杜永欣，周茂君

摘要：信息技術(shù)變革與數(shù)據(jù)價(jià)值應(yīng)用所引發(fā)的信息安全問題，促使個(gè)人信息保護(hù)成為行業(yè)發(fā)展所面臨的重要議題。制定隱私政策是當(dāng)前信息保護(hù)領(lǐng)域網(wǎng)絡(luò)服務(wù)提供者自律規(guī)約的主要途徑，結(jié)合法律規(guī)范框架下的十一項(xiàng)要求指標(biāo)，通過對九家網(wǎng)站隱私政策的一般及特殊規(guī)定、信息收集與使用、信息保存與管理以及信息共享、轉(zhuǎn)讓與公開披露四大方面內(nèi)容條款的合規(guī)性考察發(fā)現(xiàn)，當(dāng)前，我國網(wǎng)站隱私保護(hù)政策雖漸趨完善，但存在著明顯的自主規(guī)約匱乏與法律規(guī)制依賴?yán)Ь?，自律效力依然堪憂。我國個(gè)人信息保護(hù)問題的解決，有賴于制定專門的個(gè)人信息保護(hù)法，并根據(jù)行業(yè)特性實(shí)施相應(yīng)的個(gè)人信息保護(hù)特別法;設(shè)立專門的個(gè)人信息保護(hù)監(jiān)管機(jī)構(gòu)，完善保障個(gè)人信息安全的協(xié)調(diào)管理機(jī)制;加強(qiáng)行業(yè)自律管理，提升個(gè)人信息保護(hù)的行業(yè)自律規(guī)約能力，通過法律規(guī)制與行業(yè)自治的有效協(xié)同，推進(jìn)我國個(gè)人信息保護(hù)的規(guī)范化進(jìn)程。

關(guān)鍵詞：個(gè)人信息;隱私政策;行業(yè)自律;法律規(guī)制;信息安全

中圖分類號(hào)：D922.294; G203? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：16738268（2021）04006211

一、研究問題與緣起

隨著社會(huì)進(jìn)步和信息技術(shù)的發(fā)展，個(gè)體的社會(huì)交往活動(dòng)無不裹挾于信息洪流之中，用戶的各種在線行為變得有跡可循，其個(gè)人信息個(gè)人信息、個(gè)人隱私、個(gè)人數(shù)據(jù)是當(dāng)前較?；煊玫母拍?，美國習(xí)慣使用“個(gè)人隱私”，如1974年頒布的《隱私法案》（Privacy Act of 1974）;歐盟多使用“個(gè)人數(shù)據(jù)”，如最新頒布的《通用數(shù)據(jù)保護(hù)條例》（GDPR）;我國多采用“個(gè)人信息”的概念，如《信息安全技術(shù) 個(gè)人信息安全規(guī)范》，并且在學(xué)術(shù)研究中也出現(xiàn)用“個(gè)人信息”代替“個(gè)人隱私”的趨勢，本文亦采用這一概念內(nèi)涵。成為可被追蹤記錄并加以利用的重要商業(yè)資源。如今，個(gè)人信息在助力行業(yè)創(chuàng)新與社會(huì)發(fā)展中的作用日益凸顯，數(shù)據(jù)價(jià)值開發(fā)不斷拓展信息收集和使用的邊界，以往被視為具有私人屬性的信息往往也被應(yīng)用于商業(yè)目的，導(dǎo)致個(gè)人信息安全風(fēng)險(xiǎn)日益提升。不當(dāng)?shù)膫€(gè)人信息利用危及個(gè)人權(quán)益，容易造成人格尊嚴(yán)和自由、甚至是人身和財(cái)產(chǎn)安全損害，從Facebook連續(xù)多起大規(guī)模數(shù)據(jù)泄露風(fēng)波到支付寶年度賬單的隱私爭議[12]，頻發(fā)的數(shù)據(jù)泄露事件將個(gè)人信息安全問題置于社會(huì)熱議的焦點(diǎn)，日益嚴(yán)峻的數(shù)據(jù)安全形勢使加強(qiáng)個(gè)人信息保護(hù)刻不容緩。

當(dāng)前，個(gè)人信息的保護(hù)主要訴諸于技術(shù)、自律和法律三種途徑[3]。技術(shù)方法即通過加密、Cookies數(shù)據(jù)接收阻止等手段實(shí)現(xiàn)保護(hù)，自律則依賴于主體的責(zé)任承擔(dān)，而法律規(guī)制旨在尋求有效的立法方案以達(dá)到信息保護(hù)的目的，其中，以美國為代表的自律模式和以歐盟為代表的法律規(guī)制模式[4]在個(gè)人信息保護(hù)模式構(gòu)建和經(jīng)驗(yàn)借鑒中頗受關(guān)注。在世界范圍內(nèi)的個(gè)人信息保護(hù)立法潮流下，歐洲《通用數(shù)據(jù)保護(hù)條例》（GDPR）以及美國《加州消費(fèi)者隱私法案》（CCPA）先后開始施行，我國也陸續(xù)出臺(tái)了個(gè)人信息保護(hù)的相關(guān)規(guī)定，以促進(jìn)個(gè)人信息的規(guī)范使用和保障個(gè)人信息的安全。2012年全國人大常委會(huì)通過的《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》開啟了我國個(gè)人信息保護(hù)的立法之路，隨即，個(gè)人信息保護(hù)成為《網(wǎng)絡(luò)安全法》《消費(fèi)者權(quán)益保護(hù)法》和《信息安全技術(shù) 個(gè)人信息安全規(guī)范》（以下簡稱《規(guī)范》）等法律規(guī)范的重要內(nèi)容。與此同時(shí)，為消除用戶隱私顧慮以建立信任機(jī)制、響應(yīng)法律規(guī)范的要求，行業(yè)范圍也展開了相應(yīng)的個(gè)人信息保護(hù)實(shí)踐，以貫徹法規(guī)要求中的“知情同意”等保護(hù)原則，實(shí)現(xiàn)合規(guī)經(jīng)營。網(wǎng)絡(luò)隱私政策也稱為“點(diǎn)擊視為同意協(xié)議”[5]，是網(wǎng)絡(luò)服務(wù)提供者告知用戶在使用其所提供的網(wǎng)絡(luò)服務(wù)中涉及的信息安全問題，披露其收集、利用和保護(hù)用戶個(gè)人信息的目的、范圍和方式等內(nèi)容的在線文件，網(wǎng)絡(luò)服務(wù)提供者通過公示其相關(guān)原則和措施，以達(dá)到與用戶之間的信息保護(hù)共識(shí)[67]。當(dāng)前，制定隱私政策以明確對個(gè)人信息的規(guī)范使用，已成為國內(nèi)外普遍采用的行業(yè)自律措施之一[8]，即使是推崇行業(yè)自律的美國和以嚴(yán)格的法律保護(hù)而著稱的歐盟，也并非依賴單一機(jī)制保護(hù)個(gè)人信息[9]，行業(yè)自律保護(hù)機(jī)制被視為個(gè)人信息保護(hù)中不可或缺的重要環(huán)節(jié)[10]。

