馬永保

(安徽醫(yī)科大學 法學系, 安徽 合肥 230032)

一、問題的提出

社交媒體的出現(xiàn)極大程度上改變了人們的生活方式，特別是溝通與交流方法。用戶能夠使用社交媒體與世界相連，隨時隨地分享自己生活的多姿多彩。與此同時，人們也面臨著的個人信息和隱私方面的風險和威脅。特別是伴隨著數(shù)據(jù)挖掘、分析和營銷等新技術的迅猛發(fā)展，人們對數(shù)據(jù)的收集、分析、使用能力不斷增強，用戶個人信息成為蘊藏無窮價值和潛在影響力的資源，個人信息數(shù)據(jù)交易成為重要的新型商業(yè)模式。社交媒體為了獲取更多的商業(yè)利益，以手中掌握的海量用戶個人信息為財富來源，從而導致用戶個人信息泄露、濫用等問題成為全球關注焦點，引起用戶的焦慮乃至恐慌，并成為用戶使用社交媒體的重要障礙。2018年4月份爆發(fā)的全球知名社交媒體臉書的個人信息泄露丑聞就是代表性事件。

隱私政策的出現(xiàn)，正是這種新情況的一種應對之策。隱私政策(privacy policy)，也稱隱私權政策、隱私申明、隱私權保護聲明，它描述了社交媒體自身如何收集、處理、利用、分享和保護用戶信息的情況[1]。公布隱私政策并有效執(zhí)行，體現(xiàn)了社交媒體在提升保護個人信息透明度方面的積極努力，是消除用戶隱私憂慮的有效做法之一，也受到立法機構的肯定和監(jiān)管機構的認可，能夠為社交媒體收集、使用用戶個人信息提供正當性基礎。社交媒體的隱私政策，也是用戶了解其個人信息如何被收集、使用的單一的最重要的途徑[2]。

公布隱私政策早已成為國內網絡社交媒體的常規(guī)做法。監(jiān)管機構、行業(yè)協(xié)會、新聞媒體也曾多次就網絡平臺的隱私保護開展過評價比較。結果顯示，隱私政策文本的內容和執(zhí)行效果方面都存在諸多問題。中國消費者保護協(xié)會在2018年6月啟動了App信息收集與隱私政策測評活動[3]，并于當年11月28日公布了《100款App個人信息收集與隱私政策測評報告》。包含多家社交媒體在內的多款App都存在過度收集用戶個人信息問題。從某種意義上說，隱私政策可能會成為社交媒體的麻醉劑，成為引誘用戶主動提供個人信息的誘餌[4]。

本文選擇微信、新浪微博、百度貼吧、豆瓣為研究對象，主要是考慮這幾家社交媒體處于行業(yè)領導位置，市場份額大，企業(yè)規(guī)模龐大，隱私政策也相對比較成熟，能夠代表整個行業(yè)在用戶個人信息保護方面的最高水準。以這些平臺的隱私政策作為研究對象，代表性強，也符合國內社交媒體發(fā)展的現(xiàn)實，研究結果更有意義。

二、社交媒體隱私政策文本分析

雖然用戶大都比較關心自己的個人信息，但是因為社交媒體隱私政策大都文本冗長繁雜，內容權利義務不對稱，嚴重影響了用戶閱讀了解的興趣和對用戶個人信息保護的效果，結果是“用戶往往忽視其具體內容而直接點擊已讀同意的按鈕”[5]，使隱私政策失去了本來的功能和應有的價值。域外的數(shù)據(jù)顯示，74%的用戶會跳過隱私政策，直接選擇快速加入按鈕[6]。

