且實現(xiàn)各項功能所需信息的收集和使用要在用戶合法授權(quán)的范圍內(nèi)進行，其中，騰訊、嗶哩嗶哩表示依法遵循“正當、合法、必要”的原則收集和使用個人信息。

告知用戶數(shù)據(jù)收集和使用目的旨在滿足用戶知情權(quán)利，也是個人進行授權(quán)選擇的基礎(chǔ)。九家網(wǎng)站的隱私政策均包含如何進行數(shù)據(jù)收集和使用的相關(guān)條款，向用戶具體闡釋所收集的不同類型信息、用途以及方式。具體來看，網(wǎng)站的信息收集主要是基于實現(xiàn)核心和附加兩大業(yè)務(wù)功能的需要，如天貓、寶寶樹作為電商平臺，其信息收集和使用主要涉及會員服務(wù)、商品或服務(wù)信息展示、訂單管理等，嗶哩嗶哩、愛奇藝兩大視頻網(wǎng)站表示主要基于賬號注冊、搜索、視頻展示和播放等業(yè)務(wù)功能需求。另外，包括天貓、百度、嗶哩嗶哩和愛奇藝在內(nèi)的四家網(wǎng)站均表明會將信息用于其他未載用途，但會事先征求用戶同意。

在信息收集數(shù)量的限度與原則方面，天貓表示“盡力避免收集無關(guān)的個人信息”，且在兒童信息處理中明確表示采取“最少夠用授權(quán)原則”；百度、騰訊明確表示僅會出于隱私政策所述的產(chǎn)品或服務(wù)提供功能需要而收集、使用個人信息；除金融界和四川在線以外的七家公司，均對不同類型的個人信息所滿足的特定功能進行了說明，并提醒用戶對于部分附加功能實現(xiàn)所需信息的拒絕授權(quán)不會影響基礎(chǔ)功能使用。在明確信息與產(chǎn)品關(guān)聯(lián)的情況下，用戶可根據(jù)自身需要而授權(quán)相應(yīng)的個人信息，由此實現(xiàn)了用戶選擇范疇的最少夠用要求。網(wǎng)站的信息收集既涉及用戶的基礎(chǔ)信息(如姓名、手機號、郵箱等)，也包括行為活動信息(搜索、瀏覽、評論、轉(zhuǎn)發(fā)等)，且部分功能涉及個人敏感信息。天貓等六家網(wǎng)站對隱私政策中涉及的敏感信息進行了提醒，其中，愛奇藝、嗶哩嗶哩具體說明了此類信息與特定功能的關(guān)聯(lián)性，體現(xiàn)了網(wǎng)站對個人敏感信息的關(guān)注與重視。

(三)個人信息的保存與管理

網(wǎng)站對已收集的個人信息進行合理保存和有效管理，既是其保障個人信息安全的責(zé)任所在，也是保障用戶權(quán)益的要求。其規(guī)范要求主要涉及以下方面：網(wǎng)站是否以實現(xiàn)目的所需的最短時間為標準保存?zhèn)€人信息，合理限定保存時限；網(wǎng)站是否聲明不會泄露、竄改、毀損所收集的個人信息，尊重信息主體的信息權(quán)益；網(wǎng)站是否采取必要措施保障個人信息安全，對信息予以脫敏處理；網(wǎng)站是否明確告知用戶信息訪問、修改和授權(quán)撤回等權(quán)限，為用戶提供自主管理信息的途徑。對九家網(wǎng)站隱私政策的相應(yīng)考察情況如表4所示。

表4 網(wǎng)站個人信息保存和管理的合規(guī)情況

以騰訊為代表的四家網(wǎng)站均表示僅會在實現(xiàn)產(chǎn)品和服務(wù)提供目的所需的最短期限內(nèi)保留個人信息，天貓等三家網(wǎng)站表明以產(chǎn)品或服務(wù)需要為限，但未明確承諾時間最短。除此以外，法律規(guī)定留存、法定義務(wù)履行以及個人主動刪除也是影響網(wǎng)站信息留存期限的因素，多數(shù)網(wǎng)站表示會對超出隱私政策所述留存期限的信息進行刪除或匿名化處理。值得注意的是，百度表明會對相關(guān)逾期信息進行匿名化處理，不會用于商業(yè)化使用但仍然會依法保留；騰訊表示會在合理期限內(nèi)刪除或匿名化處理個人信息，但并未對“合理期限”予以具體說明；四川在線則是依照個人信息的不同等級確定存儲期限，按照法律法規(guī)要求最低期限不少于6個月，顯然只透露了最低留存時限而無從知曉其留存時間上限。由此可以看出，網(wǎng)站關(guān)于個人信息留存的時限界定較為模糊，存在違規(guī)操作的空間。