雖然當(dāng)前許多企業(yè)都制定了隱私政策，但究竟在個(gè)人信息保護(hù)中發(fā)揮著怎樣的規(guī)范作用以及產(chǎn)生的約束效力如何，是當(dāng)前我國行業(yè)信息保護(hù)實(shí)踐有待探討和反思的問題。有學(xué)者從宏觀視角分析了美國行業(yè)自律模式對我國個(gè)人信息保護(hù)的借鑒意義[11]，以及歐美法律體系中個(gè)人信息保護(hù)相關(guān)規(guī)定的本土化移植問題[12]，基于國家和社會(huì)層面探討了個(gè)人信息保護(hù)與監(jiān)管的多元機(jī)制[10];也有學(xué)者從實(shí)踐應(yīng)用角度對網(wǎng)絡(luò)隱私政策展開調(diào)查，并基于考察結(jié)果提出了完善建議[1317]，由此為行業(yè)中的個(gè)人信息保護(hù)實(shí)踐提供了諸多有益的參考。就隱私政策的規(guī)范程度以及自律效力而言，需要納入法律框架予以綜合考量，隨著我國個(gè)人信息保護(hù)法律框架的日趨完善，依據(jù)法律規(guī)范標(biāo)準(zhǔn)審視和反思其在實(shí)際應(yīng)用中的響應(yīng)情況，是發(fā)現(xiàn)我國個(gè)人信息保護(hù)中的問題以及尋求應(yīng)對方法的有效路徑。根據(jù)2018年中國消費(fèi)者協(xié)會(huì)發(fā)布的《100款A(yù)pp個(gè)人信息收集與隱私政策測評(píng)報(bào)告》發(fā)現(xiàn)，其中多達(dá)91款A(yù)PP涉嫌數(shù)據(jù)權(quán)限“越界”[18]，用戶信息的過度收集和使用情況依然不容樂觀。2019年，我國在全國范圍內(nèi)組織展開了App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理，并發(fā)布了《百款常用APP 強(qiáng)制開啟權(quán)限情況通報(bào)》《網(wǎng)絡(luò)安全實(shí)踐指南——移動(dòng)互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范》《APP 違法違規(guī)收集使用個(gè)人信息行為認(rèn)定辦法》等多項(xiàng)成果文件，以治理個(gè)人信息保護(hù)中所存在的亂象、規(guī)范市場秩序。在商業(yè)利益驅(qū)動(dòng)、經(jīng)營理念差異以及管理水平差距等多種因素的影響下，依靠網(wǎng)絡(luò)服務(wù)提供者主動(dòng)納入法定要求、承擔(dān)社會(huì)責(zé)任的自律規(guī)則，有待對其進(jìn)行進(jìn)一步的規(guī)范性考察和監(jiān)督管理。對隱私政策內(nèi)容條款的合規(guī)性審視，有助于了解當(dāng)前我國行業(yè)實(shí)踐中網(wǎng)絡(luò)服務(wù)提供者的自律現(xiàn)狀、發(fā)現(xiàn)隱私政策制定和執(zhí)行中的問題，從而在優(yōu)化提升中推進(jìn)我國個(gè)人信息安全的規(guī)范化進(jìn)程。

二、個(gè)人信息保護(hù)的法律標(biāo)準(zhǔn)與自律規(guī)約要點(diǎn)梳理

（一）法律框架下的個(gè)人信息保護(hù)要求

隱私政策條款的制定需符合法律規(guī)范的要求，才具備合理運(yùn)作的基礎(chǔ)。通過對《網(wǎng)絡(luò)安全法》《信息安全技術(shù) 個(gè)人信息安全規(guī)范》《消費(fèi)者權(quán)益保護(hù)法》和《電子商務(wù)法》等相關(guān)個(gè)人信息保護(hù)法律法規(guī)內(nèi)容的全面梳理，總結(jié)了包括限制權(quán)限、最少夠用、明確目的、敏感告知、最短時(shí)限、保證質(zhì)量、確保安全、主體參與、安全評(píng)估、透明公開、責(zé)任明確在內(nèi)的11項(xiàng)要求指標(biāo)（見表1），以此作為全面衡量網(wǎng)站隱私政策內(nèi)容規(guī)范性、合理性的考察依據(jù)。

（二）網(wǎng)絡(luò)隱私政策的自律規(guī)則

隱私政策是具有公開屬性的自律規(guī)則，其所載內(nèi)容反映了網(wǎng)絡(luò)服務(wù)提供者對個(gè)人信息保護(hù)的關(guān)注方面和重視程度，且與其保護(hù)理念及實(shí)踐密切相關(guān)。因而，對網(wǎng)站隱私政策內(nèi)容的分析能夠了解網(wǎng)站在個(gè)人信息保護(hù)中的認(rèn)知傾向和關(guān)注焦點(diǎn)[19]，是審視行業(yè)實(shí)踐中網(wǎng)站個(gè)人信息保護(hù)自我規(guī)約情況的有效方法。根據(jù)Alexa

Alexa排名是指網(wǎng)站的世界排名，主要分為綜合排名和分類排名，已有研究中多采用該排名作為較為權(quán)威的網(wǎng)站訪問量評(píng)價(jià)指標(biāo)（參見Alexa 熱門中文網(wǎng)站排名：https：//www.alexa.com/topsites/countries/CN），本研究的網(wǎng)站排名和隱私政策內(nèi)容獲取截止時(shí)間為2020年3月31日。中文網(wǎng)站訪問量排名，本文選取了網(wǎng)站排名前50名中的第1至5名、中間第26至30名以及第46至50名的網(wǎng)站，在排除無法訪問、未張貼隱私政策以及隱私政策重復(fù)的情況后，最終選取了天貓、百度、騰訊、搜狐、寶寶樹、金融界、嗶哩嗶哩、愛奇藝、四川在線共九家網(wǎng)站的隱私政策作為分析文本，并結(jié)合法律規(guī)范框架的要求對其條款內(nèi)容進(jìn)行了綜合考量，進(jìn)而主要從以下四個(gè)方面對網(wǎng)站隱私政策內(nèi)容展開考察分析：（1）一般及特殊規(guī)定;（2）信息收集與使用;（3）信息保存與管理;（4）信息共享、轉(zhuǎn)讓與公開披露。

三、法律規(guī)制與合規(guī)審視：我國網(wǎng)站個(gè)人信息保護(hù)的現(xiàn)狀考察

隱私政策是網(wǎng)站自行制定的行為準(zhǔn)則及指引，其相較于法律規(guī)范標(biāo)準(zhǔn)而言具有較強(qiáng)的及時(shí)性和靈活性特征，并旨在通過內(nèi)在約束效力規(guī)范網(wǎng)站個(gè)人信息處理行為，避免侵犯用戶正當(dāng)權(quán)益。雖然網(wǎng)站隱私政策中具有某項(xiàng)指標(biāo)條款并不意味著該項(xiàng)內(nèi)容達(dá)到了規(guī)范標(biāo)準(zhǔn)的要求，但至少反映了網(wǎng)站在個(gè)人信息處理過程中意識(shí)到該項(xiàng)要求指標(biāo)的必要性。因而，各網(wǎng)站隱私政策的內(nèi)容披露則為了解其信息保護(hù)內(nèi)在機(jī)制提供了可行的評(píng)估視角?！糉L）〗〖HJ〗

〖HT5”H〗〖JZ〗表2〓網(wǎng)站訪問量排名及隱私政策

〖HJ1.8mm〗

〖HT5”SS〗〖BG（！〗〖BHDFG1*2，WK14，WK12，WK13*2，WK12W〗9家隱私政策樣本網(wǎng)站2家未張貼隱私政策網(wǎng)站3家隱私政策重復(fù)網(wǎng)站1家無法訪問網(wǎng)站

〖BHDG14*2，WK14ZQ，WK12ZQ0，WK13*2ZQ0，WK12W〗〖SQ*2〗

（1）天貓（Tmall.com）（2）百度（Baidu.com）（3）騰訊QQ（Qq.com）（4）搜狐（Sohu.com）（26）寶寶樹（Babytree.com）（27）金融界（Jrj.com.cn）（28）嗶哩嗶哩（Bilibili.com）（46）愛奇藝（Iqiyi.com）（47）四川在線（Scol.com.cn）〖SQ*2〗