(一)個人敏感信息與個人一般信息未能區(qū)別保護

社交媒體的隱私政策在文本開始時大都區(qū)分了個人一般信息和個人敏感信息，強調敏感信息對用戶的重大意義，以及泄露、非法提供或濫用會對用戶造成的嚴重后果。因為敏感一詞本質上用來度量“個人信息對信息主體造成傷害或影響的程度”[7]，以突顯其對個人敏感性的重點關注。但是，并未在具體的權利、義務、責任中體現(xiàn)對敏感信息的特別重視，也沒有采取特別措施予以重點保護。如《新浪微博個人信息保護政策(修訂版)》中，個人敏感信息這一概念只出現(xiàn)過兩次，且都在開始對個人敏感信息界定的段落，之后再也沒有出現(xiàn)過。相比較而言，《微信隱私保護指引》在對待個人敏感信息方面表現(xiàn)較好，在提出敏感信息問題后，又在具體的情形中明確手機號碼、聲紋特征信息、地理位置信息、步數(shù)信息、通訊錄信息等屬于敏感信息。但也僅僅止步于此，并未進一步提出對敏感信息提供特殊保護的措施。《知乎隱私保護指引》的內容也類似，它采取一般界定與列舉并行的方式詮釋了個人敏感信息的含義。其中確定的個人敏感信息包括身份證件號碼、個人生物識別信息、銀行賬號、通信內容、健康生理信息等，與《微信隱私保護指引》的具體類型差異明顯。不能實質上落實一般信息與敏感信息的區(qū)別，也就不能為敏感信息提供更加嚴密的保護，可能會造成的后果必然更加嚴重。

何為敏感信息？因敏感一詞本身就較為寬泛，伸縮空間大，不容易準確劃清范圍，因而不能由社交媒體單方確定個人敏感信息的定義、篩選標準，社交媒體也無權單方指定敏感信息的具體范圍。

(二)權利義務責任不對等，用戶利益得不到實際有效維護

盡管隱私政策由社交媒體單方制作，但鑒于采用隱私政策的初衷乃是為了取得用戶的認可，對雙方權利義務的設定應該相對公允和對等。但實際情況卻并非如此，各大社交媒體隱私政策中權利義務失衡現(xiàn)象比比皆是，且表現(xiàn)各異。

1.使用模糊用語，增加社交媒體權利空間，做出難以兌現(xiàn)和衡量的承諾

隱私政策本應通俗易讀易懂，用戶才可以清楚知道隱私政策的內涵，隱私政策的初衷才能實現(xiàn)。然而隱私政策中的很多內容用語模糊，這會摧毀網絡用戶隱私政策的目標和價值。沒有清晰肯定的陳述，隱私政策實際上是沒有任何意義的[8]。因為模糊用語賦予社交媒體廣泛的自由處分的權力，失去了明確規(guī)范的約束，容易導致隱私政策的初衷無法實現(xiàn)。

《百度貼吧隱私政策》強調，“以業(yè)界成熟的安全標準和規(guī)范收集、使用、存儲和傳輸用戶信息”。何為業(yè)界成熟的安全標準和規(guī)范？語焉不詳。什么樣的安全標準和規(guī)范算是成熟的，誰才能代表業(yè)界呢？以上問題實際上都缺少明確的答案，給了社交媒體過大的回旋空間。

《新浪微博個人信息保護政策(修訂版)》盡管一開始就言明“努力通過通俗的語言表述”，但落實到具體情形時，卻多使用模糊用語。如其中關于個人信息存儲期限的規(guī)定，使用的是模糊用語“實現(xiàn)目的所必需的時間”。它從社交媒體自身考慮，只要自身需要，就可以不設具體期限，甚至無期限地存儲用戶個人信息，完全不考慮用戶本人的意愿。又如，明確承諾“沒有經過明確同意，更新后版本不會削減用戶的權利”，這樣空泛的承諾，實在難以讓人相信。

