【数据法学】冯洋:从隐私政策披露看网站个人信息保护—以访问量前500的中文网站为样本
B D A I L C
欢 迎 关 注
披露隐私政策是网站运营者在个人信息保护领域进行自我规制的重要方式。分析披露情况及其内容可以窥见网站运营者保护用户个人信息的实际情况,进而为完善网站个人信息保护制度提供有益的参考。通过对访问量排前500的中文网站隐私政策进行统计分析,可以发现我国网站隐私政策披露取得初步的进展,但远未达到理想的状态,网站自我规制不足以成为保障用户个人信息安全的主要规制手段。当前我国网站隐私政策披露具有遵守法定保护规范不理想、与推荐性保护规范脱节、受域外规范的影响显著等三大特点。隐私政策披露显露的现状显示网站运营者自我规制状况堪忧,而相关主管部门的监管存在困境。网站运营者应逐步提高隐私政策的披露力度,接受外界的监督,而监管改革的突破口可以考虑选在适度集中监管权、探索新型监管手段和提高规则的威慑力等三个方面。
graham gercken
从隐私政策披露看网站个人信息保护
—以访问量前500的中文网站为样本
文 / 浙江大学光华法学院互联网与法学方向博士后冯洋
无法把握个人信息保护的实际状况是世界各国实务界面临的难题,也是学术研究的难题。面对这一困境,隐私政策披露的重要性就得以凸显。隐私政策是实现个人信息保护机制“告知-同意”效力的最重要手段。通过隐私政策,网站运营者得以向用户全面展示其个人信息保护的实践,而用户也得以就该问题向网站运营者提出申诉。隐私政策的有无及完善程度,决定了网站运营者和用户之间是否能够保持充分的互动。将隐私政策的内容同法定的个人信息保护规则进行对比,可以窥见企业遵守法定保护要求的程度。剖析隐私政策纳入推荐性保护要求和创新性保护规则的情况,可以窥见网站运营者在自我规制方面的努力。隐私政策更多地是企业单方面的承诺,并不能当然地反映其个人信息保护的实际情况。但总结提炼这类承诺可以起到接近事实真相的效果,因为披露隐私政策的企业不一定完全按照其承诺的规则来行事,但是未作出承诺或者作出极为有限承诺的网站运营者,其个人信息保护的状况必然是令人担忧的。本文以访问量排前500中文网站的隐私政策为样本,通过统计分析,评析网站保护用户个人信息的实际状况,进而为我国相关制度的完善提出建议。
一、隐私政策披露、企业自我规制与立法模式选择
隐私政策披露体现了企业在用户个人信息保护方面的自我规制,而是否重视自我规制则反映了该国在个人信息保护立法模式选择上的差异。围绕自我规制的法律定位,欧盟和美国代表了两种不同的立法模式。美国采取企业自我规制为主,政府规制为辅的模式。1998年美国联邦贸易委员会在呈递给国会的报告中首次明确表示,企业自我规制应是实现个人隐私保护的首要规制工具,其重要程度超过技术解决、消费者教育和政府规制等工具。尽管欧盟立法模式被世界越来越多的国家所采纳,但是美国仍然坚持其自我规制为主的治理进路。2008年美国个人信息保护领域的代表学者保罗·斯瓦茨在耶鲁法律学刊上撰文指出,美国应坚持分散立法,允许包括企业在内的多个规制主体共同探索个人信息保护的最佳实践。
欧盟立法在个人信息保护方面采取政府规制为主、企业自我规制为辅的治理进路。欧盟秉持对社会权利进行全面保护的理念,认为公法是保障包括隐私权在内的公民基本权利的基础,国家权力应积极介入到权利保护的实践中去。基于这一理念,西欧各国从上世纪70年代初期便无一例外地采取制定综合性的个人数据保护法。欧盟于2016年制定的《一般数据保护条例》也继续秉持全面保护理念。参与《条例》起草的欧盟学者保罗·赫特声称《条例》是“保护个人隐私权的坚实法律基础”,也是“欧盟人权保护领域值得庆贺的新篇章”。欧盟个人数据保护立法的快速推进给当地网站运营者确立了越来越高的保护标准。在强调政府规制主导地位的同时,欧盟及其成员国政府也认为有效的个人信息保护有赖于政府规制和企业自我规制的互动。欧盟通过发布白皮书、行动计划等政策性文件的形式鼓励企业披露隐私政策,积极落实法定的保护要求。