對個人信息質(zhì)量的保障要求，旨在防止因信息扭曲或泄露而致使個人權(quán)益遭到損害。包括天貓在內(nèi)的八家網(wǎng)站均表示采取了相應(yīng)的信息安全保障措施，以防止個人信息遭到未經(jīng)授權(quán)訪問、公開披露、使用、修改等。各網(wǎng)站對信息質(zhì)量保障的承諾標準和措施存在明顯差異，百度、愛奇藝等五家網(wǎng)站承諾其保護水平符合業(yè)界安全標準要求，且愛奇藝表明其保障措施涉及技術(shù)、組織架構(gòu)和管理體系等多層面，將最大程度降低信息安全風(fēng)險。在安全保障標準方面，天貓?zhí)峁┚W(wǎng)絡(luò)安全等級保護認證，搜狐進行了國家信息安全等級測評和備案，相較之下更具有直接性的說服力和權(quán)威性；嗶哩嗶哩則設(shè)立安全應(yīng)急響應(yīng)中心以及時響應(yīng)信息安全漏洞和突發(fā)事件，在安全保障提供方面更為及時；搜狐的權(quán)限管理制度進行數(shù)據(jù)權(quán)限拆分、最小授權(quán)，實行數(shù)據(jù)分級管理和保護制度，對敏感信息加密保護，在網(wǎng)站的數(shù)據(jù)安全保障方面表現(xiàn)出創(chuàng)新性和完備性。網(wǎng)站的信息保護措施為保證個人信息質(zhì)量提供了支持保障，但標準參差不齊、保護效力存疑的弊端也較為明顯。

信息主體參與其個人信息管理是實現(xiàn)信息自控、尊重主體信息自決權(quán)利的要求，當前，同意授權(quán)模式已成為隱私政策中普遍采用的信息自控方式，除此之外，法定的用戶權(quán)利涉及信息處理的多個環(huán)節(jié)。天貓等七家網(wǎng)站均明確告知用戶可通過訪問、更正或補充、刪除等方式管理個人信息；搜狐為用戶提供了獲取部分個人信息副本的權(quán)限，表現(xiàn)出較高的信息透明度。至于對個人信息管理請求的響應(yīng)，天貓承諾在15天內(nèi)做出答復(fù)，對處理結(jié)果不滿意可以通過天貓客服發(fā)起投訴，對用戶信息需求回應(yīng)較為高效；騰訊則表示在“合理的期限”予以回復(fù)；四川在線則未給出回復(fù)時限。因而，用戶對個人信息管理參與既存在透明性局限，也呈現(xiàn)出反饋滯后、效力不足的問題。

(四)個人信息的共享、轉(zhuǎn)讓與公開披露

網(wǎng)站對既有個人信息的使用不僅限于自身平臺，還涉及數(shù)據(jù)共享、轉(zhuǎn)讓以及公開披露的情形，這就涉及第三方甚至多方平臺的信息安全問題。清晰而有效的信息流轉(zhuǎn)或公開規(guī)則，有助于消除用戶對其個人信息“下游”應(yīng)用的擔(dān)憂，促進網(wǎng)站個人信息保護框架的完善。對信息流轉(zhuǎn)規(guī)范的考察主要包括：網(wǎng)站是否按要求事先開展信息安全影響評估，采取有效的保護措施；網(wǎng)站是否明確告知信息主體個人信息共享、轉(zhuǎn)讓或公開披露的目的、類型等具體情況，以必要的透明公開保障用戶對個人信息流轉(zhuǎn)的知情權(quán)；網(wǎng)站是否明確個人信息共享、轉(zhuǎn)讓以及公開披露而造成用戶合法權(quán)益損害的責(zé)任承擔(dān)。相應(yīng)的考察情況如表5所示。