《微信隱私保護指引》約定的不需要經過用戶授權就可以收集、使用用戶個人信息的情形，包括很多情形，其中很多非常寬泛。有的是合理的，如與犯罪偵查、起訴、審判和判決執(zhí)行等直接相關的，因為法律的執(zhí)行對保護社交媒體信息隱私和安全是完全必要的[9]。也有明顯不合理的，例如，“根據(jù)你要求簽訂和履行合同所必需的”，什么是“必需”的？“必需”的判斷標準到底何在？“必需”的評價包含哪些要素呢？都是不確定的。社交媒體完全可以根據(jù)自己的意愿，不受任何限制、不經用戶同意，隨意去收集、使用用戶個人信息。

《知乎隱私保護指引》中不需用戶授權同意即可共享、轉讓、公開披露個人信息的具體情形同樣模糊、寬泛。如“包括出于維護用戶或其他個人的生命、財產等重大合法權益但又很難得到本人同意的”，這句話中多個概念缺少具體、確定的內涵和外延。“其他個人”是否可以包括任何自然人？“重大合法權益”到底有無一定的限制？何種情況屬于“很難得到本人同意”？“很難”到底是難到什么程度？社交媒體到底做了哪些努力無法實現(xiàn)，才能被界定為很難？諸如此類，不一而足。

《豆瓣隱私政策》承諾會全力并按業(yè)界成熟的安全標準保護用戶個人信息，“全力”“業(yè)界成熟的標準”都是模糊不清、不易界定的表述。是否全力保護用戶個人信息，完全是主觀的標準，且判斷的主動權全部在社交媒體，用戶無法有效判斷豆瓣是否確實“全力”。至于業(yè)界成熟的安全標準本就是虛無縹緲的概念，業(yè)界是否有所謂成熟的安全標準本就存疑，豆瓣是否遵從這一標準，更是無從考證。

有時雖然對概念、用語進行了界定和解釋說明，但解釋本身模糊不清，并不能幫助用戶形成清楚、明確的認知。解釋沒有實質性作用，仍然不能解決對社交媒體過度賦權的問題?！吨蹼[私保護指引》中規(guī)定，社交媒體可以不經用戶同意就將個人信息與關聯(lián)公司和合作伙伴共享。其后又解釋了關聯(lián)公司的含義，強調關聯(lián)公司之間控制、被控制的關系，并對控制進行了說明。但綜合全部解釋說明，用戶仍然對知乎的關聯(lián)公司到底包含哪些，沒有具體的印象，《知乎隱私保護指引》也沒有劃定關聯(lián)公司的具體界限，這會導致用戶個人信息流動如脫韁野馬般不可控，增加了隱私泄露、被濫用的可能性和空間。而合作伙伴范圍極其廣泛，并且隨時可能增加，僅《知乎隱私保護指引》就列舉了廣告、分析服務類的授權合作伙伴，供應商、服務提供商和其他合作伙伴等多種類型。知乎等社交媒體發(fā)展迅猛，規(guī)模龐大，經營范圍廣泛，合作伙伴自然是數(shù)量龐大，可能獲得共享個人信息的主體會以千萬計，甚至更多。這些合作伙伴規(guī)模大小不一，對用戶個人信息重視程度有別，其中可能會潛藏著不懷好意者。盡管隱私政策中一再承諾，保證會要求合作伙伴按照知乎的說明、指引，以及其他任何相關的保密和安全措施來處理用戶的個人信息，且合作伙伴無權將共享的個人信息用于任何其他用途，但知乎如何能夠保證其合作伙伴會嚴格遵守知乎的要求呢？用戶又如何相信呢？尤其是分析服務類的授權合作伙伴，其合作的主要業(yè)務可能就是對用戶個人信息在內的各種數(shù)據(jù)開展挖掘、分析、利用，對用戶個人信息利用范圍和深度都超出一般的合作單位，未經用戶就共享個人信息的后果無法估量。用戶個人信息還可能通過知乎合作伙伴流向其他主體，造成個人信息的徹底失控。