网站隐私政策披露问题引起西方学术界的广泛关注。约从2000年起,从不同视角和学科探讨隐私政策的英文学术成果陆续问世。现有学术成果集中探讨的问题包括隐私政策的形式、内容的合法性、影响披露的因素、披露的效果等。现有的研究揭示了隐私政策披露的若干重点问题,但也存在明显的局限:它们基本是在美国法的背景下展开,以美国网站或世界五百强企业网站为研究对象,缺乏针对其他国家和地区隐私政策披露的研究成果。当前无论是中文还是英文学术界,针对中文网站隐私政策披露的研究尚未引起足够的重视。2016年《网络安全法》(以下简称《网安法》)纳入了7项基本保护规则。国家标准委员会于2017年出台的推荐性国家标准《《信息安全技术—个人信息安全规范》(以下简称《规范》)》则在法定规则基础上,提出了5项较高要求。2018年9月第十三届全国人大常委会将制定个人信息保护法列入第一类立法规划。2019年4月修订的《政府信息公开条例》在进一步保障公民获得政府信息的同时,也间接地对政府处理和保护公民个人信息提出了更高的要求。在相关立法工作逐步推进的关键时间节点上,本文通过分析网站运营者隐私政策披露的现状,剖析其同现行两类主要正式规范的契合度,进而探查我国个人信息保护的现状,这对于个人信息保护立法工作的推进是有意义的。
二、样本的选取与整体情况分析
本研究选取访问量排前500位中国大陆网站的隐私政策作为研究样本。样本从Alexa网站上集中收集。Alexa是一家由美国亚马逊公司开发的数据分析网站,该网站提供全球范围内网站访问量排名信息。由于Alexa网站上的信息每天更新,为了确保样本数据的准确性和客观性,我们于2018年12月1日集中搜集了所需的样本信息。按照访问量来收集样本的原因在于访问量越高的网站对网民的影响越大,收集的个人信息越多。以行业为标准来选取样本也是一个可行的方法,但是笔者经过考虑后放弃了这一方式,这是因为在许多行业中,某个或者某几个企业具有显著的市场支配地位,而剩余企业的市场份额极低,如果将某个行业的全部或者相当部分企业都纳入到样本中,反而会在实质上降低样本的广泛性和代表性。搜集结果显示,我国网站访问量十分可观。全球访问量排名前10的网站中有5个是中国网站;而在全球访问量前20网站的榜单里,中国有8个网站上榜。运营网站的企业或个人如何保障这些信息的安全就构成了我国个人信息保护的重要一环,这凸显了本研究的价值。
在访问量排前500位的网站大样本中,公开披露其隐私政策的网站数量为348个,占大样本的比例是69.6%。在访问量排前100位的网站中,有80个网站披露了隐私政策。以上数据表明我国访问量排前列的网站运营者已经有披露隐私政策的自觉。为了探究隐私披露同访问量的关系,我们以“是否披露隐私政策”为因变量,以访问量为自变量,通过Probit回归分析方法进行检验,发现P值仅为0.0165,这表明隐私政策的披露同访问量存在显著正相关的关系。换言之,检验结果显示访问量越高的网站,越倾向于披露隐私政策。
反过来看,大样本中有152个网站未披露隐私政策,占网站总数的30.4%。根据《网安法》第41条的规定,网络运营者应当公开收集、使用个人信息的规则,明示收集、使用信息的目的、方式和范围。根据上述规定,网站运营者披露隐私政策已成为一项法定义务。近三分之一的未披露隐私政策的网站在事实上已处于违反《网安法》关于公开透明的要求。隐私政策的缺失表明网站运营者在用户个人信息保护方面持消极的态度。这些网站收集、使用个人信息的过程处于秘密的状态,从而导致这些网站的用户往往无法及时地知晓个人信息泄露和滥用的情况,即使发现这些情况也缺乏申诉的渠道。
三、隐私政策与现行保护规则的契合度分析
在解决了隐私政策“有”与“无”的问题后,接下来就要进入实质内容的讨论。核心问题是大样本中的348个隐私政策在多大程度上遵守《网安法》和《规范》的标准?这个问题可以分解为3个子问题。首先,这些隐私政策在多大程度上遵守《网安法》的基本要求?其次,这些隐私政策在多大程度上遵守《规范》的推荐性要求?最后,这些隐私政策是否有超越上述两类正式规范的规定?
