您好,欢迎光临北大公法网! 中文版|ENGLISH|老网站入口

联系我们

北京大学宪法与行政法研究中心
地址:北京市海淀区颐和园路5号北京大学法学院四合院
电话:86-10-62760063
传真:86-10-62760063
E-mail:pkupubliclaw@126.com
您当前的位置:首页 > 公众参与

从隐私政策披露看网站个人信息保护——以访问量前500的中文网站为样本

作者:冯洋   点击量:973

       摘   要:隐私政策披露是网站运营者在个人信息保护领域进行自我规制的重要方式。通过分析网站隐私政策披露的情况可以观察网站运营者保护用户个人信息的实际状况,进而为完善网站个人信息保护制度提供指引。目前我国网站隐私政策披露机制初步建立,但远未达到理想的状态。当前存在遵守法定保护规范不理想、与推荐性保护规范脱节、受域外规范影响显著等三大特点。隐私政策披露的现状显示网站运营者自我规制状况堪忧,而相关部门的监管也存在困境。网站运营者应逐步提高隐私政策的披露力度,自觉接受外界的监督,而监管改革可以从适度集中监管权、探索新型监管手段和提高规则的威慑力三个方面入手。
       关键词:隐私政策;披露;个人信息保护;自我规制;立法模式


无法准确把握个人信息保护的实际状况是世界各国在信息时代面临的共同难题。[1]网站隐私政策披露有望成为解决这一难题的关键环节。隐私政策是实现个人信息保护机制“告知-同意”效力的最重要手段。[2]通过隐私政策的披露,网站运营者得以向用户全面展示其个人信息保护的实践,而用户也可以就该问题向网站运营者提出申诉。隐私政策的有无及完善的程度,决定了网站运营者和用户之间是否能够保持充分的互动。[3]将隐私政策的内容同法定的保护规则进行对比,可以观察企业守法的程度。[4]剖析隐私政策纳入推荐性保护要求和创新性保护规则的情况,可以观察网站运营者在自我规制方面的努力。[5]当然,隐私政策主要是企业单方面的承诺,并不能当然地反映其个人信息保护的实际情况。但总结提炼这类承诺具有揭示事实真相的效果,因为披露隐私政策的企业不一定完全按照其承诺的规则来行事,但是未作出承诺或者作出极为有限承诺的企业,其个人信息保护的状况必然难以达到理想状态。本文以访问量排前500中文网站的隐私政策为样本,通过统计分析,评析网站保护用户个人信息的实际状况,进而为我国相关制度的完善提出建议。

一、隐私政策披露、企业自我规制与立法模式选择

隐私政策披露体现了企业在用户个人信息保护方面的自我规制。围绕自我规制的法律定位,欧盟和美国代表了两种不同的立法模式。美国采取企业自我规制为主,政府规制为辅的模式。[6]1998年美国联邦贸易委员会在递交国会的报告中首次明确表示,企业自我规制应是实现个人隐私保护的首要规制工具,其重要程度超过技术解决、消费者教育和政府规制等规制工具。[7]尽管欧盟立法模式被世界越来越多的国家所采纳,但是美国仍然坚持其自我规制为主的规制进路。2008年美国个人信息保护领域的代表学者保罗·斯瓦茨在耶鲁法律学刊上撰文指出,美国应坚持分散立法,允许包括企业在内的多个规制主体共同探索个人信息保护的最佳实践。[8]

欧盟立法在个人信息保护方面采取政府规制为主、企业自我规制为辅的进路。欧盟秉持对社会权利进行全面保护的理念,认为公法是保障包括隐私权在内的公民基本权利的基础,国家权力应积极介入到权利保护的实践中去。[9]基于这一理念,西欧各国从上世纪70年代初期便逐步开始制定综合性的个人数据保护法。欧盟于2016年制定的《一般数据保护条例》继续秉持全面保护理念。参与该条例起草的学者保罗·赫特声称《条例》是“保护个人隐私权的坚实法律基础”,也是“欧盟人权保护领域值得庆贺的新篇章”。[10]欧盟个人数据保护立法的快速推进为网站运营者确立了越来越高的保护标准。在强调政府规制主导地位的同时,欧盟及其成员国政府也认为有效的个人信息保护有赖于政府规制和企业自我规制的互动。欧盟通过发布白皮书、行动计划鼓励企业披露隐私政策,积极落实法定的保护要求。[11]