（48）東方網(wǎng)（Eastday.com）（49）簡書（Jianshu.com）〖SQ*2〗

（5）天貓登錄（Login.tmall.com）（6）天貓年貨（Nianhuo.tmall.com）（30）阿里巴巴（1688.com）〖SQ*2〗

（29）谷歌搜索（Google.cn）〖BG）F〗〖HT〗

〓〖HT6SS〗（注：網(wǎng)站排名和隱私政策獲取截止時(shí)間為2020年3月31日）〖HJ〗〖HT〗〖KH*2〗

〖FL（K2〗

（一）一般及特殊規(guī)定的考察

隱私政策的一般情況說明往往并不直接指向個(gè)人信息保護(hù)的核心標(biāo)準(zhǔn)和權(quán)利義務(wù)，而是為實(shí)現(xiàn)隱私政策約束效力所需的輔助性指標(biāo)要求[20]。如表2所示，從隱私政策制定依據(jù)、相關(guān)概念界定、更新通知、聯(lián)系方式四個(gè)方面的分析發(fā)現(xiàn)：首先，隱私政策制定的依據(jù)來源是判斷其可信賴程度的重要因素，天貓等網(wǎng)站表明其主要依據(jù)現(xiàn)行法律法規(guī)要求制定和更新相應(yīng)的條款內(nèi)容，其中，嗶哩嗶哩明確表示其主要依據(jù)《網(wǎng)絡(luò)安全法》和《規(guī)范》等相關(guān)法律法規(guī);其次，在個(gè)人信息概念及范圍界定方面，包括天貓、百度在內(nèi)的六家網(wǎng)站對隱私政策中所涉及的關(guān)鍵性概念進(jìn)行了說明，且嗶哩嗶哩、愛奇藝則聲明其定義出自《規(guī)范》;再次，隱私政策更新則反映了網(wǎng)站對個(gè)人信息保護(hù)的關(guān)注度和及時(shí)性，天貓、騰訊等都標(biāo)明了更新時(shí)間，表示會(huì)對重大變更予以顯著通知，僅有部分網(wǎng)站告知了具體的更新內(nèi)容，主要集中于未成年人信息規(guī)定、用戶權(quán)利方面;最后，聯(lián)系與反饋是用戶和網(wǎng)絡(luò)服務(wù)提供者有效溝通、維護(hù)自身權(quán)益的途徑，九家網(wǎng)站都公布了用戶針對隱私政策疑問的聯(lián)絡(luò)方式，其中，天貓明確告知了投訴舉報(bào)方式，愛奇藝則設(shè)立了專門的個(gè)人信息保護(hù)專員處理相關(guān)事宜，在反饋途徑方面表現(xiàn)出更為負(fù)責(zé)的態(tài)度。由此可見，該類隱私條款的制定主要出于“守法合規(guī)”目的，相關(guān)法律法規(guī)對其內(nèi)容制定具有促進(jìn)作用，網(wǎng)站信息保護(hù)制度初步呈現(xiàn)出尊重用戶權(quán)利、日益與時(shí)俱進(jìn)的特征。

與一般性規(guī)定指標(biāo)不同，隱私政策中的特殊項(xiàng)目則主要是對個(gè)人信息處理行為中所涉及的特定技術(shù)應(yīng)用、特定主體以及個(gè)人信息的特殊處理做出的規(guī)定性說明。從Cookies及同類技術(shù)使用、未成年人及兒童隱私條款和數(shù)據(jù)跨境傳輸情況三個(gè)方面的考察表明：網(wǎng)站對Cookies及同類技術(shù)的使用，主要是出于個(gè)性化服務(wù)提供目的，如安全認(rèn)證、分析用戶偏好、廣告宣傳改善等，且九家網(wǎng)站均表明用戶可自行管理或刪除Cookies數(shù)據(jù)信息;未成年人作為網(wǎng)站服務(wù)使用的特殊群體，除金融界以外的八家網(wǎng)站均針對未成年人的服務(wù)使用和信息處理做出了特別說明，表示未成年人網(wǎng)絡(luò)服務(wù)使用需經(jīng)過父母或其他監(jiān)護(hù)人同意。愛奇藝表示，如發(fā)現(xiàn)未經(jīng)監(jiān)護(hù)人同意的情況，會(huì)盡最大努力與監(jiān)護(hù)人取得聯(lián)系，并在監(jiān)護(hù)人要求下盡快刪除相關(guān)未成年人個(gè)人信息，相較之下更為具體。此外，天貓、騰訊等網(wǎng)站進(jìn)一步對兒童信息安全及法律責(zé)任承擔(dān)作了具體規(guī)定?？紤]到個(gè)人信息跨境流轉(zhuǎn)更易造成信息主體利益損害[21]，天貓、百度等針對個(gè)人信息的跨境傳輸情形進(jìn)行了說明，主要涉及遵循法律規(guī)定、個(gè)人同意授權(quán)以及個(gè)人主動(dòng)的跨境交易等前提。

（二）個(gè)人信息的收集與使用

對個(gè)人信息收集和使用是網(wǎng)站圍繞用戶個(gè)人信息提供相關(guān)服務(wù)的關(guān)鍵環(huán)節(jié)，對其合規(guī)性考察可從如下幾方面進(jìn)行：網(wǎng)站是否遵循“合法、正當(dāng)、必要”的法律規(guī)范要求，承諾按照隱私協(xié)議進(jìn)行既有約定下的信息收集和使用活動(dòng);網(wǎng)站是否明確披露收集個(gè)人信息的目的、范圍和方式，滿足用戶知情需要;網(wǎng)站收集和使用活動(dòng)是否基于功能實(shí)現(xiàn)的必要，符合最少夠用原則;網(wǎng)站對與個(gè)人權(quán)益關(guān)聯(lián)密切的敏感信息有無特殊提示和功能關(guān)聯(lián)性說明，符合必要性規(guī)定?？疾旖Y(jié)果情況如表3所示。

個(gè)人信息收集和使用不應(yīng)肆意進(jìn)行，而應(yīng)受到合法、合理的限制約束，產(chǎn)品或服務(wù)提供所需以及用戶合法授權(quán)，是其信息收集和使用的主要權(quán)限約束條件。九家網(wǎng)站均表示個(gè)人信息收集和使用是基于產(chǎn)品或服務(wù)提供的目的，且實(shí)現(xiàn)各項(xiàng)功能所需信息的收集和使用要在用戶合法授權(quán)的范圍內(nèi)進(jìn)行，其中，騰訊、嗶哩嗶哩表示依法遵循“正當(dāng)、合法、必要”的原則收集和使用個(gè)人信息。

告知用戶數(shù)據(jù)收集和使用目的旨在滿足用戶知情權(quán)利，也是個(gè)人進(jìn)行授權(quán)選擇的基礎(chǔ)。九家網(wǎng)站的隱私政策均包含如何進(jìn)行數(shù)據(jù)收集和使用的相關(guān)條款，向用戶具體闡釋所收集的不同類型信息、用途以及方式。具體來看，網(wǎng)站的信息收集主要是基于實(shí)現(xiàn)核心和附加兩大業(yè)務(wù)功能的需要，如天貓、寶寶樹作為電商平臺(tái)，其信息收集和使用主要涉及會(huì)員服務(wù)、商品或服務(wù)信息展示、訂單管理等，嗶哩嗶哩、愛奇藝兩大視頻網(wǎng)站表示主要基于賬號(hào)注冊、搜索、視頻展示和播放等業(yè)務(wù)功能需求。另外，包括天貓、百度、嗶哩嗶哩和愛奇藝在內(nèi)的四家網(wǎng)站均表明會(huì)將信息用于其他未載用途，但會(huì)事先征求用戶同意。

在信息收集數(shù)量的限度與原則方面，天貓表示“盡力避免收集無關(guān)的個(gè)人信息”，且在兒童信息處理中明確表示采取“最少夠用授權(quán)原則”;百度、騰訊明確表示僅會(huì)出于隱私政策所述的產(chǎn)品或服務(wù)提供功能需要而收集、使用個(gè)人信息;除金融界和四川在線以外的七家公司，均對不同類型的個(gè)人信息所滿足的特定功能進(jìn)行了說明，并提醒用戶對于部分附加功能實(shí)現(xiàn)所需信息的拒絕授權(quán)不會(huì)影響基礎(chǔ)功能使用。在明確信息與產(chǎn)品關(guān)聯(lián)的情況下，用戶可根據(jù)自身需要而授權(quán)相應(yīng)的個(gè)人信息，由此實(shí)現(xiàn)了用戶選擇范疇的最少夠用要求。網(wǎng)站的信息收集既涉及用戶的基礎(chǔ)信息（如姓名、手機(jī)號(hào)、郵箱等），也包括行為活動(dòng)信息（搜索、瀏覽、評(píng)論、轉(zhuǎn)發(fā)等），且部分功能涉及個(gè)人敏感信息。天貓等六家網(wǎng)站對隱私政策中涉及的敏感信息進(jìn)行了提醒，其中，愛奇藝、嗶哩嗶哩具體說明了此類信息與特定功能的關(guān)聯(lián)性，體現(xiàn)了網(wǎng)站對個(gè)人敏感信息的關(guān)注與重視。