表5 網(wǎng)站個人信息共享、轉(zhuǎn)讓與公開披露的合規(guī)情況

九家網(wǎng)站對個人信息安全影響評估規(guī)定的響應(yīng)甚少，僅愛奇藝聲明“我們的安全團隊將對信息數(shù)據(jù)的輸出形式、流轉(zhuǎn)、使用等做安全評估與處理等”，各網(wǎng)站對安全影響評估的規(guī)范要求顯然重視不足。從信息共享情況來看，天貓、百度、搜狐等表示，除特定情況(如個人授權(quán)、法律要求、合作共享等)以外，不會向任何第三方共享用戶個人信息；部分網(wǎng)站對第三方的信息權(quán)限進行了限制，承諾信息共享在合法、正當范圍之內(nèi)，且授權(quán)合作伙伴無權(quán)將信息用于任何其他用途；騰訊則采取“默認分享”但加以條件限制的形式進行信息分享，并表明會要求第三方平臺按照相關(guān)保密和安全措施進行處理；百度表示會采用加密、匿名化處理等手段保障個人信息流轉(zhuǎn)的安全。在信息流轉(zhuǎn)和披露方面，搜狐表示會對公開披露的信息采取符合業(yè)界標準的安全防護措施，并就披露信息方式、范圍征得用戶同意，也會對相關(guān)機構(gòu)法定的披露要求進行核實，表現(xiàn)出較為完善的信息保護程序。關(guān)于第三方平臺的保護標準，多數(shù)網(wǎng)站表示自身平臺現(xiàn)有的保護條款同樣適用于第三方平臺，搜狐、愛奇藝承諾只分享去標識信息，并將簽署嚴格的保密協(xié)議；騰訊、愛奇藝承諾將要求第三方平臺按照不低于原有的標準進行個人信息保護?？偠灾骶W(wǎng)站在信息流轉(zhuǎn)方面的安全評估意識匱乏，雖承諾將為個人信息提供安全保障，但并未明確信息公開及流轉(zhuǎn)的情形和具體信息內(nèi)容。

由于信息共享和轉(zhuǎn)讓涉及多方主體，明確權(quán)責(zé)即厘清數(shù)據(jù)參與主體的權(quán)限范圍以及責(zé)任尤為重要。對此，愛奇藝針對用戶個人、合作伙伴以及自身平臺分別做了責(zé)任承擔(dān)說明，表明其將嚴格按照其隱私政策的約定及相關(guān)法律法規(guī)的要求開展相關(guān)活動，并承諾愿意就其過錯承擔(dān)法律范圍內(nèi)的損害賠償責(zé)任，除此以外，對其他任何主體的行為后果不承擔(dān)法律規(guī)定范圍外的任何責(zé)任；寶寶樹聲明在處理用戶與他人的糾紛時，其僅會在法律有明確規(guī)定的情況下承擔(dān)相應(yīng)的法律責(zé)任；金融界、四川在線僅提及第三方、用戶個人的責(zé)任承擔(dān)。由此可見，個人信息共享與流轉(zhuǎn)過程中的責(zé)任承擔(dān)機制薄弱、信息安全難以保障。

四、我國網(wǎng)站個人信息保護的規(guī)范進程及問題透視

制定清晰而明確的隱私政策是個人信息保護法律規(guī)制背景下市場的普遍調(diào)適行為，日益成為數(shù)據(jù)驅(qū)動時代網(wǎng)絡(luò)服務(wù)運行的必備條件。當前，我國網(wǎng)站個人信息保護雖趨于規(guī)范，但自主規(guī)約匱乏和法制依賴問題依然堪憂，亟待尋求突破保護實效困境的方案。