网站隐私政策披露问题已引起西方学术界的广泛关注。自2000年以来,从不同视角和学科探讨隐私政策的学术成果陆续问世。现有学术成果集中探讨的问题包括隐私政策的形式[12]、内容的合法性[13]、影响披露的因素[14]、披露的效果[15]等。现有的研究揭示了隐私政策披露的若干重点问题,但也存在明显的局限:它们基本是在美国法的背景下展开,以美国网站或世界五百强企业网站为研究对象,缺乏针对其他国家和地区隐私政策披露的研究成果。当前无论是国内还是国外学术界,针对中文网站隐私政策披露的研究尚未引起足够的重视。[16]我国2016年《网络安全法》建立了7项基本保护规则。国家标准委员会于2017年出台的推荐性国家标准《信息安全技术—个人信息安全规范》(以下简称《规范》)则在法定规则基础上,提出了5项较高要求。2018年9月第十三届全国人大常委会将《个人信息保护法》列入第一类立法规划。2019年4月修订的《政府信息公开条例》在进一步保障公民获得政府信息的同时,也间接地对政府处理和保护公民个人信息提出了更高的要求。[17]在相关立法工作逐步推进的关键节点上,本文通过分析网站运营者隐私政策披露的现状,剖析其与法定规范的契合度,进而探究我国个人信息保护的实践,以期为相关立法提供理论参考。

二、样本的选取与整体情况分析

本文选取访问量前500位中国大陆网站的隐私政策作为研究样本。样本主要从Alexa网站上集中收集。Alexa是一家由美国亚马逊公司开发的数据分析网站,该网站提供全球范围内网站访问量排名信息。[18]由于Alexa网站上的信息每天更新,为了确保样本数据的准确性和客观性,我们于2018年12月1日集中搜集了所需的样本信息。按照访问量来收集样本的原因在于访问量越高的网站对网民的影响越大,收集的个人信息也越多。以行业为标准来选取样本也是一个可行的方法,但笔者没有选择这一方式,因为在许多行业中,某个或者某几个企业往往具有显著的市场支配地位,而剩余企业的市场份额极低,如果将某个行业的全部或者相当部分企业都纳入到样本中,反而会在实质上降低样本的覆盖面和代表性。搜集结果显示,我国网站访问量十分可观。全球访问量排名前10的网站中有5个是中国网站;而在全球访问量前20网站的榜单里,中国有8个网站上榜。[19]运营网站的企业或个人如何保障这些信息的安全就构成了我国个人信息保护的重要一环,这凸显了本研究的价值。

在访问量排前500位的网站大样本中,公开披露其隐私政策的网站数量为348个,占大样本的比例是69.6%。在访问量排前100位的网站中,有80个网站披露了隐私政策。以上数据表明我国访问量排前列的网站运营者已经初步建立了隐私政策披露机制。为了探究隐私披露同访问量的关系,我们以“是否披露隐私政策”为因变量,以访问量为自变量,通过Probit回归分析方法进行检验,发现P值仅为0.0165,这表明隐私政策的披露同访问量存在显著正相关的关系。[20]换言之,检验结果显示访问量越高的网站,越倾向于披露隐私政策。反观大样本中有152个网站未披露隐私政策,占网站总数的30.4%。我国《网络安全法》第41条明确规定,网络运营者应当公开收集、使用个人信息的规则,明示收集、使用信息的目的、方式和范围。由此可见,网站运营者披露隐私政策已成为一项法定义务。而未披露隐私政策的网站在事实上已处于违反《网络安全法》关于公开透明规定的状态。[21]隐私政策的缺失表明这部分网站运营者在用户个人信息保护方面持消极态度,在收集、使用个人信息的过程处于黑箱状态,导致用户往往无法及时知晓个人信息泄露和滥用的情况。

三、隐私政策与现行保护规则的契合度分析

在解决了隐私政策有无的问题后,接下来就要进入实质内容的讨论。核心问题是大样本中的348个隐私政策在多大程度上遵守《网络安全法》和《规范》的标准?这个问题可以分解为3个子问题。首先,这些隐私政策在多大程度上遵守《网络安全法》的基本要求?其次,这些隐私政策在多大程度上遵守《规范》的推荐性要求?最后,这些隐私政策是否有超越上述两类正式规范的规定?

(一)隐私政策是否遵守《网络安全法》的7项基本要求?