（三）個(gè)人信息的保存與管理

網(wǎng)站對已收集的個(gè)人信息進(jìn)行合理保存和有效管理，既是其保障個(gè)人信息安全的責(zé)任所在，也是保障用戶權(quán)益的要求。其規(guī)范要求主要涉及以下方面：網(wǎng)站是否以實(shí)現(xiàn)目的所需的最短時(shí)間為標(biāo)準(zhǔn)保存?zhèn)€人信息，合理限定保存時(shí)限;網(wǎng)站是否聲明不會(huì)泄露、竄改、毀損所收集的個(gè)人信息，尊重信息主體的信息權(quán)益;網(wǎng)站是否采取必要措施保障個(gè)人信息安全，對信息予以脫敏處理;網(wǎng)站是否明確告知用戶信息訪問、修改和授權(quán)撤回等權(quán)限，為用戶提供自主管理信息的途徑。對九家網(wǎng)站隱私政策的相應(yīng)考察情況如表4所示。

以騰訊為代表的四家網(wǎng)站均表示僅會(huì)在實(shí)現(xiàn)產(chǎn)品和服務(wù)提供目的所需的最短期限內(nèi)保留個(gè)人信息，天貓等三家網(wǎng)站表明以產(chǎn)品或服務(wù)需要為限，但未明確承諾時(shí)間最短。除此以外，法律規(guī)定留存、法定義務(wù)履行以及個(gè)人主動(dòng)刪除也是影響網(wǎng)站信息留存期限的因素，多數(shù)網(wǎng)站表示會(huì)對超出隱私政策所述留存期限的信息進(jìn)行刪除或匿名化處理。值得注意的是，百度表明會(huì)對相關(guān)逾期信息進(jìn)行匿名化處理，不會(huì)用于商業(yè)化使用但仍然會(huì)依法保留;騰訊表示會(huì)在合理期限內(nèi)刪除或匿名化處理個(gè)人信息，但并未對“合理期限”予以具體說明;四川在線則是依照個(gè)人信息的不同等級(jí)確定存儲(chǔ)期限，按照法律法規(guī)要求最低期限不少于6個(gè)月，顯然只透露了最低留存時(shí)限而無從知曉其留存時(shí)間上限。由此可以看出，網(wǎng)站關(guān)于個(gè)人信息留存的時(shí)限界定較為模糊，存在違規(guī)操作的空間。

對個(gè)人信息質(zhì)量的保障要求，旨在防止因信息扭曲或泄露而致使個(gè)人權(quán)益遭到損害。包括天貓?jiān)趦?nèi)的八家網(wǎng)站均表示采取了相應(yīng)的信息安全保障措施，以防止個(gè)人信息遭到未經(jīng)授權(quán)訪問、公開披露、使用、修改等。各網(wǎng)站對信息質(zhì)量保障的承諾標(biāo)準(zhǔn)和措施存在明顯差異，百度、愛奇藝等五家網(wǎng)站承諾其保護(hù)水平符合業(yè)界安全標(biāo)準(zhǔn)要求，且愛奇藝表明其保障措施涉及技術(shù)、組織架構(gòu)和管理體系等多層面，將最大程度降低信息安全風(fēng)險(xiǎn)。在安全保障標(biāo)準(zhǔn)方面，天貓?zhí)峁┚W(wǎng)絡(luò)安全等級(jí)保護(hù)認(rèn)證，搜狐進(jìn)行了國家信息安全等級(jí)測評(píng)和備案，相較之下更具有直接性的說服力和權(quán)威性;嗶哩嗶哩則設(shè)立安全應(yīng)急響應(yīng)中心以及時(shí)響應(yīng)信息安全漏洞和突發(fā)事件，在安全保障提供方面更為及時(shí);搜狐的權(quán)限管理制度進(jìn)行數(shù)據(jù)權(quán)限拆分、最小授權(quán)，實(shí)行數(shù)據(jù)分級(jí)管理和保護(hù)制度，對敏感信息加密保護(hù)，在網(wǎng)站的數(shù)據(jù)安全保障方面表現(xiàn)出創(chuàng)新性和完備性。網(wǎng)站的信息保護(hù)措施為保證個(gè)人信息質(zhì)量提供了支持保障，但標(biāo)準(zhǔn)參差不齊、保護(hù)效力存疑的弊端也較為明顯。

信息主體參與其個(gè)人信息管理是實(shí)現(xiàn)信息自控、尊重主體信息自決權(quán)利的要求，當(dāng)前，同意授權(quán)模式已成為隱私政策中普遍采用的信息自控方式，除此之外，法定的用戶權(quán)利涉及信息處理的多個(gè)環(huán)節(jié)。天貓等七家網(wǎng)站均明確告知用戶可通過訪問、更正或補(bǔ)充、刪除等方式管理個(gè)人信息;搜狐為用戶提供了獲取部分個(gè)人信息副本的權(quán)限，表現(xiàn)出較高的信息透明度。至于對個(gè)人信息管理請求的響應(yīng)，天貓承諾在15天內(nèi)做出答復(fù)，對處理結(jié)果不滿意可以通過天貓客服發(fā)起投訴，對用戶信息需求回應(yīng)較為高效;騰訊則表示在“合理的期限”予以回復(fù);四川在線則未給出回復(fù)時(shí)限。因而，用戶對個(gè)人信息管理參與既存在透明性局限，也呈現(xiàn)出反饋滯后、效力不足的問題。

（四）個(gè)人信息的共享、轉(zhuǎn)讓與公開披露

網(wǎng)站對既有個(gè)人信息的使用不僅限于自身平臺(tái)，還涉及數(shù)據(jù)共享、轉(zhuǎn)讓以及公開披露的情形，這就涉及第三方甚至多方平臺(tái)的信息安全問題。清晰而有效的信息流轉(zhuǎn)或公開規(guī)則，有助于消除用戶對其個(gè)人信息“下游”應(yīng)用的擔(dān)憂，促進(jìn)網(wǎng)站個(gè)人信息保護(hù)框架的完善。對信息流轉(zhuǎn)規(guī)范的考察主要包括：網(wǎng)站是否按要求事先開展信息安全影響評(píng)估，采取有效的保護(hù)措施;網(wǎng)站是否明確告知信息主體個(gè)人信息共享、轉(zhuǎn)讓或公開披露的目的、類型等具體情況，以必要的透明公開保障用戶對個(gè)人信息流轉(zhuǎn)的知情權(quán);網(wǎng)站是否明確個(gè)人信息共享、轉(zhuǎn)讓以及公開披露而造成用戶合法權(quán)益損害的責(zé)任承擔(dān)。相應(yīng)的考察情況如表5所示。