(一)從自律到自覺：網(wǎng)站個人信息保護的自我規(guī)約進程

個人信息保護的法律框架對網(wǎng)站自律形成了有效的推動，市場競爭調(diào)節(jié)也促進了行業(yè)中個人信息保護機制的構(gòu)建。一方面，網(wǎng)站對個人信息的“自覺”保護初見成效，各網(wǎng)站隱私政策條款在更新中逐漸納入相應(yīng)的要求指標，隱私政策日漸完善。一些網(wǎng)站的條款內(nèi)容專業(yè)而明晰，較法定規(guī)范標準更為詳細，表現(xiàn)出良好的規(guī)范意識與負責(zé)態(tài)度。在一些自律規(guī)范條款項目中，部分網(wǎng)站做出了積極有益的嘗試，如百度、愛奇藝采用圖文結(jié)合的方式更為人性化地告知用戶；愛奇藝的未成年人保護條款在征求監(jiān)護人同意原則的基礎(chǔ)上，還承諾會主動向監(jiān)護人反饋未成年人在未經(jīng)許可時的使用情況；搜狐則實施了較為專業(yè)化的數(shù)據(jù)分級管理與數(shù)據(jù)權(quán)限拆分制度，在此方面的諸多探索與創(chuàng)新，有利于推進行業(yè)實踐中網(wǎng)站自律的規(guī)范化發(fā)展。另一方面，各網(wǎng)站隱私政策自律規(guī)范標準的行業(yè)化特征初顯，隱私政策條款內(nèi)容與網(wǎng)站的功能服務(wù)關(guān)聯(lián)密切，呈現(xiàn)出自律規(guī)約定制化趨勢。天貓與寶寶樹作為電商平臺，主要圍繞其平臺功能進行個人信息收集與使用，涉及諸多商品提供與交易支付的內(nèi)容條款；愛奇藝、嗶哩嗶哩作為網(wǎng)絡(luò)視頻平臺，其隱私政策條款則旨在說明視頻服務(wù)提供中的個人信息處理情況，與產(chǎn)品及用戶使用場景聯(lián)系較為緊密，由此反映出當前網(wǎng)站自律實踐中個人信息保護趨于標準化的特征。

(二)自主匱乏與法制依賴：網(wǎng)站個人信息保護自律規(guī)約的合規(guī)性困境

隨著我國個人信息保護規(guī)定的相繼發(fā)布，網(wǎng)站對個人信息的保護意識和實踐也日益完善，但基于網(wǎng)站隱私政策內(nèi)容條款的分析來看，當前依然顯示出諸多亟待解決的問題。其一，隱私保護存在較強的主體差異性，標準不一造成信息透明度不足，從而導(dǎo)致行業(yè)中個人信息處理“黑箱”現(xiàn)象。目前，距2017年6月《網(wǎng)絡(luò)安全法》、2018年5月《規(guī)范》的實施時隔已久，而網(wǎng)站隱私政策仍呈現(xiàn)出內(nèi)容詳略不一、完善程度參差不齊的局面，部分網(wǎng)站隱私政策的更新時間仍不明確，更有甚者仍未張貼隱私政策，從而無從知曉其個人信息處理情況，信息保護更無從談起；部分網(wǎng)站隱私政策(如愛奇藝、天貓)內(nèi)容文本字數(shù)達萬字以上，而也有網(wǎng)站(如金融界)的條款說明僅寥寥數(shù)條且無實質(zhì)性規(guī)定，趨于完備還是流于形式差距顯著，這也反映出自律規(guī)約尚缺乏統(tǒng)一的規(guī)范標準和有效的執(zhí)行監(jiān)督機制。其二，自律規(guī)范框架下信息主體議價能力薄弱，不平等協(xié)商造成網(wǎng)絡(luò)服務(wù)提供者與用戶之間權(quán)利失衡。知情同意原則在實際應(yīng)用中呈現(xiàn)諸多弊端，征求用戶同意的方式某種程度上已成為行業(yè)實現(xiàn)合規(guī)與合理化的“避風(fēng)港”，用戶并無實際選擇權(quán)。例如寶寶樹聲明，“如果您不同意本政策任何內(nèi)容，您應(yīng)立即停止使用寶寶樹平臺服務(wù)”，在這種“是”或“否”的規(guī)則面前，用戶幾乎無協(xié)商空間和議價能力，不利于形成合理而規(guī)范的市場秩序。為維護網(wǎng)站自身利益和發(fā)展需要，網(wǎng)站的隱私條款更傾向于強調(diào)平臺自身對個人信息的收集和使用權(quán)利，而對隱私保護的責(zé)任重視不足，主要表現(xiàn)為以“協(xié)約組合”的方式弱化用戶權(quán)利、拓展自身權(quán)限范圍，實際上則是對個人權(quán)益的侵蝕。其三，行業(yè)實踐中的自律保護呈現(xiàn)出法律框架下的依賴效應(yīng)，缺乏主動的探索創(chuàng)新。從各項指標的符合程度來看，法定的基本規(guī)范要求尚未全面落實，推薦性規(guī)范標準更是未獲得有效響應(yīng)，各網(wǎng)站對強制性指標執(zhí)行程度較高，而對引導(dǎo)性標準的滿足程度較低，由此反映出行業(yè)實踐中網(wǎng)站自律保護的滯后性，依賴法律推動而缺乏自主探索。此外，網(wǎng)站對自身權(quán)益的規(guī)定更為詳盡而靈活，而對用戶權(quán)益的相關(guān)描述則往往采用“合理期限”“可能”“盡力”等模糊詞匯，為其淡化責(zé)任、權(quán)利“越界”留存了空間，容易造成對用戶信任的破壞。因此，我國網(wǎng)站的自律意識與自律管理能力仍有待提升，個人信息自律保護的規(guī)范化依然任重而道遠。