2000年12月全国人大常委会通过了《全国人大常委会关于维护互联网安全的决定》,该决定的出台标志着我国个人信息保护立法的起步。经过十多年的立法推进,《刑法》《消费者权益保护法》《网络安全法》等若干法律已经纳入了个人信息保护的规定。在这些法律中,《网络安全法》对于网络运营者个人信息保护义务的规定最为全面和细致,可以总结为7项要求。

从内容上看,上述《网络安全法》的7项保护要求符合上世纪70年代初美国的“公正信息处理原则”。[22]此外,上述7项要求与经合组织1980年出台的《隐私保护与个人数据跨境指引》保持基本一致,保护力度稍弱于后者。[23]鉴于“公正信息处理原则”和《指引》都已成为世界普遍承认的个人信息保护基本标准,《网络安全法》的出台表明我国的个人信息保护规则符合世界通行规则。因此,本研究按照《网络安全法》的7项要求将样本隐私政策的内容进行分解和归类。样本中348个隐私政策所囊括单项保护要求的理论最大值是348个(即所有隐私政策都纳入了此项保护要求),因此符合每项要求的条款总数应是等于或者小于348。

我们可以发现样本隐私政策覆盖法定基本要求方面较不完善,不同的法定要求被遵守的程度存在很大差异,其中只有第四项法定标准得到普遍的遵循(93.4%)。在348个隐私政策中,约有三分之一是以简短的声明形式出现,其中往往包括第4项标准,一般表述为“对于用户的个人信息,本网站予以严格保密”或者“本网站不会向任何第三方披露、转让或者出售用户个人信息”。其它6项标准的遵循比例在48%(个人申诉)到63.5%(安全保护)之间。可见样本中隐私政策的内容很不全面,覆盖的保护要求数量有限且存在很大差异。需要引起注意的是相当部分的隐私政策是在《网络安全法》通过以前(2016年11月7日)制定或者最后修订。而在此之前,我国法律对于网络运营者的个人信息保护仅有原则性规定。[24]许多网站纳入的若干个人信息保护规定在当时属于高于实在法的创新性要求,但是当《网络安全法》出台后却又陷入无法完全满足法定要求的困境。该困境表明网站运营者在个人信息保护方面进行自我规制的主动性不足,也表明网站运营者回应立法要求十分迟缓。

(二)隐私政策是否遵守《规范》的5项较高要求?

国家标准委员会于2017年12月发布的国家标准《规范》对个人信息控制者的个人信息保护义务进行了较为全面和详细的规定。《规范》包含两个方面的主要内容:一是纳入了实施性的规则,目的是细化《网络安全法》关于个人信息保护的规定。例如《规范》5.3和5.4对什么是个人授权同意及其例外情形进行了列举,又如《规范》7.11对信息控制者回应个人申诉的期限、程序等问题进行了较为细致的规定。二是强化和新增了个人信息保护的要求。具体体现在以下5项要求之中。

尽管《规范》属于非强制性的国家标准,但是该标准具有较强的规范意义,对于执法部门、司法机构和企业而言具有重要的参照价值。《规范》对于我国网络运营者个人信息保护的积极影响可以从以下两个方面来认识。首先,《规范》有助于推动企业加强对用户个人信息的保护力度。《规范》的较高要求更接近公众对其个人信息保护的预期,这同企业探索最佳商业实践是一致的,这有助于增强企业保护个人信息的动力。其次,《规范》具有制度探索上的重大意义。《规范》确立的超实定法的若干要求可以先由企业自愿实施,待时机成熟后,再通过立法加以确认。因此,《规范》的出台和实施可以起到“试验田”的作用。[25]综合以上论述,《规范》的规定为我们审视网站隐私政策提供了可靠的第二类标准。

总体而言,样本网站的隐私政策遵守《规范》较高要求的程度偏低。在这5项要求中,遵守程度相对较高的是第4项“确保个人访问”,共有142个隐私政策遵守该要求,占隐私政策总数的40.8%。值得注意的是,从比较法的角度而言“确保个人访问”并非高标准保护要求。该要求早在1980年就被经合组织确认为个人信息保护的8项基本要求之一。样本网站遵守《规范》其它4项要求的情况更能说明问题。这4项要求被遵守的程度要远低于“确保个人访问”的要求,其中共有84个隐私政策承诺在合理期限内保存用户个人信息,占隐私政策总数的24.1%。而承诺给予敏感信息特殊保护的隐私政策共有53个,占隐私政策总数的15.2%。仅有10个隐私政策遵循第5项标准,即建立安全影响评估制度。而第1项标准“最小化收集”被遵守程度就更低了,没有任何隐私政策承诺按照《规则》的最小化标准来收集用户个人信息。这些网站更倾向于使用只收集与提供的服务“相关的”或者“必要的”个人信息等模糊表述。

(三)隐私政策是否存在超越《网络安全法》和《规范》的规定?