2.使用專業(yè)詞匯，限制用戶權利

社交媒體隱私政策中使用專業(yè)詞匯，卻不對這些詞匯作出簡明易懂的解釋，導致用戶不能準確理解其真實含義，這就賦予了社交媒體隨意設定自己權利的機會和空間，導致社交媒體與用戶之間權利與義務之間失去平衡。

《新浪微博個人信息保護政策(修訂版)》有專門的部分涉及Cookie及web beacon，但沒有說明什么是Cookie及web beacon?？赡苌缃幻襟w認為，用戶知道或者理應知道何為Cookie及web beacon，但Cookie及web beacon既是專業(yè)詞匯，也是英文詞匯，普通用戶很難理解，對此不作說明和解釋，用戶不明白、不理解其含義，自然難以知曉自己面臨的風險、可以享受的權利以及社交媒體應然的義務和責任，社交媒體也就可以隨意而為了。實際上，Cookie和web beacon會動態(tài)地收集用戶個人信息，“是隱私政策無法說明、無法預知的模糊地帶”[10]。

與之類似的是，《微信隱私保護指引》使用的ISO27001、國際信息安全管理體系、TRUSTArc等術語，也沒有詳細說明，用戶在閱讀過程中可能會產生誤解或者不當?shù)穆?lián)想。

3.使用復雜句式，暗藏不公平條款

社交媒體用戶在文化程度、閱讀能力方面差異很大，對隱私政策文本的認知能力自然也不同。但隱私政策中使用不少表述冗長、結構復雜的句式，加重用戶的閱讀負擔。

《知乎隱私保護指引》中有不少復雜句式。有的并列內容多，諸如“包括但不限于”等表述。有的采取例外表述方式，列舉了復雜的例外情形。有的轉折部分復雜，一般用戶難以讀懂，如“此外，在您使用瀏覽和收藏功能的過程中，我們會自動收集您使用知乎的詳細情況，并作為有關的網絡日志保存，包括但不限于您輸入的搜索關鍵詞信息和點擊的鏈接，您瀏覽和發(fā)布的內容及評論信息，您上傳的圖片信息、您的交易信息、您使用的語言、訪問的日期和時間、及您請求的網頁記錄、操作系統(tǒng)、軟件版本號、登錄IP信息”，僅僅一句話，用了140多個漢字，信息十分豐富，對社交媒體的授權非常廣泛，除非專業(yè)人士，一般用戶根本不可能在有限的閱讀時間內真正理解。

(三)強制用戶接受，剝奪用戶選擇權

社交媒體隱私政策中多處使用用戶不接受隱私政策、不提供個人信息，就不得、不能使用社交媒體這類表述。這種強制用戶作出選擇的做法，實際上并未給用戶任何選擇機會?！缎吕宋⒉﹤€人信息保護政策(修訂版)》中規(guī)定，用戶不愿意提供個人信息的結果就是，“無法使用微博的全部或部分功能和服務，或無法獲得更個性化的功能，或無法參加某些活動，或無法收到我們的通知等”。這幾乎就是宣布用戶根本無法實際使用新浪微博。最終，用戶只能且必須按照微博的要求提供各種個人信息，沒有任何商量的余地。《豆瓣隱私政策》也有類似規(guī)定。

有些情形下，用戶接受了服務，不論用戶此時真實意愿如何，都被社交媒體推定為同意提供個人信息。實際上，用戶接受服務并不意味著就會意識到個人信息將被收集、加工、使用，更不意味著用戶同意社交媒體對個人信息的收集、使用、共享等。用戶接受社交媒體的服務，不能以無條件提供個人信息為代價，否則對用戶是非常不公平的。因為個人信息特別是個人敏感信息，有不少是帶有較強人身性的。如《豆瓣隱私政策》開篇即規(guī)定，一旦你開始使用豆瓣的各項服務，即表示你已充分理解并同意本政策。后面進一步推定，用戶繼續(xù)使用豆瓣，即意味著同意修訂后的隱私政策，而不在乎用戶是否了解隱私政策是否修改，修改的程度如何，修改了哪些內容，用戶的權利義務發(fā)生了什么樣的改變?！缎吕宋⒉﹤€人信息保護政策(修訂版)》規(guī)定，用戶注冊時即表示已默認知悉且同意新浪微博記錄個人信息，至于用戶是否實際知曉并且同意，并不重要。