五、法律規(guī)制與自律協(xié)同：我國網(wǎng)站個人信息保護問題應(yīng)對策略

大數(shù)據(jù)時代信息流動無處不在，個人信息保護既是個體發(fā)展的必要保障，也關(guān)乎行業(yè)生態(tài)構(gòu)建以及社會的健康發(fā)展。法律的功能在于以限制性標準達到使各種行為活動趨于合理的目的[22],法律規(guī)范只有對個人信息保護產(chǎn)生實際效果，才能有效推進行業(yè)中個人信息保護實踐，積極引入行業(yè)自律機制，構(gòu)建以法律規(guī)制為主導(dǎo)、行業(yè)自律有效協(xié)同的綜合治理體系，是我國應(yīng)對個人信息保護問題的可行之策。

第一，制定出臺專門的個人信息保護法，完善個人信息保護的法制體系，切實保障個人信息權(quán)益。在20世紀70年代，科技進步與社會發(fā)展促使歐美國家興起了個人信息保護立法熱潮，而如今大數(shù)據(jù)時代的沖擊使個人信息保護問題日益成為國際廣泛關(guān)注的焦點，個人信息專門立法的呼聲日益高漲，世界各國也紛紛加入個人信息立法保護行列。我國對個人信息的法律保護經(jīng)歷了從無到有、漸趨豐富的過程，但從既有的法律法規(guī)現(xiàn)狀梳理情況來看，我國當前對個人信息保護的規(guī)定散見于各類法律條文之中，呈現(xiàn)出零散化、碎片化特征，相互之間協(xié)同性不足。由于我國尚未制定施行專門的《個人信息保護法》，個人信息保護缺乏獨立、權(quán)威的法律依據(jù)。立法上的不明確，直接導(dǎo)致了個人信息保護范圍的不確定，是當前個人信息保護面臨諸多困境的重要原因，這也更加凸顯了大數(shù)據(jù)時代我國個人信息保護專門立法的必要性和緊迫性。因此，當前需要通過法律規(guī)制為個人信息的有序使用與自由流通提供堅實基礎(chǔ)，具體應(yīng)強調(diào)以下方面內(nèi)容：其一，明確個人信息屬性及范圍，保障個人信息權(quán)益。我國對“個人信息”的保護主要出于對“人格尊嚴”“個人隱私”等相關(guān)范疇的引申保護[23]，這種訴諸于侵權(quán)救濟的被動保護模式已難以滿足當前個人信息保護的需要，法律應(yīng)賦予個人積極能動的信息自決權(quán)，如訪問權(quán)、更正權(quán)、刪除權(quán)(被遺忘權(quán))以及GDPR中所規(guī)定的可攜帶權(quán)，以有效保障個人對信息的自控與自決。其二，強化各類網(wǎng)絡(luò)應(yīng)用的個人信息保護功能，以法律條款規(guī)定企業(yè)將個人信息保護要求納入其產(chǎn)品或服務(wù)的設(shè)計之中，借鑒GDPR中“通過設(shè)計和默認方式保護數(shù)據(jù)”(data protection by design and by default)的規(guī)定，要求企業(yè)采取必要的安全措施(如匿名化、數(shù)據(jù)加密等)，并向用戶提供清晰、易懂、可獲得的信息處理規(guī)范準則，提升信息處理的透明公開程度，推動企業(yè)運作中個人信息保護責(zé)任體系的構(gòu)建。其三，完善對未成年人等特殊群體的個人信息保護，規(guī)定企業(yè)對該類特殊群體提供相關(guān)產(chǎn)品或服務(wù)時，應(yīng)將對其信息收集和使用的特殊性納入考量，主動承擔(dān)相應(yīng)的社會責(zé)任，避免單一依賴監(jiān)護人同意授權(quán)，同時應(yīng)強化對特殊群體信息權(quán)益損害的懲罰力度。其四，引入數(shù)據(jù)評估與數(shù)據(jù)泄露通知制度，明確要求企業(yè)定期開展數(shù)據(jù)安全評估，并向相關(guān)監(jiān)督管理部門提交評估報告，一旦發(fā)生未經(jīng)授權(quán)的數(shù)據(jù)泄露及其他可能導(dǎo)致個人信息權(quán)益受損的情形，應(yīng)及時采取應(yīng)對補救措施，并向相關(guān)部門以及受損主體通知問題處理進度。其五，加強對個人信息的跨境流動監(jiān)管，針對企業(yè)的信息跨境流轉(zhuǎn)活動，應(yīng)向個人明確披露信息流轉(zhuǎn)用途及方式，并取得個人的明確同意，在經(jīng)由監(jiān)管部門對其信息安全影響認定通過后，方可獲得個人信息轉(zhuǎn)移許可。隨著2019年10月我國《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》的正式實施，2020年10月《個人信息保護法(草案)》公布并公開征求意見，我國的個人信息保護將進入專門的、精細化的法律保護階段，這也進一步表明個人信息立法保護的必要性和時代趨勢。