虽然《网络安全法》和《规范》的要求覆盖面较广,但是鉴于隐私政策在内容上的多样性,这些隐私政策可能包含未被上述两类规范所囊括的新规定。笔者逐个分析了隐私政策文本,验证了这一设想。通过文本分析,从中提炼出3项较为普遍的用户个人信息保护要求,分别是(1)明示cookie技术的使用;[26](2)对未成年人个人信息的特别保护;(3)对个人数据跨境传输的限制。

第一项较为普遍纳入的规定是明示cookie技术的使用。样本中有190个隐私政策对cookie技术的使用进行了规定,占隐私政策数量的54.6%。这些规定的内容主要包括阐释cookie的功能和目的,该技术收集用户信息的范围以及用户的权利等。这些隐私政策一般明确表示cookie的功能在于识别用户身份、收集用户的偏好和习惯,利用cookie的目的在于更好地刻画用户的特征,进而为用户提供个性化的服务和广告。明示收集的信息包括注册信息、通讯信息、位置信息等。此外这些隐私政策普遍承诺用户有权禁用或者清除cookie。

第二项较为普遍纳入的规定是对未成年人个人信息的特别保护。共有144个隐私政策规定了对未成年人个人信息的保护,占隐私政策总数的41.4%。这些隐私政策普遍要求未满18周岁的未成年人注册账号和使用网站服务前应获得其法定监护人的同意。部分隐私政策还要求网站收集、共享、转让和披露未成年人个人信息前应获得其法定监护人的明示同意。个别网站还纳入了更为严格的规定,如微信(网页版)的隐私政策规定,13岁以下的儿童不得使用微信,该网站也不会收集13岁以下儿童的个人信息。[27]

第三项普遍纳入的规定是关于个人数据跨境传输的限制。对个人数据跨境传输进行限制的合理性在于数据具有无限复制、瞬时传输和转移成本极低的特性,传统的海关等出入境管理无法对数据出境进行有效的监管。如果放任个人数据出境,将使境外不法分子利用所在第三国个人信息保护力度较弱的“优势”,恶意利用本国公民的个人信息,最终损害信息主体的利益,也将使本国个人信息保护的努力大打折扣。[28]样本中共有53个隐私政策规定了个人数据的跨境传输问题,占隐私政策总数的15.2%。这些隐私政策普遍要求在中国境内产生的个人数据应在境内存储为原则,当有必要传输至其他国家时,应遵循如下规则:(1)获得用户的同意;(2)采取去标识化和匿名化等安全措施;(3)按照法律法规的要求进行安全评估;(4)承诺将按照隐私政策的要求为出境后的个人数据提供同等的或者足够的保护等。考虑到并不是所有网站有数据跨境传输的需求,占比达15.2%也属于不低的比例。

四、隐私政策披露实践中的问题

基于前文的统计与分析并结合我国个人信息保护制度,笔者认为我国中文网站隐私政策披露已取得一定程度的进展。超过半数的样本网站选择披露隐私政策,这说明对于具有访问量优势的网站而言,隐私政策披露已成为较为普遍的自律行为。但总体来看,样本网站隐私政策披露仍处于初级发展阶段,同我国的法定要求、推荐性标准以及世界个人信息保护制度的新发展仍然存在较大的差距。而这一差距如果不能弥合,将对我国《个人信息保护法》的制定和实施产生不利影响。总体而言,我国隐私政策披露显示的个人信息保护问题可以从两个方面进行观察,即包括网站运营者自我规制的实践以及主管机构的监管实践。

(一)网站运营者自我规制现状堪忧

从自我规制的角度来看,可以发现尽管隐私政策披露取得了一定的发展,但是仅66%的披露比例说明,目前的网站隐私政策披露还有较大的提升空间。网站运营者收集和处理用户个人信息的实践在很大程度上处于不为外人所知的“黑箱”状态。包括监管机构在内的外部主体很难了解“黑箱”的原理和运行流程,从而给监管带来很大的困难。网站运营者的个人信息处理实践的不透明表明网站欠缺保护用户个人信息的自律意识和自律行动。

首先,仍有相当比例的网站未披露隐私政策。根据上文统计,仅有三分之二的样本网站披露了隐私政策,与西方同类研究进行对比可以发现我国网站隐私政策披露的比例偏低。[29]未披露隐私政策也许并不必然表明网站运营者有滥用用户个人信息的事实,但至少可以说明网站运营者缺乏对用户个人信息保护的重视。从样本选择角度来看,低披露比例很可能只是中文网站个人信息保护的诸多问题中的冰山一角。上文通过Probit回归分析指出,网站访问量同隐私政策披露呈显著正相关的关系,即访问量越高,隐私政策的披露比例越高,反之亦然。目前我国中文网站总数已超过500万个。这些海量中文网站总体披露比例必然远低于访问量排前500位的中文网站。从这一角度而言,中文网站整体上的用户个人信息保护状况不容乐观。