三、社交媒體隱私政策優(yōu)化的方向和路徑

社交媒體隱私政策的規(guī)范，需要在促進社交媒體行業(yè)發(fā)展與保護用戶個人信息之間協(xié)調和平衡。

(一)糾正、修正違法或不公正的內容

1.社交媒體應履行更多義務，承擔更加積極的角色

隱私政策是用來對外公開宣示在保護用戶個人信息方面的努力，以獲取用戶信任的。其主旨是設定社交平臺收集、處理、分享用戶個人信息的行為規(guī)范，而不是向用戶宣示免責條款。社交媒體在草擬隱私政策過程中，必須以更多實在的權利吸引用戶。

同時，社交媒體通過收集用戶個人信息而占有海量的數(shù)據(jù)資源，是用戶個人信息的掌握者、使用者和受益者。社交媒體因處理用戶個人信息，掌握了用戶的需求、癖好，實現(xiàn)了精準營銷，因分享、出售個人信息而獲取收益。既然社交媒體從用戶那里獲得了收益，就應承擔保證其安全的義務。

為此，社交媒體應該轉變角色，承擔起更大責任、更多的義務，真正將自己定位為利害關系方，而非用戶的對立面，應該倍加愛護用戶個人信息，在真正保護用戶個人信息的同時獲取正當收益。

社交媒體為了維護能夠決定自身發(fā)展前途命運的用戶個人信息之安全和價值，應該加大投入，采取更先進的技術，維護信息存儲系統(tǒng)的安全，保證信息利用流程的穩(wěn)定。

2.限制用戶個人信息被應用的場景

社交媒體用戶提供的各種個人信息尤其是敏感個人信息被無限制地用于各種場景，違背了最小化、必要性原則。隱私政策中應當具體列明收集到的信息會被使用的具體場景和用途，不能直接規(guī)定社交媒體可以自主判斷、自由決定，也不能使用模糊語句造成實質上的寬泛授權。

3.未經用戶再次同意，社交媒體不得將用戶個人信息與包括關聯(lián)公司在內的第三方共享

用戶在個人信息問題上授權社交媒體，是限于特定主體的具體授權，社交媒體無權將其擴張至第三方，包括其關聯(lián)公司和合作伙伴。社交媒體在向任何一家包括關聯(lián)公司、合作伙伴在內第三方分享用戶個人信息時，應專門通知用戶，并告知用戶共享的主體、共享的范圍、可能的后果等內容，由用戶自主決定是否授權分享。

4.區(qū)分不同類型個人信息

在隱私政策的具體權利義務設定中區(qū)分一般個人信息與敏感個人信息。敏感個人信息不僅對用戶重要，對社交平臺來說價值更高。因此社交平臺更愿意積極收集、處理、利用與分享，由此造成個人敏感信息被損害的可能性更大，后果更嚴重。

在信息收集時，對敏感信息的收集必須基于合法、明確和特定目的，禁止對特別重要的個人敏感信息進行隨意采集、記錄和存儲。隱私政策中應列明必須經過用戶特別逐一授權同意，并以粗體字、單獨列舉方式提醒用戶特別關注，謹慎決定是否授權同意。在使用、分享、公開、披露、傳播時，必須匿名化、假名化處理，避免用戶信息被輕易識別，匿名化處理必須是不可逆的。要預防重新識別的風險，要保證不會在處理后與其他信息聯(lián)系又被識別。判斷標準為是否窮盡“合理方式”仍不可能進行識別[11]。當然，匿名化、假名化不等于用戶可以隨意向社交媒體平臺提供虛假個人信息，因為社交媒體為了解決用戶與社交媒體、第三方之間可能的爭議，有權要求注冊、登錄、使用的用戶提供真實信息[12]。