第二，頒布行業(yè)個人信息保護法，構(gòu)建個人信息保護特別法規(guī)體系。統(tǒng)一的個人信息保護法具有系統(tǒng)性、權(quán)威性優(yōu)勢，但綜合性保護立法也面臨不同行業(yè)的適應(yīng)性問題，過于概括性和抽象性的內(nèi)容，往往難以適應(yīng)不同行業(yè)領(lǐng)域的具體情況，面臨實際應(yīng)用中的局限性。為更好地滿足特殊行業(yè)、特殊領(lǐng)域個人信息保護的需要，應(yīng)制定有針對性的行業(yè)個人信息保護法，例如，歐盟的《電子通信數(shù)據(jù)保護指令》、美國的《電子通信隱私權(quán)法》和《家庭教育權(quán)利與隱私法》[24]等，都是針對特殊領(lǐng)域而專門定制的法律，這對于不同行業(yè)的個人信息保護而言，更具專業(yè)性和可操作性。我國針對行業(yè)個人信息保護的分散立法可借鑒美國經(jīng)驗，采取統(tǒng)一立法基礎(chǔ)上輔以行業(yè)特別法的個人信息保護模式，針對不同行業(yè)(如通信、醫(yī)療、金融等)所呈現(xiàn)問題的特殊性，制定相應(yīng)的法律予以規(guī)范，從而有效推進法律要求有效轉(zhuǎn)化為行業(yè)自治規(guī)則，發(fā)揮行業(yè)在個人信息保護中的積極作用。

第三，設(shè)立統(tǒng)一的個人信息保護機構(gòu)，健全個人信息保護的協(xié)調(diào)管理機制。通過專業(yè)化的個人信息保護機構(gòu)，為法律規(guī)范應(yīng)用實踐提供必要支持，已成為各國推進個人信息保護有效開展而廣泛采取的做法，如德國信息保護委員會、法國政府信息獲取委員會、新加坡個人信息保護委員會等[25]，其在落實個人信息保護條款、保障個人信息權(quán)益中發(fā)揮了重要作用。當前，我國對個人信息保護問題的監(jiān)管主要是通過傳統(tǒng)的監(jiān)管機構(gòu)職責(zé)延伸至各行各業(yè)[26]，而對于大數(shù)據(jù)時代兼具專業(yè)性和復(fù)雜性的個人信息保護問題而言，更需要特定的信息保護機構(gòu)履行監(jiān)督管理職責(zé)，對企業(yè)的個人信息保護機制進行科學(xué)鑒定，提供標準化的信息安全認證，并針對行業(yè)中可能存在的個人信息安全問題提供專業(yè)化的應(yīng)對方案，對行業(yè)中的個人信息保護情況予以全面監(jiān)督。與此同時，為個人提供系統(tǒng)而完善的維權(quán)路徑、為企業(yè)提供非法信息處理行為的舉報平臺，有利于監(jiān)督行業(yè)個人信息保護實踐對法律要求的落實情況，調(diào)動多方主體參與到監(jiān)督管理之中，切實保障個人信息權(quán)益。因而，我國可借鑒國際經(jīng)驗(如法國、新加披、日本等)，成立專門的信息管理與協(xié)調(diào)機構(gòu)，由專業(yè)人員組成“信息委員會”，實施專業(yè)性的信息監(jiān)督管理措施，為相關(guān)主體提供科學(xué)、權(quán)威的評判。由此，個人可充分知情自身的信息安全風(fēng)險情況，以及時采取必要安全措施，企業(yè)則可將專業(yè)化的鑒定結(jié)果作為其信息公開與決策制定的依據(jù)，從而實現(xiàn)行業(yè)中個人信息保護的動態(tài)平衡。