其次,低标准的法定义务未能全面落实。上文统计显示,《网络安全法》第4项法定要求“使用限制”被93.4%的隐私政策所纳入外,其它6项法定要求的纳入率均在半数左右。这一守法状态显然是难以令人满意的。较低的纳入率并非源于我国法定规则不合理或标准过高。上文指出我国《网络安全法》的7项法定要求与上世纪80年代初所确立的第一代国际规则保持基本一致。上世纪90年代中期以后,西欧国家积极探索个人信息保护的规则,大幅提高了保护的标准,由此形成以欧盟1995年《数据保护指令》为代表的第二代国际规则。因此我国法定保护标准不是过高,而是偏低。鉴于目前偏低的保护要求,我国未来的《个人信息保护法》在个人信息的保护范围和保护力度上均需要大幅度充实和强化,但考虑到目前低标准的保护要求都无法全面落实,未来的高标准保护要求如何贯彻实施,则不无疑问。

再次,高标准的推荐性规范未获得普遍响应。从上文的统计来看,《规范》的较高要求在样本隐私政策中有一定程度的体现,但总体情况不佳。除“确保个人访问”被约4成的隐私政策纳入外,其它4项较高要求的纳入率不足3成,这其中“最小化收集”没有被任何一家网站的隐私政策所纳入。隐私政策响应《规范》的情况不如人意是因为《规范》的要求过于超前吗?如果将《规范》同域外规则进行比较,可以发现事实并非如此。早在1980年经合组织的《隐私保护与个人数据跨境指引》就纳入了“确保个人访问”这一要求,其属于第一代世界普遍规则。

《规范》的其它要求则部分地借鉴了欧盟1995《指令》的规定,因此《规范》的出台可被视为我国个人信息保护规则同全球第二代保护规则接轨的尝试。[30]但实践中网站隐私政策的内容同《规范》的要求契合度过低,这也说明当前我国网站个人信息保护的力度同当前全球普遍保护水准还有相当大的差距。

最后,缺乏基于本土实践的规则创新。上文统计的超越《网络安全法》和《规范》的3项普遍要求,尤其是明示cookie的适用和对未成年人的特别保护,被较多的隐私政策所纳入。应当说,上述新要求并非是样本中的网站运营者根据本土个人信息保护实践而创造的规则,而是借鉴国际上普遍承认规则的结果。诚然我国未来个人信息保护立法应广泛借鉴域外成熟的立法经验,但也应积极探索和建立具有本国特色的规则。尽管欧盟和美国都将隐私权作为宪法上的基本权利,但由于保护理念与权利位阶等方面的差异,这两个地区在个人信息保护立法形式、具体规则设计、司法审查的强度等方面呈现出显著且不可弥合的差异。[31]欧盟和美国在文化和政治制度上同根同源,但两者在个人信息保护制度构建方面尚且存在如此大的不同,那么异质性更强的中国更应构建具有本国特色的个人信息保护制度。

(二)主管部门的监管困境

网站运营者未披露或未完全披露隐私政策,都属于违反《网络安全法》上“公开透明”规则的行为。而未披露或未完全披露现象的普遍、持续存在表明我国网站用户个人信息安全状况堪忧。通过本文的分析,我们有理由相信网站运营者未履行用户个人信息安全义务甚至恶意滥用个人信息的现象并不少见,目前窥见的仅是冰山一角而已。[32]根据《消费者权益保护法》和《网络安全法》的规定,对于侵害个人信息的行为,相关主管部门应责令改正,并可以根据情节处以从警告、罚款直至吊销营业执照的行政处罚。但在实践中主要是对自然人非法获取、出售个人信息等严重侵犯公民个人信息的行为实施刑事制裁,而极少对企业收集、利用用户个人信息失范的行为处以行政处罚。应当说,个人信息保护监管体制上的弊端,是产生这种“惩戒失衡”现象的根本原因。

第一,我国个人信息保护监管机构的设置尚待完善。从机构设置来看,我国是将个人信息保护监管权分散赋予各类政府监管机构。与我国分散式执法不同,欧盟的《数据保护指令》和《一般数据保护条例》设置了专门的数据监管机构,并将机构统一设置和监管职权强化作为保障法律实施的最重要环节。当然,分散式执法和集中式执法各有其内在的优势与劣势,不能一概而论。对于分散式执法而言,其最大的优势在于能够发挥各主管部门的专业优势,能够更有针对性地对本领域个人信息保护问题进行监管。但遗憾的是,分散式执法的功能优势未能在我国个人信息保护的实践中得以发挥。由于我国的监管机构已有各自的传统监管任务,使得多数部门未将个人信息保护作为自己的主要工作职责。