九家網(wǎng)站對個(gè)人信息安全影響評(píng)估規(guī)定的響應(yīng)甚少，僅愛奇藝聲明“我們的安全團(tuán)隊(duì)將對信息數(shù)據(jù)的輸出形式、流轉(zhuǎn)、使用等做安全評(píng)估與處理等”，各網(wǎng)站對安全影響評(píng)估的規(guī)范要求顯然重視不足。從信息共享情況來看，天貓、百度、搜狐等表示，除特定情況（如個(gè)人授權(quán)、法律要求、合作共享等）以外，不會(huì)向任何第三方共享用戶個(gè)人信息;部分網(wǎng)站對第三方的信息權(quán)限進(jìn)行了限制，承諾信息共享在合法、正當(dāng)范圍之內(nèi)，且授權(quán)合作伙伴無權(quán)將信息用于任何其他用途;騰訊則采取“默認(rèn)分享”但加以條件限制的形式進(jìn)行信息分享，并表明會(huì)要求第三方平臺(tái)按照相關(guān)保密和安全措施進(jìn)行處理;百度表示會(huì)采用加密、匿名化處理等手段保障個(gè)人信息流轉(zhuǎn)的安全。在信息流轉(zhuǎn)和披露方面，搜狐表示會(huì)對公開披露的信息采取符合業(yè)界標(biāo)準(zhǔn)的安全防護(hù)措施，并就披露信息方式、范圍征得用戶同意，也會(huì)對相關(guān)機(jī)構(gòu)法定的披露要求進(jìn)行核實(shí)，表現(xiàn)出較為完善的信息保護(hù)程序。關(guān)于第三方平臺(tái)的保護(hù)標(biāo)準(zhǔn)，多數(shù)網(wǎng)站表示自身平臺(tái)現(xiàn)有的保護(hù)條款同樣適用于第三方平臺(tái)，搜狐、愛奇藝承諾只分享去標(biāo)識(shí)信息，并將簽署嚴(yán)格的保密協(xié)議;騰訊、愛奇藝承諾將要求第三方平臺(tái)按照不低于原有的標(biāo)準(zhǔn)進(jìn)行個(gè)人信息保護(hù)?？偠灾?，各網(wǎng)站在信息流轉(zhuǎn)方面的安全評(píng)估意識(shí)匱乏，雖承諾將為個(gè)人信息提供安全保障，但并未明確信息公開及流轉(zhuǎn)的情形和具體信息內(nèi)容。

由于信息共享和轉(zhuǎn)讓涉及多方主體，明確權(quán)責(zé)即厘清數(shù)據(jù)參與主體的權(quán)限范圍以及責(zé)任尤為重要。對此，愛奇藝針對用戶個(gè)人、合作伙伴以及自身平臺(tái)分別做了責(zé)任承擔(dān)說明，表明其將嚴(yán)格按照其隱私政策的約定及相關(guān)法律法規(guī)的要求開展相關(guān)活動(dòng)，并承諾愿意就其過錯(cuò)承擔(dān)法律范圍內(nèi)的損害賠償責(zé)任，除此以外，對其他任何主體的行為后果不承擔(dān)法律規(guī)定范圍外的任何責(zé)任;寶寶樹聲明在處理用戶與他人的糾紛時(shí)，其僅會(huì)在法律有明確規(guī)定的情況下承擔(dān)相應(yīng)的法律責(zé)任;金融界、四川在線僅提及第三方、用戶個(gè)人的責(zé)任承擔(dān)。由此可見，個(gè)人信息共享與流轉(zhuǎn)過程中的責(zé)任承擔(dān)機(jī)制薄弱、信息安全難以保障。

四、我國網(wǎng)站個(gè)人信息保護(hù)的規(guī)范進(jìn)程及問題透視

制定清晰而明確的隱私政策是個(gè)人信息保護(hù)法律規(guī)制背景下市場的普遍調(diào)適行為，日益成為數(shù)據(jù)驅(qū)動(dòng)時(shí)代網(wǎng)絡(luò)服務(wù)運(yùn)行的必備條件。當(dāng)前，我國網(wǎng)站個(gè)人信息保護(hù)雖趨于規(guī)范，但自主規(guī)約匱乏和法制依賴問題依然堪憂，亟待尋求突破保護(hù)實(shí)效困境的方案。

（一）從自律到自覺：網(wǎng)站個(gè)人信息保護(hù)的自我規(guī)約進(jìn)程

個(gè)人信息保護(hù)的法律框架對網(wǎng)站自律形成了有效的推動(dòng)，市場競爭調(diào)節(jié)也促進(jìn)了行業(yè)中個(gè)人信息保護(hù)機(jī)制的構(gòu)建。一方面，網(wǎng)站對個(gè)人信息的“自覺”保護(hù)初見成效，各網(wǎng)站隱私政策條款在更新中逐漸納入相應(yīng)的要求指標(biāo)，隱私政策日漸完善。一些網(wǎng)站的條款內(nèi)容專業(yè)而明晰，較法定規(guī)范標(biāo)準(zhǔn)更為詳細(xì)，表現(xiàn)出良好的規(guī)范意識(shí)與負(fù)責(zé)態(tài)度。在一些自律規(guī)范條款項(xiàng)目中，部分網(wǎng)站做出了積極有益的嘗試，如百度、愛奇藝采用圖文結(jié)合的方式更為人性化地告知用戶;愛奇藝的未成年人保護(hù)條款在征求監(jiān)護(hù)人同意原則的基礎(chǔ)上，還承諾會(huì)主動(dòng)向監(jiān)護(hù)人反饋未成年人在未經(jīng)許可時(shí)的使用情況;搜狐則實(shí)施了較為專業(yè)化的數(shù)據(jù)分級(jí)管理與數(shù)據(jù)權(quán)限拆分制度，在此方面的諸多探索與創(chuàng)新，有利于推進(jìn)行業(yè)實(shí)踐中網(wǎng)站自律的規(guī)范化發(fā)展。另一方面，各網(wǎng)站隱私政策自律規(guī)范標(biāo)準(zhǔn)的行業(yè)化特征初顯，隱私政策條款內(nèi)容與網(wǎng)站的功能服務(wù)關(guān)聯(lián)密切，呈現(xiàn)出自律規(guī)約定制化趨勢。天貓與寶寶樹作為電商平臺(tái)，主要圍繞其平臺(tái)功能進(jìn)行個(gè)人信息收集與使用，涉及諸多商品提供與交易支付的內(nèi)容條款;愛奇藝、嗶哩嗶哩作為網(wǎng)絡(luò)視頻平臺(tái)，其隱私政策條款則旨在說明視頻服務(wù)提供中的個(gè)人信息處理情況，與產(chǎn)品及用戶使用場景聯(lián)系較為緊密，由此反映出當(dāng)前網(wǎng)站自律實(shí)踐中個(gè)人信息保護(hù)趨于標(biāo)準(zhǔn)化的特征。

（二）自主匱乏與法制依賴：網(wǎng)站個(gè)人信息保護(hù)自律規(guī)約的合規(guī)性困境

隨著我國個(gè)人信息保護(hù)規(guī)定的相繼發(fā)布，網(wǎng)站對個(gè)人信息的保護(hù)意識(shí)和實(shí)踐也日益完善，但基于網(wǎng)站隱私政策內(nèi)容條款的分析來看，當(dāng)前依然顯示出諸多亟待解決的問題。其一，隱私保護(hù)存在較強(qiáng)的主體差異性，標(biāo)準(zhǔn)不一造成信息透明度不足，從而導(dǎo)致行業(yè)中個(gè)人信息處理“黑箱”現(xiàn)象。目前，距2017年6月《網(wǎng)絡(luò)安全法》、2018年5月《規(guī)范》的實(shí)施時(shí)隔已久，而網(wǎng)站隱私政策仍呈現(xiàn)出內(nèi)容詳略不一、完善程度參差不齊的局面，部分網(wǎng)站隱私政策的更新時(shí)間仍不明確，更有甚者仍未張貼隱私政策，從而無從知曉其個(gè)人信息處理情況，信息保護(hù)更無從談起;部分網(wǎng)站隱私政策（如愛奇藝、天貓）內(nèi)容文本字?jǐn)?shù)達(dá)萬字以上，而也有網(wǎng)站（如金融界）的條款說明僅寥寥數(shù)條且無實(shí)質(zhì)性規(guī)定，趨于完備還是流于形式差距顯著，這也反映出自律規(guī)約尚缺乏統(tǒng)一的規(guī)范標(biāo)準(zhǔn)和有效的執(zhí)行監(jiān)督機(jī)制。其二，自律規(guī)范框架下信息主體議價(jià)能力薄弱，不平等協(xié)商造成網(wǎng)絡(luò)服務(wù)提供者與用戶之間權(quán)利失衡。知情同意原則在實(shí)際應(yīng)用中呈現(xiàn)諸多弊端，征求用戶同意的方式某種程度上已成為行業(yè)實(shí)現(xiàn)合規(guī)與合理化的“避風(fēng)港”，用戶并無實(shí)際選擇權(quán)。例如寶寶樹聲明，“如果您不同意本政策任何內(nèi)容，您應(yīng)立即停止使用寶寶樹平臺(tái)服務(wù)”，在這種“是”或“否”的規(guī)則面前，用戶幾乎無協(xié)商空間和議價(jià)能力，不利于形成合理而規(guī)范的市場秩序。為維護(hù)網(wǎng)站自身利益和發(fā)展需要，網(wǎng)站的隱私條款更傾向于強(qiáng)調(diào)平臺(tái)自身對個(gè)人信息的收集和使用權(quán)利，而對隱私保護(hù)的責(zé)任重視不足，主要表現(xiàn)為以“協(xié)約組合”的方式弱化用戶權(quán)利、拓展自身權(quán)限范圍，實(shí)際上則是對個(gè)人權(quán)益的侵蝕。其三，行業(yè)實(shí)踐中的自律保護(hù)呈現(xiàn)出法律框架下的依賴效應(yīng)，缺乏主動(dòng)的探索創(chuàng)新。從各項(xiàng)指標(biāo)的符合程度來看，法定的基本規(guī)范要求尚未全面落實(shí)，推薦性規(guī)范標(biāo)準(zhǔn)更是未獲得有效響應(yīng)，各網(wǎng)站對強(qiáng)制性指標(biāo)執(zhí)行程度較高，而對引導(dǎo)性標(biāo)準(zhǔn)的滿足程度較低，由此反映出行業(yè)實(shí)踐中網(wǎng)站自律保護(hù)的滯后性，依賴法律推動(dòng)而缺乏自主探索。此外，網(wǎng)站對自身權(quán)益的規(guī)定更為詳盡而靈活，而對用戶權(quán)益的相關(guān)描述則往往采用“合理期限”“可能”“盡力”等模糊詞匯，為其淡化責(zé)任、權(quán)利“越界”留存了空間，容易造成對用戶信任的破壞。因此，我國網(wǎng)站的自律意識(shí)與自律管理能力仍有待提升，個(gè)人信息自律保護(hù)的規(guī)范化依然任重而道遠(yuǎn)。