第四，構(gòu)建行業(yè)個人信息保護自律規(guī)范體系，提升行業(yè)自主規(guī)約能力。自律規(guī)約機制與行業(yè)的個人信息保護實踐密切相關(guān)，只有實現(xiàn)個人信息保護的法制框架與行業(yè)自律機制有效協(xié)同，才能擺脫法制依賴的被動局面，激發(fā)行業(yè)個人信息保護的自主創(chuàng)新。因此，就企業(yè)微觀層面而言，應(yīng)樹立信息安全理念、提升信息處理規(guī)范意識，主動將信息安全要求納入其組織管理與發(fā)展戰(zhàn)略之中，建立企業(yè)內(nèi)部的信息安全評估制度，以有效識別和防范可能的信息安全風(fēng)險，及時采取補救或預(yù)防措施，在自我規(guī)約實踐中踐行個人信息保護責(zé)任，其政策制定應(yīng)從長遠視角看待問題，考慮到社會與組織的關(guān)系。當前，個人信息保護已不僅僅是執(zhí)行操作的問題，而是關(guān)乎市場競爭以及企業(yè)未來發(fā)展的戰(zhàn)略性決策，只有符合信息化時代的規(guī)則秩序和發(fā)展潮流，才能在行業(yè)競爭中脫穎而出。所以，企業(yè)應(yīng)重視自身數(shù)據(jù)管理與信息處理能力的提升，積極推進個人信息保護的自主創(chuàng)新，以前瞻性的發(fā)展規(guī)劃謀求行業(yè)競爭優(yōu)勢。從行業(yè)宏觀層面來看，應(yīng)加快完善個人信息保護行業(yè)自律規(guī)范體系的構(gòu)建，打造標準化的自律規(guī)范秩序。2001年，由中國互聯(lián)網(wǎng)協(xié)會發(fā)布的《中國互聯(lián)網(wǎng)自律公約》，對我國個人信息保護行業(yè)自律機制的建立具有重要意義，隨著大數(shù)據(jù)時代個人信息應(yīng)用的日益成熟，應(yīng)針對不同行業(yè)特性及其信息處理活動特征，建立完善的行業(yè)自律規(guī)約準則，為行業(yè)中信息處理活動的有序開展提供詳細的、可操作的規(guī)范指引。同時，行業(yè)協(xié)會應(yīng)對行業(yè)自律條款的執(zhí)行情況進行監(jiān)督，定期公布嚴重違背個人信息保護自律準則的黑名單，發(fā)揮市場調(diào)節(jié)中的優(yōu)勝劣汰機制，與法律規(guī)范要求形成良好呼應(yīng)。

六、結(jié) 語

技術(shù)的進步日益提升信息價值的挖掘和應(yīng)用能力，傳播的智能化對個人信息安全不斷發(fā)出挑戰(zhàn)。在信息資源價值日益凸顯的時代背景下，個人信息成為兼具個體性和公共性的戰(zhàn)略資源，對個人信息的保護不僅關(guān)涉?zhèn)€人利益，也關(guān)乎社會整體利益，如何在信息利用和保護個人信息權(quán)益之間實現(xiàn)合理權(quán)衡，是個人信息保護法律規(guī)制和行業(yè)自律所面臨、且有待持續(xù)探討的命題。隱私政策作為網(wǎng)絡(luò)服務(wù)提供者對個人信息處理的公開承諾，反映了企業(yè)在利用個人信息獲取收益與承擔(dān)社會責(zé)任之間的價值平衡，是行業(yè)個人信息保護實踐的重要環(huán)節(jié)。面對席卷而來的信息化潮流，個人信息保護問題的治理涉及多元復(fù)雜的利益格局，合理、規(guī)范化秩序的構(gòu)建，還有待于法律框架與行業(yè)自律的有機結(jié)合與良性互動，通過多元主體合作參與，共同推進個人信息保護的規(guī)范化進程。