第二,我国监管机构尚未发展出常态化、积极的执法手段。实践中往往是在出现大规模个人信息滥用和泄露等丑闻且引发舆情后,监管机构才启动针对涉事企业的审查和处罚程序。如此操作不仅是滞后的,而且存在挂一漏万的情形。例如,2018年初的支付宝账单事件是一个典型的事例,支付宝推出的查询账单功能在收集用户信息时存在误导用户的情况。在该事件引发全国范围的强烈反响之后,中国人民银行杭州支行才对该公司开出了罚单。[33]

第三,我国监管机构缺乏相应的技术力量对网站个人信息保护状况进行有效的监督。随着互联网经济和互联网平台企业的兴起,由于自身技术力量的不足,监管机构已开始要求互联网平台机构利用其技术优势承担一定的监管职能。国家网信办于2018年颁布的《即时通讯工具公众信息服务发展管理暂行规定》第8条要求即时通讯工具服务提供者应承担审核公众账号开设的义务。实践中,监管机构越来越频繁地要求互联网企业提供结构化程度很高的数据,该数据已成为监管机构对平台内商户进行常规执法的重要参考。技术上的差距必然会影响监管机构对互联网企业个人信息保护的实践展开有效的执法检查。

总之,我国行政主管部门的监管困境不仅不利于保障网站用户的个人信息安全,从长期来看也将导致企业怠于履行隐私政策披露和个人信息保护的法定义务。这一状态不利于企业的长远发展,尤其不利于开拓海外市场。在个人信息保护领域,即使本国执法机构未采取积极的监管措施,也并不意味着该违法行为能够规避处罚。目前来看,外国执法机构“先行”或“代为”处罚的现象已开始出现,例如,最近的抖音国际版被美国监管机构处罚便是典型事例。2019年2月美国联邦贸易委员会作出裁决,以违反《儿童隐私保护法》为由,对抖音国际版处以高达570万美元的罚款。[34]欧盟《一般数据保护条例》的处罚以涉事企业全球营业总额为基础,最高可达该总额的4%。[35]这意味着一家中国企业,尽管其大部分业务在国内,但在欧盟境内违反个人信息保护法的商业行为也有可能引发针对该企业整体上的巨额罚款,从而对其生存和海外业务的开拓产生重大影响。

五、结论与展望

文本的实证研究所揭示的问题可以从两个方面进行总结。一方面,网站隐私政策或多或少地纳入了法定要求、推荐性要求和若干域外要求,部分要求的纳入率较高,这表明我国网站运营者的自我规制已取得了初步的发展。考虑到《网络安全法》和《规范》的颁布时间不长,相关规定的实施还在探索中,目前隐私政策披露所取得的进展集中体现在网站运营者在自我规制上的努力。企业自我规制已成为我国个人信息保护体系不可忽视的一环。另一方面,网站运营者的自我规制远未达到理想的状态。在法定要求和推荐性要求均低于世界第二代普遍保护标准的情况下,网站隐私政策无论是披露比例还是内容完整度仍然不高,其实际的保护状况令人担忧,这同时也表明,网站自我规制并不适合作为保障个人信息安全的主要规制手段。虽然未来以隐私政策披露为代表的自我规制将继续发展,并对个人信息保护发挥积极作用,但企业自我规制的效果是缓慢释放的,无法在短期内提升我国个人信息保护的整体水平。因此美国以自我规制为主的数据隐私保护模式在我国难以复制和推行。完善网站隐私政策的首要工作是提高其合规程度,未来的制度构建应围绕网站保护实践和主管部门的监管实践展开。

从网站自我规制来看,应大幅提高网站运营者披露隐私政策的水平。只有将网站运营者的用户个人信息收集和处理实践较为频繁地公开,才能在一定程度上打破其技术黑箱,从源头上防治个人信息的滥用。[36]具体的改革可以从两个方面着手:

第一,构建更为全面的保护规则体系。网站运营者应严格遵循法定保护规则的要求,同时根据自身情况,积极纳入推荐性规则。为了更好地发挥引导作用,应在充分考虑当前企业隐私政策披露发展现状的基础上对《规范》进行修订,全面纳入符合实际需要的体现较高保护水平的规则。一方面应有选择地借鉴西方个人信息保护立法的经验。欧盟和美国是世界范围内最有价值的科技产品和服务市场,借鉴其有益的立法经验也能降低我国企业遭遇执法机构处罚的可能性,从而有助于打开欧美市场。另一方面应总结提炼我国本土个人信息保护的实践经验,并结合大数据技术创新,努力建构创新型的个信息保护规则,从而打破欧盟和美国在构建全球个人信息治理体系上的垄断。