(一)隐私政策在多大程度上遵守《网安法》的7项基本要求?
2000年12月全国人大常委会通过了《全国人大常委会关于维护互联网安全的决定》,该决定的出台标志着我国个人信息保护立法的起步。经过十多年的立法推进,《刑法》、《消费者权益保护法》、《网安法》等若干现行国家法律已经纳入了个人信息保护的规定。在这些国家法律中,《网安法》对于网络运营者信息保护义务的规定最为全面和细致。该法关于个人信息保护的规定中有7项是对网络运营者提出的要求,列举如下:
从内容上看,上述《网安法》的7项保护要求符合上世纪70年代初起源于美国的“公正信息处理原则”。此外,上述7项原则与经合组织于1980年出台的《隐私保护与个人数据跨境指引》保持大体的一致,保护力度稍弱于后者。鉴于“公正信息处理原则”和《指引》都已成为世界普遍承认的个人信息保护基本标准,《网安法》的出台表明我国的个人信息保护规则与世界通行规则保持一致,也体现了我国愿意在经合组织的框架下参与全球数据治理的积极姿态。大样本中的隐私政策内容总是包含部分或者全部符合《网安法》7项的要求。因此本研究按照《网安法》的7项要求将样本中的隐私政策的内容进行分解和归类。样本中348个隐私政策所囊括单项保护要求的理论最大值是348个(即所有隐私政策都纳入了此项保护要求),因此符合每项要求的条款总数应是等于或者小于348,由此我们可以绘制出下表。
通过表2,我们可以发现样本隐私政策覆盖法定基本要求方面较不完善,不同的法定要求被遵守的程度存在很大差异,其中只有第四项法定标准得到普遍的遵循(93.4%)。在348个隐私政策中,约有三分之一是以简短的声明形式出现,其中往往包括第四项标准,一般表述为“对于用户的个人信息,本网站予以严格保密”或者“本网站不会向任何第三方披露、转让或者出售用户个人信息”。其它六项标准的遵循比例在48%(个人申诉)到63.5%(安全保护)之间。可见样本中隐私政策的内容很不全面,覆盖的保护要求数量有限且存在很大差异。需要引起注意的是相当部分的隐私政策是在《网安法》通过以前(2016年11月7日)制定或者最后修订。而在此之前,我国法律对于网络运营者的个人信息保护仅有原则性规定。许多网站纳入的若干个人信息保护规定在当时属于高于实在法的创新性要求,但是当《网安法》出台后却又陷入无法完全满足法定要求的困境。该困境表明网站运营者在个人信息保护方面进行自我规制的主动性不足,也表明网站运营者回应立法要求十分迟缓。
(二)隐私政策在多大程度上遵守《规范》的5项较高要求?