五、法律規(guī)制與自律協(xié)同：我國網(wǎng)站個(gè)人信息保護(hù)問題應(yīng)對策略

大數(shù)據(jù)時(shí)代信息流動(dòng)無處不在，個(gè)人信息保護(hù)既是個(gè)體發(fā)展的必要保障，也關(guān)乎行業(yè)生態(tài)構(gòu)建以及社會(huì)的健康發(fā)展。法律的功能在于以限制性標(biāo)準(zhǔn)達(dá)到使各種行為活動(dòng)趨于合理的目的[22]，法律規(guī)范只有對個(gè)人信息保護(hù)產(chǎn)生實(shí)際效果，才能有效推進(jìn)行業(yè)中個(gè)人信息保護(hù)實(shí)踐，積極引入行業(yè)自律機(jī)制，構(gòu)建以法律規(guī)制為主導(dǎo)、行業(yè)自律有效協(xié)同的綜合治理體系，是我國應(yīng)對個(gè)人信息保護(hù)問題的可行之策。

第一，制定出臺(tái)專門的個(gè)人信息保護(hù)法，完善個(gè)人信息保護(hù)的法制體系，切實(shí)保障個(gè)人信息權(quán)益。在20世紀(jì)70年代，科技進(jìn)步與社會(huì)發(fā)展促使歐美國家興起了個(gè)人信息保護(hù)立法熱潮，而如今大數(shù)據(jù)時(shí)代的沖擊使個(gè)人信息保護(hù)問題日益成為國際廣泛關(guān)注的焦點(diǎn)，個(gè)人信息專門立法的呼聲日益高漲，世界各國也紛紛加入個(gè)人信息立法保護(hù)行列。我國對個(gè)人信息的法律保護(hù)經(jīng)歷了從無到有、漸趨豐富的過程，但從既有的法律法規(guī)現(xiàn)狀梳理情況來看，我國當(dāng)前對個(gè)人信息保護(hù)的規(guī)定散見于各類法律條文之中，呈現(xiàn)出零散化、碎片化特征，相互之間協(xié)同性不足。由于我國尚未制定施行專門的《個(gè)人信息保護(hù)法》，個(gè)人信息保護(hù)缺乏獨(dú)立、權(quán)威的法律依據(jù)。立法上的不明確，直接導(dǎo)致了個(gè)人信息保護(hù)范圍的不確定，是當(dāng)前個(gè)人信息保護(hù)面臨諸多困境的重要原因，這也更加凸顯了大數(shù)據(jù)時(shí)代我國個(gè)人信息保護(hù)專門立法的必要性和緊迫性。因此，當(dāng)前需要通過法律規(guī)制為個(gè)人信息的有序使用與自由流通提供堅(jiān)實(shí)基礎(chǔ)，具體應(yīng)強(qiáng)調(diào)以下方面內(nèi)容：其一，明確個(gè)人信息屬性及范圍，保障個(gè)人信息權(quán)益。我國對“個(gè)人信息”的保護(hù)主要出于對“人格尊嚴(yán)”“個(gè)人隱私”等相關(guān)范疇的引申保護(hù)[23]，這種訴諸于侵權(quán)救濟(jì)的被動(dòng)保護(hù)模式已難以滿足當(dāng)前個(gè)人信息保護(hù)的需要，法律應(yīng)賦予個(gè)人積極能動(dòng)的信息自決權(quán)，如訪問權(quán)、更正權(quán)、刪除權(quán)（被遺忘權(quán)）以及GDPR中所規(guī)定的可攜帶權(quán)，以有效保障個(gè)人對信息的自控與自決。其二，強(qiáng)化各類網(wǎng)絡(luò)應(yīng)用的個(gè)人信息保護(hù)功能，以法律條款規(guī)定企業(yè)將個(gè)人信息保護(hù)要求納入其產(chǎn)品或服務(wù)的設(shè)計(jì)之中，借鑒GDPR中“通過設(shè)計(jì)和默認(rèn)方式保護(hù)數(shù)據(jù)”（data protection by design and by default）的規(guī)定，要求企業(yè)采取必要的安全措施（如匿名化、數(shù)據(jù)加密等），并向用戶提供清晰、易懂、可獲得的信息處理規(guī)范準(zhǔn)則，提升信息處理的透明公開程度，推動(dòng)企業(yè)運(yùn)作中個(gè)人信息保護(hù)責(zé)任體系的構(gòu)建。其三，完善對未成年人等特殊群體的個(gè)人信息保護(hù)，規(guī)定企業(yè)對該類特殊群體提供相關(guān)產(chǎn)品或服務(wù)時(shí)，應(yīng)將對其信息收集和使用的特殊性納入考量，主動(dòng)承擔(dān)相應(yīng)的社會(huì)責(zé)任，避免單一依賴監(jiān)護(hù)人同意授權(quán)，同時(shí)應(yīng)強(qiáng)化對特殊群體信息權(quán)益損害的懲罰力度。其四，引入數(shù)據(jù)評(píng)估與數(shù)據(jù)泄露通知制度，明確要求企業(yè)定期開展數(shù)據(jù)安全評(píng)估，并向相關(guān)監(jiān)督管理部門提交評(píng)估報(bào)告，一旦發(fā)生未經(jīng)授權(quán)的數(shù)據(jù)泄露及其他可能導(dǎo)致個(gè)人信息權(quán)益受損的情形，應(yīng)及時(shí)采取應(yīng)對補(bǔ)救措施，并向相關(guān)部門以及受損主體通知問題處理進(jìn)度。其五，加強(qiáng)對個(gè)人信息的跨境流動(dòng)監(jiān)管，針對企業(yè)的信息跨境流轉(zhuǎn)活動(dòng)，應(yīng)向個(gè)人明確披露信息流轉(zhuǎn)用途及方式，并取得個(gè)人的明確同意，在經(jīng)由監(jiān)管部門對其信息安全影響認(rèn)定通過后，方可獲得個(gè)人信息轉(zhuǎn)移許可。隨著2019年10月我國《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》的正式實(shí)施，2020年10月《個(gè)人信息保護(hù)法（草案）》公布并公開征求意見，我國的個(gè)人信息保護(hù)將進(jìn)入專門的、精細(xì)化的法律保護(hù)階段，這也進(jìn)一步表明個(gè)人信息立法保護(hù)的必要性和時(shí)代趨勢。