第二,实施个人信息安全报告强制披露制度。网站运营者应根据法定要求和隐私政策承诺展开个人信息安全保障工作,定期形成书面报告提交给监管机构并向公众公开。该类报告除了应披露保障措施的落实情况外,还应重点披露个人信息安全事件,包括事件的数量、规模、易遭受侵害的个人信息类型、造成的实际损失等。发生重大个人信息安全事件后,网站运营者在事前尽到安全防范责任且及时上报的,可以减轻或者免除处罚;如果隐瞒不报或者谎报的,应从重处罚。

从监管角度来看,应构建行之有效的监管机制,确保主管部门能够有效地对网站进行监督检查,在必要时能够及时介入,避免损害的扩大。具体的改革可以从三个方面着手:

第一,适度集中监管权。当前承担主要监管权的较为适宜的机构是网信部门。具体而言,对于传统行业,可以考虑实行网信部门牵头,各职能部门参与的联合监管的方式;对于交叉行业和新兴行业,可以考虑实行网信部门主导的监管方式。监管机构应具有与之相匹配的监管权。网信部门,尤其是国家和省一级网信部门,应大力加强机构建设。在人员方面,应重点配置即懂法学等社会科学又懂大数据、互联网+和人工智能等自然科学的复合型监管人才。在职权建设方面,应扩展监管权的类型和范围。为了有效应对个人信息安全领域的挑战,国家和省一级网信部门的性质应从行使执法权的机构,扩展为兼具实施性规则制定权、法律和行政法规解释权、一定范围内纠纷裁决权的新型监管机构。

第二,探索新型监管手段。应持续探索新型的监管手段,实践证明对涉事网站采取事后约谈的方式是有效的。未来应继续完善约谈制度,明确约谈的法律定位及其同其他规制手段的衔接问题。同时可以考虑将监管手段介入的时机从事后推进至事中乃至事前,例如可以采取定期对网站的隐私披露状况和用户个人信息安全保障情况进行检查的执法方式。

第三,提高法律规则的威慑力。目前《网络安全法》对于侵犯个人信息依法受保护权利的行为,处违法所得1倍以上,10倍以下罚款;没有违法所得的,最高处以100万元的罚款。与欧盟以涉事企业全球营业额为基准的处罚相比,我国的处罚威慑力十分有限。当前各国数据经济的竞争日趋激烈,我国监管机构的给予较轻处罚的目的在于扶持、呵护互联网企业。但是需要指出的是,随着中国互联网企业海外市场的不断开拓,它们所面临的合规风险不仅来自于本国,也来自于其他国家。长远来看,为了加强互联网企业的安全保障意识和合规意识,相关处罚规定应得到有效的施行。如果确实要将罚款作为有力的威慑手段的话,应考虑提高处罚的金额。

注释:

*本文系2019年中国法学会法治研究基地浙江公法研究中心项目和2018年浙江大学光华法学院人工智能与法学专项的研究成果。

[1]See Stuart F. H. Allison, Amie M. Schuck and Kim M. Lersch, “Exploring the Crime of Identity Theft: Prevalence, Clearance Rates, and Victim/Offender Characteristics”,33 Journal of Criminal Justice 20-21(2005).

[2]参见高秦伟:《个人信息保护中的企业隐私政策及政府规制》,《法商研究》2019年第2期,第20-22页。

[3]See Alessandro Mantelero, “The Future of Consumer Data Protection in the E. U.,Rethinking the ‘Notice and Consent’ Paradigm in the New Era of Predictive Analytics”,30 Computer Law & Security Review 614(2014).

[4]See Chris Jay Hoofnagle, “Identity Theft: Making the Known Unknowns Known”,2 Harvard journal of Law & Technology 104-107(2007).

[5]See Tanina Rostain, “Self-regulatory Authority, Markets and the Ideology of Professionalism”,in Robert Baldwin, et al (eds.), Oxford Handbook of Regulation, Oxford University Press, 2010,p.123.

[6]参见冯洋:《论个人数据保护全球规则的形成路径—以欧盟充分保护原则为中心的探讨》,《浙江学刊》2018年第4期,第68-70页。

[7]See Federal Trade Commission U. S.,“Privacy Online: A Report to Congress”,June 1998.

[8]See Paul Schwartz, “Preemption and Privacy”,118 The Yale Law Journal 904-939(2008).

[9]See Joel R. Reidenberg, “Resolving Conflicting International Data Privacy Rules in Cyberspace”,52 Stanford Law Review 1347(2000).