国家标准委员会于2017年12月发布的国家标准《规范》对个人信息控制者的个人信息保护义务进行了较为全面和详细的规定。《规范》包含两个方面的主要内容。一方面《规范》纳入了实施性的规则,目的是细化《网安法》关于个人信息保护的规定。例如《规范》5.3和5.4对什么是个人授权同意及其例外情形进行了列举,又如《规范》7.11对信息控制者回应个人申诉的期限、程序等问题进行了较为细致的规定。另一方面《规范》强化和新增了个人信息保护的要求。这体现在如下5项较高要求上:
尽管《规范》从性质上看属于非强制性的国家标准,但是该标准具有较强的规范意义,对于执法、司法机构和企业而言具有重要的参照价值。《规范》对于我国网络运营者个人信息保护的积极影响可以从以下两个方面来认识。首先,《规范》有助于推动企业加强对客户个人信息的保护力度。《规范》的起草单位包括主管部门下属的研究院、高校、科技企业等诸多主体,尽管不具有法律上的约束力,《规范》仍具有很强的指导意义,市场中的企业不能对其视而不见。《规范》的较高要求更接近公众对其个人信息保护的预期,这同企业探索最佳商业实践是一致的,这有助于增强企业保护个人信息的动力。其次,《规范》具有制度探索上的重大意义。《规范》纳入的超实定法的若干要求可以先由企业自愿实施,待时机成熟后,再通过立法加以确认。因此,《规范》的出台和实施可以起到“试验田”的作用。综合以上论述,《规范》的规定为我们审视网站隐私政策提供了可靠的第二类标准。下表体现了样本隐私政策响应《规范》较高要求的情况。
根据上表,总体而言样本中隐私政策遵守《规范》较高要求的程度偏低。在这5项要求中,遵守程度相对较高的是第四项“确保个人访问”。共有142个隐私政策遵守该要求,占隐私政策总数的40.8%。值得注意的是,从比较法的角度而言“确保个人访问”并非是较高的保护要求。该要求早在1980年就被经合组织确认为个人信息保护的八项基本要求之一。样本网站遵守《规范》其它四项要求的情况更能说明问题。这四项要求被遵守的程度要远低于“确保个人访问”的要求,其中共有84个隐私政策承诺在合理期限内保存用户个人信息,占隐私政策总数的24.1%。而承诺给予敏感信息特殊保护的隐私政策共有53个,占隐私政策总数的15.2%。仅有10个隐私政策遵循第五项标准,即建立安全影响评估制度。而第一项标准“最小化收集”被遵守程度就更低了。没有任何隐私政策承诺按照《规则》的最小化标准来收集用户个人信息。这些网站更倾向于使用只收集与提供的服务“相关的”或者“必要的”个人信息等模糊表述。
(三)隐私政策是否有超越《网安法》和《规范》的规定?
虽然《网安法》和《规范》的要求覆盖面较广,但是鉴于隐私政策在内容上的多样性,这些隐私政策可能包含未被上述两类规范所囊括的新规定。笔者逐个分析了隐私政策文本,验证了这一设想。通过文本分析,从中提炼出三项较为普遍的用户个人信息保护要求,分别是(1)明示cookie技术的使用,(2)对未成年人个人信息的特别保护,(3)对个人数据跨境传输的限制。表5显示了这三类新要求的数量和占比。
第一项较为普遍纳入的规定是明示cookie技术的使用。样本中有190个隐私政策对cookie技术的使用进行了规定,占隐私政策数量的54.6%。这些规定的内容主要包括阐释cookie的功能和目的、该技术收集用户信息的范围以及用户的权利等。这些隐私政策一般明确表示cookie的功能在于识别用户身份、收集用户的偏好和习惯,利用cookie的这些功能的目的在于更好地刻画用户的特征,进而为用户提供个性化的服务和广告。明示收集的信息包括注册信息、通讯信息、位置信息等。此外这些隐私政策普遍承诺用户有权禁用或者清除cookie。
第二项较为普遍纳入的规定是对未成年人个人信息的特别保护。共有144个隐私政策规定了对未成年人个人信息的保护,占隐私政策总数的41.4%。这些隐私政策普遍要求未满18周岁的未成年人注册账号和使用网站服务前应获得其法定监护人的同意。部分隐私政策还要求网站收集、共享、转让和披露未成年人的个人信息前应获得其法定监护人的明示同意。个别网站还纳入了更为严格的规定。如微信(网页版)的隐私政策规定,13岁以下的儿童不得使用微信,该网站也不会收集13岁以下儿童的个人信息。
第三项普遍纳入的规定是关于个人数据跨境传输的限制。对个人数据跨境传输进行限制的合理性在于数据具有无限复制、瞬时传输和转移成本极低的特性,传统的海关等出入境管理无法对数据出境进行有效的监管。如果放任个人数据出境,将使境外不法分子利用所在第三国个人信息保护力度较弱的“优势”,恶意利用本国公民的个人信息,最终损害信息主体的利益,也将使本国个人信息保护的努力大打折扣。样本中共有53个隐私政策规定了个人数据的跨境传输问题,占隐私政策总数的15.2%。这些隐私政策普遍要求在中国境内产生的个人数据应在境内存储为原则,当有必要传输至其他国家时,应遵循一系列规则,这包括(1)获得用户的同意,(2)采取去标识化和匿名化等安全措施,(3)按照法律法规的要求进行安全评估,(4)承诺将按照隐私政策的要求为出境后的个人数据提供同等的或者足够的保护等。考虑到并不是所有网站有数据跨境传输的需求,占比达15.2%也属于不低的比例。