第二，頒布行業(yè)個(gè)人信息保護(hù)法，構(gòu)建個(gè)人信息保護(hù)特別法規(guī)體系。統(tǒng)一的個(gè)人信息保護(hù)法具有系統(tǒng)性、權(quán)威性優(yōu)勢，但綜合性保護(hù)立法也面臨不同行業(yè)的適應(yīng)性問題，過于概括性和抽象性的內(nèi)容，往往難以適應(yīng)不同行業(yè)領(lǐng)域的具體情況，面臨實(shí)際應(yīng)用中的局限性。為更好地滿足特殊行業(yè)、特殊領(lǐng)域個(gè)人信息保護(hù)的需要，應(yīng)制定有針對性的行業(yè)個(gè)人信息保護(hù)法，例如，歐盟的《電子通信數(shù)據(jù)保護(hù)指令》、美國的《電子通信隱私權(quán)法》和《家庭教育權(quán)利與隱私法》[24]等，都是針對特殊領(lǐng)域而專門定制的法律，這對于不同行業(yè)的個(gè)人信息保護(hù)而言，更具專業(yè)性和可操作性。我國針對行業(yè)個(gè)人信息保護(hù)的分散立法可借鑒美國經(jīng)驗(yàn)，采取統(tǒng)一立法基礎(chǔ)上輔以行業(yè)特別法的個(gè)人信息保護(hù)模式，針對不同行業(yè)（如通信、醫(yī)療、金融等）所呈現(xiàn)問題的特殊性，制定相應(yīng)的法律予以規(guī)范，從而有效推進(jìn)法律要求有效轉(zhuǎn)化為行業(yè)自治規(guī)則，發(fā)揮行業(yè)在個(gè)人信息保護(hù)中的積極作用。

第三，設(shè)立統(tǒng)一的個(gè)人信息保護(hù)機(jī)構(gòu)，健全個(gè)人信息保護(hù)的協(xié)調(diào)管理機(jī)制。通過專業(yè)化的個(gè)人信息保護(hù)機(jī)構(gòu)，為法律規(guī)范應(yīng)用實(shí)踐提供必要支持，已成為各國推進(jìn)個(gè)人信息保護(hù)有效開展而廣泛采取的做法，如德國信息保護(hù)委員會(huì)、法國政府信息獲取委員會(huì)、新加坡個(gè)人信息保護(hù)委員會(huì)等[25]，其在落實(shí)個(gè)人信息保護(hù)條款、保障個(gè)人信息權(quán)益中發(fā)揮了重要作用。當(dāng)前，我國對個(gè)人信息保護(hù)問題的監(jiān)管主要是通過傳統(tǒng)的監(jiān)管機(jī)構(gòu)職責(zé)延伸至各行各業(yè)[26]，而對于大數(shù)據(jù)時(shí)代兼具專業(yè)性和復(fù)雜性的個(gè)人信息保護(hù)問題而言，更需要特定的信息保護(hù)機(jī)構(gòu)履行監(jiān)督管理職責(zé)，對企業(yè)的個(gè)人信息保護(hù)機(jī)制進(jìn)行科學(xué)鑒定，提供標(biāo)準(zhǔn)化的信息安全認(rèn)證，并針對行業(yè)中可能存在的個(gè)人信息安全問題提供專業(yè)化的應(yīng)對方案，對行業(yè)中的個(gè)人信息保護(hù)情況予以全面監(jiān)督。與此同時(shí)，為個(gè)人提供系統(tǒng)而完善的維權(quán)路徑、為企業(yè)提供非法信息處理行為的舉報(bào)平臺(tái)，有利于監(jiān)督行業(yè)個(gè)人信息保護(hù)實(shí)踐對法律要求的落實(shí)情況，調(diào)動(dòng)多方主體參與到監(jiān)督管理之中，切實(shí)保障個(gè)人信息權(quán)益。因而，我國可借鑒國際經(jīng)驗(yàn)（如法國、新加披、日本等），成立專門的信息管理與協(xié)調(diào)機(jī)構(gòu)，由專業(yè)人員組成“信息委員會(huì)”，實(shí)施專業(yè)性的信息監(jiān)督管理措施，為相關(guān)主體提供科學(xué)、權(quán)威的評(píng)判。由此，個(gè)人可充分知情自身的信息安全風(fēng)險(xiǎn)情況，以及時(shí)采取必要安全措施，企業(yè)則可將專業(yè)化的鑒定結(jié)果作為其信息公開與決策制定的依據(jù)，從而實(shí)現(xiàn)行業(yè)中個(gè)人信息保護(hù)的動(dòng)態(tài)平衡。

第四，構(gòu)建行業(yè)個(gè)人信息保護(hù)自律規(guī)范體系，提升行業(yè)自主規(guī)約能力。自律規(guī)約機(jī)制與行業(yè)的個(gè)人信息保護(hù)實(shí)踐密切相關(guān)，只有實(shí)現(xiàn)個(gè)人信息保護(hù)的法制框架與行業(yè)自律機(jī)制有效協(xié)同，才能擺脫法制依賴的被動(dòng)局面，激發(fā)行業(yè)個(gè)人信息保護(hù)的自主創(chuàng)新。因此，就企業(yè)微觀層面而言，應(yīng)樹立信息安全理念、提升信息處理規(guī)范意識(shí)，主動(dòng)將信息安全要求納入其組織管理與發(fā)展戰(zhàn)略之中，建立企業(yè)內(nèi)部的信息安全評(píng)估制度，以有效識(shí)別和防范可能的信息安全風(fēng)險(xiǎn)，及時(shí)采取補(bǔ)救或預(yù)防措施，在自我規(guī)約實(shí)踐中踐行個(gè)人信息保護(hù)責(zé)任，其政策制定應(yīng)從長遠(yuǎn)視角看待問題，考慮到社會(huì)與組織的關(guān)系。當(dāng)前，個(gè)人信息保護(hù)已不僅僅是執(zhí)行操作的問題，而是關(guān)乎市場競爭以及企業(yè)未來發(fā)展的戰(zhàn)略性決策，只有符合信息化時(shí)代的規(guī)則秩序和發(fā)展潮流，才能在行業(yè)競爭中脫穎而出。所以，企業(yè)應(yīng)重視自身數(shù)據(jù)管理與信息處理能力的提升，積極推進(jìn)個(gè)人信息保護(hù)的自主創(chuàng)新，以前瞻性的發(fā)展規(guī)劃謀求行業(yè)競爭優(yōu)勢。從行業(yè)宏觀層面來看，應(yīng)加快完善個(gè)人信息保護(hù)行業(yè)自律規(guī)范體系的構(gòu)建，打造標(biāo)準(zhǔn)化的自律規(guī)范秩序。2001年，由中國互聯(lián)網(wǎng)協(xié)會(huì)發(fā)布的《中國互聯(lián)網(wǎng)自律公約》，對我國個(gè)人信息保護(hù)行業(yè)自律機(jī)制的建立具有重要意義，隨著大數(shù)據(jù)時(shí)代個(gè)人信息應(yīng)用的日益成熟，應(yīng)針對不同行業(yè)特性及其信息處理活動(dòng)特征，建立完善的行業(yè)自律規(guī)約準(zhǔn)則，為行業(yè)中信息處理活動(dòng)的有序開展提供詳細(xì)的、可操作的規(guī)范指引。同時(shí)，行業(yè)協(xié)會(huì)應(yīng)對行業(yè)自律條款的執(zhí)行情況進(jìn)行監(jiān)督，定期公布嚴(yán)重違背個(gè)人信息保護(hù)自律準(zhǔn)則的黑名單，發(fā)揮市場調(diào)節(jié)中的優(yōu)勝劣汰機(jī)制，與法律規(guī)范要求形成良好呼應(yīng)。