[10]See Paul de Hert and Vagelis Papakonstantinou, “The New General Data Protection Regulation: Still a Sound System for the Protection of Individuals?,32 Computer Law & Security Review 193-194(2016).

[11]See Bert-Jaap Koops, Miriam Lips, Sjaak Nouwt, Corien Prins and Maurice Schellekens, “Should Self-regulation be the Starting Point?”,in Bert-Jaap Koops et al.(eds.),Starting Points for ICT Regulation, TMC Asser Press, 2006,pp.110-115.

[12]See Joel R Reidenberg, et al, “Disagreeable Privacy Policies: Mismatches between Meaning and Users' Understanding”,30 Berkeley Technology Law Journal 39-42(2014).

[13]See Carl J. Case, et al, “Online Privacy and Security at the Fortune 500: An Empirical Examination of Practices”,11 ASBBSE e-Journal 59-67(2015).

[14]See Florencia M. Wurgler, “Self-regulation and Competition in Privacy Policies”,45 Journal of Legal Studies 1-17(2016).

[15]See Xinguang Sheng and Lorrie F. Cranor, “An Evaluation of the Effect of US Financial Privacy Legislation though the Analysis of Privacy Policies”,2 A Journal of Law and Policy 227-236(2006).

[16]前引[2],高秦伟文,第16-27页。

[17]参见宋华琳:《中国政府数据开放法制的发展与建构》,《行政法学研究》2018年第2期,第35-38页。

[18]Alexa的官网:https://www.alexa.com/,2018年12月1日访问。

[19]进入全球访问量前20的8个中国网站分别是:百度(baidu.com)、QQ (qq.com)、淘宝(taobao.com)、天猫(tmall.com)、搜狐(sohu.com)、京东(jd.com)、新浪微博(weibo.com)和新浪网(sina.com.cn)。

[20]Probit回归分析常用于“是否”类型的二元取值变量回归。

[21]参见《网络安全法》第41条。

[22]See Paul M. Schwartz, “Privacy and Democracy in Cyberspace”,52 Vanderbilt Law Review 1614(1999).

[23]See Graham Greenleaf and Scott Livingston, “China's Cybersecurity Law – Also a Data Privacy Law?”,144 Privacy Law & Business International Report 1-7(2017).

[24]如2013年修订的《消费者权益保护法》第14条规定:消费者享有个人信息依法得到保护的权利。

[25]实际上开展立法实验是我国改革开放以来法制建设的重要探索方式,see Yang Feng, “Examining the Legislation in China's Special Economic Zones: Framework, Practice and Prospects”,47 Hong Kong Law Journal 612-614(2017).

[26]Cookie是网站为了识别用户身份和收集用户信息而储存在用户浏览器上的小型数据文件。

[27]参见微信(网页版)隐私政策https://login.weixin.qq.com/qrcode?lang=zh_ CN, 2019年4月29日访问。

[28]See McMahon R. Bradley, “After Billions Spent to Comply with HIPAA and GLBA Privacy Provisions, Why is Identity Theft the Most Prevalent Crime in America?”,49 Villanova Law Review 625-627(2004).

[29]See Chang Liu and Kirk p. Arnett, “An Examination of Privacy Policies in Fortune 500 Web Sites”,17 American Journal of Business 13-22(2002).

[30]2012年共有89个国家仿效欧盟模式制定了个人数据保护法,到2017年末,欧盟的统一立法模式被120个国家所接受,see Graham Greenleaf, “The Influence of European Data Privacy Standards Outside Europe: Implications for Globalization of Convention 108”,2 International Data Privacy Law 68(2012); Graham Greenleaf, “Global Data Privacy Laws 2017:120 National Data Privacy Laws Now Include Indonesia and Turkey”,146 Privacy Laws & Business International Report 14-17(2017).

[31]See Paul M. Schwartz, “The EU-US Privacy Collision: A Turn to Institutions and Procedures”,126 Harvard Law Review 2003-2009(2013).

[32]Supra note [7],Federal Trade Commission U. S.,31-39.

[33]《支付宝近日被中国人民银行杭州中心支行做出行政处罚》,《北京日报》2018年4月8日,第2版。

[34]《抖音在美遭570万美元罚款,创同类案件纪录》,《新京报》2019年2月29日,第5版。

[35]The European Parliament and the European Council, The General Data Protection Law, 27 April 2016,Article 83(6).

[36]参见[英]科林·斯科特:《规制、治理与法律》,安永康译,清华大学出版社2018年版,第205页。

作者简介:冯洋,浙江大学光华法学院互联网与法学方向博士后。

文章来源:《当代法学》2019年第6期。

敬请关注
博雅公法