参考文献
* 浙江大学光华法学院互联网与法学方向博士后冯洋。本文系2019年中国法学会法治研究基地浙江公法研究中心项目和2018年浙江大学光华法学院人工智能与法学专项的研究成果。康兰平博士、傅宇、胡寅等同学参与了数据收集的工作。周江洪教授、胡敏洁教授、范良聪副教授、蒋成旭博士、胡斌博士、李芹博士、林淡秋博士等师友对本文初稿提出了修改意见,在此一并致谢。感谢匿名评审专家的修改意见。
[1] See Stuart F.H. Allison, Amie M. Schuck and Kim M. Lersch, “Exploring the Crime of Identity Theft: Prevalence, Clearance Rates, and Victim/Offender Characteristics”, 33 Journal of Criminal Justice 20-21 (2005).
[2] 参见高秦伟:《个人信息保护中的企业隐私政策及政府规制》,《法商研究》2019年第2期,第20-22页。
[3] Alessandro Mantelero, “The Future of Consumer Data Protection in the E.U., Rethinking the ‘Notice and Consent’ Paradigm in the New Era of Predictive Analytics”, 30 Computer Law & Security Review 614 (2014).
[4] Chris Jay Hoofnagle, “Identity Theft: Making the Known Unknowns Known”, 2 Harvard journal of Law & Technology 104-107 (2007).
[5] Tanina Rostain, “Self-regulatory Authority, Markets and the Ideology of Professionalism”, in Robert Baldwin, al (ed.) Oxford Handbook of Regulation, Oxford: Oxford University Press, 2010, p. 123.
[6] 冯洋,《论个人数据保护全球规则的形成路径—以欧盟充分保护原则为中心的探讨》,《浙江学刊》2018年第4期,第68-70页。
[7] Federal Trade Commission U.S., “Privacy Online: A Report to Congress”, June 1998.
[8] See Paul Schwartz, “Preemption and Privacy”, 118 The Yale Law Journal 904-939 (2008).
[9] Joel R. Reidenberg, “Resolving Conflicting International Data Privacy Rules in Cyberspace”, 52 Stanford Law Review 1347 (2000).
[10] Paul de Hert and Vagelis Papakonstantinou, “The New General Data Protection Regulation: Still a Sound System for the Protection of Individuals?, 32 Computer Law & Security Review 193-194 (2016).
[11] Bert-Jaap Koops, Miriam Lips, Sjaak Nouwt, Corien Prins and Maurice Schellekens, “Should Self-regulation be the Starting Point?”, in Bert-Jaap Koops et al. (ed.) Starting Points for ICT Regulation, TMC Asser Press, 2006, pp. 110-115.
[12] See Joel R Reidenberg, et al, “Disagreeable Privacy Policies: Mismatches between Meaning and Users’ Understanding”, 30 Berkeley Technology Law Journal 39-42 (2014).
