内容提要:披露隐私政策是网站运营者在个人信息保护领域进行自我规制的重要方式。分析披露情况及其内容可以窥见网站运营者保护用户个人信息的实际情况,进而为完善网站个人信息保护制度提供有益的参考。通过对访问量排前500的中文网站隐私政策进行统计分析,可以发现我国网站隐私政策披露取得初步的进展,但远未达到理想的状态,网站自我规制不足以成为保障用户个人信息安全的主要规制手段。当前我国网站隐私政策披露具有遵守法定保护规范不理想、与推荐性保护规范脱节、受域外规范的影响显著等三大特点。隐私政策披露显露的现状显示网站运营者自我规制状况堪忧,而相关主管部门的监管存在困境。网站运营者应逐步提高隐私政策的披露力度,接受外界的监督,而监管改革的突破口可以考虑选在适度集中监管权、探索新型监管手段和提高规则的威慑力等三个方面。
关键词:隐私政策;披露;个人信息保护;自我规制;立法模式
无法把握个人信息保护的实际状况是世界各国实务界面临的难题,也是学术研究的难题。[1]面对这一困境,隐私政策披露的重要性就得以凸显。隐私政策是实现个人信息保护机制“告知-同意”效力的最重要手段。[2]通过隐私政策,网站运营者得以向用户全面展示其个人信息保护的实践,而用户也得以就该问题向网站运营者提出申诉。隐私政策的有无及完善程度,决定了网站运营者和用户之间是否能够保持充分的互动。[3]将隐私政策的内容同法定的个人信息保护规则进行对比,可以窥见企业遵守法定保护要求的程度。[4]剖析隐私政策纳入推荐性保护要求和创新性保护规则的情况,可以窥见网站运营者在自我规制方面的努力。[5]隐私政策更多地是企业单方面的承诺,并不能当然地反映其个人信息保护的实际情况。但总结提炼这类承诺可以起到接近事实真相的效果,因为披露隐私政策的企业不一定完全按照其承诺的规则来行事,但是未作出承诺或者作出极为有限承诺的网站运营者,其个人信息保护的状况必然是令人担忧的。本文以访问量排前500中文网站的隐私政策为样本,通过统计分析,评析网站保护用户个人信息的实际状况,进而为我国相关制度的完善提出建议。
一、隐私政策披露、企业自我规制与立法模式选择
隐私政策披露体现了企业在用户个人信息保护方面的自我规制,而是否重视自我规制则反映了该国在个人信息保护立法模式选择上的差异。围绕自我规制的法律定位,欧盟和美国代表了两种不同的立法模式。美国采取企业自我规制为主,政府规制为辅的模式。[6]1998年美国联邦贸易委员会在呈递给国会的报告中首次明确表示,企业自我规制应是实现个人隐私保护的首要规制工具,其重要程度超过技术解决、消费者教育和政府规制等工具。[7]尽管欧盟立法模式被世界越来越多的国家所采纳,但是美国仍然坚持其自我规制为主的治理进路。2008年美国个人信息保护领域的代表学者保罗·斯瓦茨在耶鲁法律学刊上撰文指出,美国应坚持分散立法,允许包括企业在内的多个规制主体共同探索个人信息保护的最佳实践。[8]
欧盟立法在个人信息保护方面采取政府规制为主、企业自我规制为辅的治理进路。欧盟秉持对社会权利进行全面保护的理念,认为公法是保障包括隐私权在内的公民基本权利的基础,国家权力应积极介入到权利保护的实践中去。[9]基于这一理念,西欧各国从上世纪70年代初期便无一例外地采取制定综合性的个人数据保护法。欧盟于2016年制定的《一般数据保护条例》也继续秉持全面保护理念。参与《条例》起草的欧盟学者保罗·赫特声称《条例》是“保护个人隐私权的坚实法律基础”,也是“欧盟人权保护领域值得庆贺的新篇章”。[10]欧盟个人数据保护立法的快速推进给当地网站运营者确立了越来越高的保护标准。在强调政府规制主导地位的同时,欧盟及其成员国政府也认为有效的个人信息保护有赖于政府规制和企业自我规制的互动。欧盟通过发布白皮书、行动计划等政策性文件的形式鼓励企业披露隐私政策,积极落实法定的保护要求。[11]