六、結(jié)語

技術(shù)的進(jìn)步日益提升信息價(jià)值的挖掘和應(yīng)用能力，傳播的智能化對個(gè)人信息安全不斷發(fā)出挑戰(zhàn)。在信息資源價(jià)值日益凸顯的時(shí)代背景下，個(gè)人信息成為兼具個(gè)體性和公共性的戰(zhàn)略資源，對個(gè)人信息的保護(hù)不僅關(guān)涉?zhèn)€人利益，也關(guān)乎社會(huì)整體利益，如何在信息利用和保護(hù)個(gè)人信息權(quán)益之間實(shí)現(xiàn)合理權(quán)衡，是個(gè)人信息保護(hù)法律規(guī)制和行業(yè)自律所面臨、且有待持續(xù)探討的命題。隱私政策作為網(wǎng)絡(luò)服務(wù)提供者對個(gè)人信息處理的公開承諾，反映了企業(yè)在利用個(gè)人信息獲取收益與承擔(dān)社會(huì)責(zé)任之間的價(jià)值平衡，是行業(yè)個(gè)人信息保護(hù)實(shí)踐的重要環(huán)節(jié)。面對席卷而來的信息化潮流，個(gè)人信息保護(hù)問題的治理涉及多元復(fù)雜的利益格局，合理、規(guī)范化秩序的構(gòu)建，還有待于法律框架與行業(yè)自律的有機(jī)結(jié)合與良性互動(dòng)，通過多元主體合作參與，共同推進(jìn)個(gè)人信息保護(hù)的規(guī)范化進(jìn)程。

參考文獻(xiàn)：

[1]葉丹. Facebook數(shù)據(jù)泄露敲響互聯(lián)網(wǎng)信息安全警鐘[EB/OL].（20180323）[20200325]. https：//www.sohu.com/a/226172834_161794.

[2]支付寶賬單或讓你不知不覺簽了個(gè)“服務(wù)協(xié)議”[EB/OL].（20180103） [20200325]. https：//m.weibo.cn/status/4192219667451484？display=0&retcode=6102.

[3]MICHELFELDER D P.The moral value of informational privacy in cyberspace[J].Ethics and Information Technology，2001（2）：129135.

[4]張秀蘭.網(wǎng)絡(luò)隱私權(quán)保護(hù)研究[M].北京：北京圖書館出版社，2006：113.

[5]GINDIN S E. Nobody Reads Your Privacy Policy or Online Contract？ Lessons Learned and Questions Raised by the FTCs Action Against Sears [J]. Northwestern Journal of Technology and Intellectual Property，2009 （1）：137.

[6]POLLACH I. Privacy Statements as a Means of Uncertainty Reduction in WWW Interactions [J]. Journal of Organizational and End User Computing，2006（1）：2349.

[7]SOLOVE D J，HARTZOG W. The FTC and the New Common Law of Privacy[J].Columbia Law Review，2014（17）：583676.

[8]何培育，馬雅鑫，涂萌.Web瀏覽器用戶隱私安全政策問題與對策研究[J].圖書館，2019（2）：1926.

[9]高秦偉.個(gè)人信息保護(hù)中的企業(yè)隱私政策及政府規(guī)制[J].法商研究，2019（2）：1627.

[10]高志明.個(gè)人信息保護(hù)中的自律與監(jiān)督[J].青島科技大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2016（3）：8394.

[11]徐敬宏.美國網(wǎng)絡(luò)隱私權(quán)的行業(yè)自律保護(hù)及其對我國的啟示[J].情報(bào)理論與實(shí)踐，2008（6）：955957.

[12]文銘，易永豪.論被遺忘權(quán)的本土化移植[J].重慶郵電大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2020（6）：7986.

[13]張秀蘭.中文網(wǎng)站隱私政策制定情況調(diào)查與分析[J].大連海事大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2006（1）：3841.

[14]譚詠梅，錢小平.我國網(wǎng)站隱私保護(hù)政策完善之建議[J].現(xiàn)代情報(bào)，2006（1）：215217.

[15]申琦.我國網(wǎng)站隱私保護(hù)政策研究：基于49家網(wǎng)站的內(nèi)容分析[J].新聞大學(xué)，2015（4）：4350.

[16]徐敬宏，趙珈藝，程雪梅，等.七家網(wǎng)站隱私聲明的文本分析與比較研究[J].國際新聞界，2017（7）：129148.

[17]馮洋.從隱私政策披露看網(wǎng)站個(gè)人信息保護(hù)——以訪問量前500的中文網(wǎng)站為樣本[J].當(dāng)代法學(xué)，2019（6）：6474.

[18]中國消費(fèi)者協(xié)會(huì).100款A(yù)pp個(gè)人信息收集與隱私政策測評(píng)報(bào)告[R/OL].（20181128）[20200325]. http：//www.cca.org.cn/jmxf/detail/28310.html.

[19]SAPIR E. Language： An introduction to the study of speech [M]. New York： Courier Dover Publications， 2004：5876.

[20]李延舜.我國移動(dòng)應(yīng)用軟件隱私政策的合規(guī)審查及完善[J].法商研究，2019（5）：2639.

[21]MCMAHON R B. After Billions Spent to Comply with HIPAA and GLBA Privacy Provisions，Why is Identity Theft the Most Prevalent Crime in America？[J]. Villanova Law Review，2004（3）：625627.

[22]E·博登海默.法理學(xué)：法律哲學(xué)與法律方法[M].鄧正來，譯.北京：中國政法大學(xué)出版社，1999：484.

[23]洪海林.個(gè)人信息的民法保護(hù)研究[D].重慶：西南政法大學(xué)，2007.

[24]翟羽艷.我國隱私權(quán)法律保護(hù)體系存在的問題及其完善[J].學(xué)習(xí)與探索，2019（10）：8084.

[25]肖登輝，張文杰.個(gè)人信息權(quán)利保護(hù)的現(xiàn)實(shí)困境與破解之道——以若干司法案例為切入點(diǎn)[J].情報(bào)理論與實(shí)踐，2017（2）：5155.

[26]楊震，徐雷.大數(shù)據(jù)時(shí)代我國個(gè)人信息保護(hù)立法研究[J].南京郵電大學(xué)學(xué)報(bào)（自然科學(xué)版），2016（2）：19.

Compliance Investigation of Personal Information Protection onChinese Websites：Text Analysis based on the Privacy Policies of Nine Websites

DU Yongxin1， ZHOU Maojun2

（1. School of Journalism and Communication， Peking University， Beijing 100871， China;

2. School of Journalism and Communication， Wuhan University， Wuhan 430072， China）

Abstract：

Information security problems caused by the reform of information technology and the application data value have made personal information protection an important issue facing the development of the industry. The formulation of a privacy policy is the main way for Internet service providers to selfregulate in the field of information protection. Combined with the eleven requirements under the framework of legal regulations， we investigated the compliance of the privacy policies of nine websites from four aspects， general and special regulations， information collection and use， information preservation and management， and information sharing， transfer and public disclosure， and found that although the privacy policies of Chinese websites are gradually becoming more complete， there is obvious lack of independent regulations and the dilemma of dependence on legal regulations. Therefore， the selfregulatory effectiveness is still worrying. The governance of personal information protection in China depends on not only the formulation of a unified personal information protection law， but also the special laws based on the characteristics of the industry. We should establish a special personal information protection supervision agency and improve the coordination and management mechanism to ensure the safety of personal information， strengthen the selfregulation management and enhance the capability for personal information protection of the industry. We should promote the standardization of personal information protection through the effective coordination of legal norms and industry selfregulation.

Keywords：

personal information; privacy policy; selfregulation; legal regulation; information security

（編輯：劉仲秋）

收稿日期：20200629修訂日期：20201207

基金項(xiàng)目：國家社會(huì)科學(xué)基金項(xiàng)目：中國新媒體廣告規(guī)制研究（17BXW094）

作者簡介：

杜永欣（1996），女，河南信陽人，博士研究生，主要從事廣告?zhèn)鞑ァ覀鞑パ芯?

周茂君（1963），男，重慶人，教授，博士生導(dǎo)師，主要從事廣告?zhèn)鞑?、媒介?jīng)營與管理、網(wǎng)絡(luò)與新媒體研究。