[13] See Carl J. Case, et al, “Online Privacy and Security at the Fortune 500: An Empirical Examination of Practices”, 11 ASBBSE e-Journal 59-67 (2015).
[14] See Florencia M. Wurgler, “Self-regulation and Competition in Privacy Policies”, 45 Journal of Legal Studies 1-17 (2016)
[15] See Xinguang Sheng and Lorrie F. Cranor, “An Evaluation of the Effect of US Financial Privacy Legislation though the Analysis of Privacy Policies”, 2 A Journal of Law and Policy 227-236 (2006).
[16] 宋华琳:《中国政府数据开放法制的发展与建构》,《行政法学研究》2018年第2期,第35-38页。
[17] Alexa的官网: https://www.alexa.com/,2018年12月1日访问。
[18] 进入全球访问量前20的8个中国网站分别是:百度(baidu.com)、QQ(qq.com)、淘宝(taobao.com)、天猫(tmall.com)、搜狐(sohu.com)、京东(jd.com)、新浪微博(weibo.com)和新浪网(sina.com.cn)。
[19] Probit 回归分析常用于“是否”类型的二元取值变量回归。
[20] 《网络安全法》第41条。
[21] See Paul M. Schwartz, “Privacy and Democracy in Cyberspace”, 52 Vanderbilt Law Review 1614 (1999).
[22] 参见 Graham Greenleaf and Scott Livingston, “China’s Cybersecurity Law – Also a Data Privacy Law?” 144 Privacy Law & Business International Report 1-7 (2017).
[23] 如2013年修订的《消费者权益保护法》第14条规定:“消费者享有个人信息依法得到保护的权利”。
[24] 实际上开展立法实验是我国改革开放以来法制建设的重要探索方式,see Yang Feng, “Examining the Legislation in China’s Special Economic Zones: Framework, Practice and Prospects”, 47 Hong Kong Law Journal 612-614 (2017).
[25] Cookie 是网站为了识别用户身份和收集用户信息而储存在用户浏览器上的小型数据文件。
[26] 参见微信(网页版)隐私政策 https://login.weixin.qq.com/qrcode?lang=zh_CN, 2019年4月29日访问。
[27] McMahon R. Bradley, “After Billions Spent to Comply with HIPAA and GLBA Privacy Provisions, Why is Identity Theft the Most Prevalent Crime in America?” 49 Villanova Law Review 625-627 (2004).
[28] See Chang Liu, and Kirk P. Arnett, “An Examination of Privacy Policies in Fortune 500 Web Sites” 17 American Journal of Business 13-22 (2002).
[29] 2012年共有89个国家仿效欧盟模式制定了个人数据保护法,到2017年末,欧盟的统一立法模式被120个国家所接受, 参见 Graham Greenleaf, “The Influence of European Data Privacy Standards Outside Europe: Implications for Globalization of Convention 108”, 2 International Data Privacy Law 68 (2012); Graham Greenleaf, “Global Data Privacy Laws 2017: 120 National Data Privacy Laws Now Include Indonesia and Turkey”, 146 Privacy Laws & Business International Report 14-17 (2017).
[30] See Paul M. Schwartz, The EU-US Privacy Collision: A Turn to Institutions and Procedures, 126 Harvard Law Review 2003-2009 (2013).
[31] 前引 7, Federal Trade Commission U.S., 31-39.
[32] 《支付宝近日被中国人民银行杭州中心支行做出行政处罚》,2018年4月8日,北京日报。
[33] 《抖音在美遭570万美元罚款,创同类案件纪录》,《新京报》2019年2月29日。
[34] The European Parliament and the European Council, The General Data Protection Law, 27 April 2016, Article 83 (6).
[35] (英) 科林·斯科特:《规制、治理与法律》,安永康译,清华大学出版社2018年版,第205页。
原载于当代法学2019年第六期
仅作学习交流之用
graham gercken
往期荐读
编辑:韩雨硕