网站隐私政策披露问题引起西方学术界的广泛关注。约从2000年起,从不同视角和学科探讨隐私政策的英文学术成果陆续问世。现有学术成果集中探讨的问题包括隐私政策的形式[12]、内容的合法性[13]、影响披露的因素[14]、披露的效果[15]等。现有的研究揭示了隐私政策披露的若干重点问题,但也存在明显的局限:它们基本是在美国法的背景下展开,以美国网站或世界五百强企业网站为研究对象,缺乏针对其他国家和地区隐私政策披露的研究成果。当前无论是中文还是英文学术界,针对中文网站隐私政策披露的研究尚未引起足够的重视。[16]2016年《网络安全法》(以下简称《网安法》)纳入了7项基本保护规则。国家标准委员会于2017年出台的推荐性国家标准《《信息安全技术—个人信息安全规范》(以下简称《规范》)》则在法定规则基础上,提出了5项较高要求。2018年9月第十三届全国人大常委会将制定个人信息保护法列入第一类立法规划。2019年4月修订的《政府信息公开条例》在进一步保障公民获得政府信息的同时,也间接地对政府处理和保护公民个人信息提出了更高的要求。[17]在相关立法工作逐步推进的关键时间节点上,本文通过分析网站运营者隐私政策披露的现状,剖析其同现行两类主要正式规范的契合度,进而探查我国个人信息保护的现状,这对于个人信息保护立法工作的推进是有意义的。
二、样本的选取与整体情况分析
本研究选取访问量排前500位中国大陆网站的隐私政策作为研究样本。样本从Alexa网站上集中收集。Alexa是一家由美国亚马逊公司开发的数据分析网站,该网站提供全球范围内网站访问量排名信息。[18]由于Alexa网站上的信息每天更新,为了确保样本数据的准确性和客观性,我们于2018年12月1日集中搜集了所需的样本信息。按照访问量来收集样本的原因在于访问量越高的网站对网民的影响越大,收集的个人信息越多。以行业为标准来选取样本也是一个可行的方法,但是笔者经过考虑后放弃了这一方式,这是因为在许多行业中,某个或者某几个企业具有显著的市场支配地位,而剩余企业的市场份额极低,如果将某个行业的全部或者相当部分企业都纳入到样本中,反而会在实质上降低样本的广泛性和代表性。搜集结果显示,我国网站访问量十分可观。全球访问量排名前10的网站中有5个是中国网站;而在全球访问量前20网站的榜单里,中国有8个网站上榜。[19]运营网站的企业或个人如何保障这些信息的安全就构成了我国个人信息保护的重要一环,这凸显了本研究的价值。
在访问量排前500位的网站大样本中,公开披露其隐私政策的网站数量为348个,占大样本的比例是69.6%。在访问量排前100位的网站中,有80个网站披露了隐私政策。以上数据表明我国访问量排前列的网站运营者已经有披露隐私政策的自觉。为了探究隐私披露同访问量的关系,我们以“是否披露隐私政策”为因变量,以访问量为自变量,通过Probit回归分析方法进行检验,发现P值仅为0.0165,这表明隐私政策的披露同访问量存在显著正相关的关系。[20]换言之,检验结果显示访问量越高的网站,越倾向于披露隐私政策。
反过来看,大样本中有152个网站未披露隐私政策,占网站总数的30.4%。根据《网安法》第41条的规定,网络运营者应当公开收集、使用个人信息的规则,明示收集、使用信息的目的、方式和范围。根据上述规定,网站运营者披露隐私政策已成为一项法定义务。近三分之一的未披露隐私政策的网站在事实上已处于违反《网安法》关于公开透明的要求。[21]隐私政策的缺失表明网站运营者在用户个人信息保护方面持消极的态度。这些网站收集、使用个人信息的过程处于秘密的状态,从而导致这些网站的用户往往无法及时地知晓个人信息泄露和滥用的情况,即使发现这些情况也缺乏申诉的渠道。
三、隐私政策与现行保护规则的契合度分析
在解决了隐私政策“有”与“无”的问题后,接下来就要进入实质内容的讨论。核心问题是大样本中的348个隐私政策在多大程度上遵守《网安法》和《规范》的标准?这个问题可以分解为3个子问题。首先,这些隐私政策在多大程度上遵守《网安法》的基本要求?其次,这些隐私政策在多大程度上遵守《规范》的推荐性要求?最后,这些隐私政策是否有超越上述两类正式规范的规定?