5.強化信息披露，民眾行使知情權、監(jiān)督權

社交媒體用戶知識水平、認識能力畢竟有差異，不可能詳細、充分地掌握個人信息保護方面的知識。社交媒體粗略地描述用戶個人信息被收集使用的圖景，用戶并不能借助隱私政策具體、詳細、清晰地了解自己的個人信息被收集、處理、使用、共享的路徑，很難知曉它將給自身帶來的影響。盡管幾乎每一個社交媒體用戶都曾或多或少受到垃圾廣告、推銷廣告的騷擾，但用戶并不知道自己在什么時間、地點被誰泄露了個人信息，更不知道信息泄露到何種程度，作了什么用途，會造成什么樣的影響。

因此需要社交媒體以隱私政策為媒介，進一步詳細披露對用戶個人信息處理方法、應用場景，重點是披露對用戶個人信息處理、使用、共享可能的后果，對用戶的影響。隱私政策中信息披露用語要明白暢曉，應該以普通用戶可以理解掌握作為衡量標準，以樸素的語言說明個人信息在社交媒體的流動路徑，切忌花哨的詞句。隱私政策的披露應該動態(tài)化，根據(jù)對信息的不斷使用、合成以及分享情況，持續(xù)申明用戶個人信息面臨的風險。

(二)尊重用戶的選擇同意權

用戶的授權同意是社交媒體對用戶個人信息處分的前提和基礎，用戶的同意應當是簡單、明了且自愿、直接的。

1.禁止強制同意，同意必須出于自愿

以用戶放棄使用權作為威脅手段，強迫用戶同意隱私政策內容，承擔額外的義務和負擔，反映出社交媒體在處理用戶個人信息方面的隨意和霸道。深究背后根源，還是立法的缺失和監(jiān)管部門的執(zhí)法不嚴和選擇性執(zhí)法。社交媒體既然通過改變用戶的交流習慣、模式而獲利，成為網絡巨頭或獨角獸，就應當承擔起作為大企業(yè)的社會責任。社交媒體，特別是行業(yè)領先者，其提供的服務依然具有公共服務的特色，應當履行強制締約義務，不得隨意為追逐自身利益而拒絕提供服務。應該考慮在立法中嚴禁社交媒體以同意提供個人信息作為享受服務的代價和條件，要求社交媒體研發(fā)更多的服務模式和樣態(tài)，保證用戶在不提供或者部分提供個人信息情況下仍然能夠享受社交媒體服務。設定用戶諸多權利的最終目的乃是為了保證用戶能夠控制其個人信息，進而通過控制自主決定衡量采集、使用或披露其個人信息的成本與收益。[13]

2.禁止推定同意，同意必須明示，更不能間接、推定

隱私政策中應刪除使用社交媒體就意味著同意隱私政策的錯誤規(guī)定，因為推定的同意，不能排除推定本身可能是錯誤的，并未反映用戶的真實意思。社交媒體獲得的同意，應當是用戶以直接、肯定、具體的意思表示做出的，不能含糊其詞。同時，獲取用戶同意的意思表示必須具體、表述簡單，因為內容翔實具體、表述親切淺顯的隱私政策更能吸引用戶去閱讀[14]，用戶的同意才更有實際價值。

(三)以第三方認證機制督促隱私政策的完善和落實

行業(yè)認證是自律模式下最重要的做法之一。主要做法是網站申請，第三方認證機構考察檢視網站在用戶個人信息保護方面的做法決定是否予以認證。如果認證，則網站可以使用認證標志以提升其信譽，獲得更多用戶的認可。獲得認證后，第三方認證機構會定期檢查網站在隱私保護方面做法的持續(xù)性情況。有的第三方認證機構還提供用戶與網站平臺個人信息保護方面糾紛解決服務，網站必須無條件接受其處理結果，否則網站可能會被列入黑名單。當然，整個認證過程，第三方認證機構會收取一定的服務費用。由于認證是由獨立第三方為網站背書，能夠較大尺度提升網站在用戶隱私保護方面的公信力和信譽，讓用戶有理由充分相信網站的個人信息保護水平達到了要求的高度，同時也能督促網站不斷改進隱私政策，提高隱私政策保護水平，因而受到不少網站的歡迎，特別是各行業(yè)處于領先地位的大型網站，大都接受了認證服務。國外比較知名的隱私政策認證機構包括TrustArc(原來稱TRUSTe)、BBB Online，都有一套相對成熟的做法，保證其認證的水平和公信力。認證標準如the U.S-E.U. Safe Harbor Agreement (SHA)，能夠劃定美國公司遵循確保符合嚴厲的歐盟信息隱私法的一整套信息隱私實踐框架，也可以被公司用作表明信任的封條。[15]

當然，國外包括社交媒體在內，網站在隱私政策第三方認證方面也存在不少的問題，例如認證不夠充分，覆蓋面不夠廣泛等。域外調查顯示，在調查的249份隱私政策中，只有27%實際上宣稱遵守了至少十五個第三方標準其中之一[15]。

國內社交媒體隱私政策普遍缺少第三方認證，有的在隱私政策中根本就未提及第三方認證事宜，如《新浪微博個人信息保護政策(修訂版)》《百度貼吧隱私政策》；有的社交媒體在隱私政策中陳述獲得了相關認證，但鮮有獲得獨立第三方特別是知名獨立第三方隱私保護認證的，如《知乎隱私保護指引》中只是提及與第三方測評機構建立了良好的協(xié)調溝通機制，并未明確獲得第三方認證。僅有《微信隱私保護指引》清楚地表明隱私保護已經達到ISO27001、國際信息安全管理體系、TRUSTArc等要求的標準，并獲得了認證，微信也在其隱私政策下方使用了TRUSTArc的認證標志。此外，用戶對第三方認證知之甚少，不知曉第三方認證的作用和價值，從而并不看重和認可第三方認證的吸引力和公信力，導致社交媒體獲得第三方認證的積極性并不高。

國內缺少權威性高、用戶認可的個人信息保護第三方認證機構，也是造成第三方認證并不普遍的重要原因?，F(xiàn)有的第三方認證機構，特別是影響力大的，都是域外的機構，國內并無權威的第三方個人信息保護認證機構，甚至是一般的都很少。因此，設立權威的第三方認證組織是緊迫的工作。第三方認證機構或為商業(yè)性質機構，或為非營利機構。從追求權威性、公正性角度來看，我國建立的第三方認證機構以非營利性為宜。由監(jiān)管部門或者行業(yè)協(xié)會組織成立，專職從事隱私政策認證。不以營利為目的，不向被認證對象收取費用，消除利益沖突的可能性。

我國社交媒體第三方認證機構需要進一步做的工作主要是研制一套完整、系統(tǒng)的個人信息保護評價體系，審查檢討被認證網站是否達到要求的標準，并確保被認證網站在用戶個人信息保護方面持續(xù)性地達到要求的水平。建立獨特有效的追索權實現(xiàn)機制，第三方認證機構應該保證投訴、追索用戶的訴求能夠以簡單、方便、快速的方式得以實現(xiàn)，獲取用戶的認可和信任。對第三方認證機構開展行之有效的監(jiān)督，督促其履行持續(xù)監(jiān)督社交媒體遵從認證標準。美國FTC就曾針對未能有效監(jiān)督被認證企業(yè)提起三起訴訟[15]。

(四)法律責任

1.創(chuàng)設新型權利，為用戶追究法律責任鋪設根基

盡管每個人都清楚個人信息的重要性，但在現(xiàn)有的法律框架下，存在用戶的個人信息究竟屬于何種權利，權能包括哪些，權利的邊界在何處，諸如此類問題。應當考慮在民法典或者專門的個人信息保護法中就個人信息、個人數(shù)據(jù)權利的性質、權利主體、權利客體、權利內容等方面進行規(guī)定，明確用戶在社交媒體等平臺中信息數(shù)據(jù)的歸屬、權利分配等問題，杜絕社交媒體對個人信息權的非法侵蝕。

2.在隱私政策中增加清晰表明責任的條款

信息安全保障責任。隱私政策中既要承諾采取的積極措施和技術手段，更加需要列明在各種情形下用戶個人信息被竊取、被泄露等情況下，社交媒體應當承擔責任的情形和具體責任形式。

社交媒體應該投保網絡個人信息侵權損害責任保險、分散風險，防范大規(guī)模用戶個人信息泄露后無力承擔責任。投保費用應由社交媒體籌集并繳納，因為風險主要是社交媒體收集、處理、利用程序中產生的，而這一過程也是社交媒體追逐利潤的過程。

通過設立網絡侵權損害救助基金等方式彌補責任保險的不足部分?；鹬饕獊碓从谏缃幻襟w利潤，按照一定比例提取。在責任保險索賠后仍然得不到全部救濟的情況下，用戶可以申請救助基金獲取救濟資金支持。獲得救濟后，需要將索賠請求權轉讓給基金，由后者決定是否追償。

3.完善用戶維權追究責任的路徑和程序

社交媒體隱私政策中缺乏對責任尤其是自身法律責任方面的內容。盡管社交媒體隱私政策中一再聲明，會保障用戶個人信息安全，會履行義務，積極保障用戶的各項權利，但鮮有明確如果不履行隱私政策中設定的各項義務的后果和法律責任。用戶個人信息被侵犯，能夠獲得的救濟途徑也單一且不利。如《百度貼吧隱私政策》給出的救濟途徑是通過用戶隱私投訴平臺聯(lián)系，處理的期限是30天。用戶可以與百度貼吧直接聯(lián)系，具體途徑是郵寄有關材料去公司法務部，要求提供的材料包括身份證明、有效聯(lián)系方式和書面請求及相關證據(jù)，用戶只有身份被確認后訴訟才會被處理。用戶也可以在權利受損時提起民事訴訟，但必須選擇百度貼吧所在地作為受訴法院。其他幾家社交媒體對爭議解決也有類似規(guī)定，《豆瓣隱私政策》的聯(lián)系方式是電子郵件，回復時間是15天，起訴管轄法院也是豆瓣所在地?！段⑿烹[私保護指引》告知的聯(lián)系方式包括網站、電子郵箱和現(xiàn)實地址，答復期限為30日。《知乎隱私保護指引》告知了用戶能夠通過知乎官方帳號“知乎小管家”電子郵箱聯(lián)系，回復期限是30日，起訴法院也是知乎所在地法院，同時用戶還能夠選擇向有關部門反映，但有關部門究竟是哪個部門，并未明確?！缎吕宋⒉﹤€人信息保護政策(修訂版)》僅涉及網站、電子郵件和現(xiàn)實地址通知，答復期為30天，并未涉及如何訴訟以及訴訟管轄法院的選定問題。

為解決用戶維權難問題，需要發(fā)展網絡救濟機構，建立網上投訴中心，處理侵犯用戶個人信息受害投訴；建立網上調解機構，協(xié)調用戶與社交平臺的爭議；創(chuàng)設在線網上仲裁機構，強制雙方發(fā)生爭議必須選擇仲裁，為用戶提供具有法律效力的仲裁救濟；構建網絡簡易訴訟制度，縮短審理期限，建立一審終審、巡回法庭辦案等制度。