(一) 隐私政策在多大程度上遵守《网安法》的7项基本要求?
2000年12月全国人大常委会通过了《全国人大常委会关于维护互联网安全的决定》,该决定的出台标志着我国个人信息保护立法的起步。经过十多年的立法推进,《刑法》、《消费者权益保护法》、《网安法》等若干现行国家法律已经纳入了个人信息保护的规定。在这些国家法律中,《网安法》对于网络运营者信息保护义务的规定最为全面和细致。该法关于个人信息保护的规定中有7项是对网络运营者提出的要求,列举如下:
表1:《网安法》关于网络运营者个人信息保护义务的规定(41条-49条)
从内容上看,上述《网安法》的7项保护要求符合上世纪70年代初起源于美国的“公正信息处理原则”。[22]此外,上述7项原则与经合组织于1980年出台的《隐私保护与个人数据跨境指引》保持大体的一致,保护力度稍弱于后者。[23]鉴于“公正信息处理原则”和《指引》都已成为世界普遍承认的个人信息保护基本标准,《网安法》的出台表明我国的个人信息保护规则与世界通行规则保持一致,也体现了我国愿意在经合组织的框架下参与全球数据治理的积极姿态。大样本中的隐私政策内容总是包含部分或者全部符合《网安法》7项的要求。因此本研究按照《网安法》的7项要求将样本中的隐私政策的内容进行分解和归类。样本中348个隐私政策所囊括单项保护要求的理论最大值是348个(即所有隐私政策都纳入了此项保护要求),因此符合每项要求的条款总数应是等于或者小于348,由此我们可以绘制出下表。
表2:大样本中网站隐私政策符合《网安法》7项基本要求的情况
通过表2,我们可以发现样本隐私政策覆盖法定基本要求方面较不完善,不同的法定要求被遵守的程度存在很大差异,其中只有第四项法定标准得到普遍的遵循(93.4%)。在348个隐私政策中,约有三分之一是以简短的声明形式出现,其中往往包括第四项标准,一般表述为“对于用户的个人信息,本网站予以严格保密”或者“本网站不会向任何第三方披露、转让或者出售用户个人信息”。其它六项标准的遵循比例在48%(个人申诉)到63.5%(安全保护)之间。可见样本中隐私政策的内容很不全面,覆盖的保护要求数量有限且存在很大差异。需要引起注意的是相当部分的隐私政策是在《网安法》通过以前(2016年11月7日)制定或者最后修订。而在此之前,我国法律对于网络运营者的个人信息保护仅有原则性规定。[24]许多网站纳入的若干个人信息保护规定在当时属于高于实在法的创新性要求,但是当《网安法》出台后却又陷入无法完全满足法定要求的困境。该困境表明网站运营者在个人信息保护方面进行自我规制的主动性不足,也表明网站运营者回应立法要求十分迟缓。
(二) 隐私政策在多大程度上遵守《规范》的5项较高要求?
国家标准委员会于2017年12月发布的国家标准《规范》对个人信息控制者的个人信息保护义务进行了较为全面和详细的规定。《规范》包含两个方面的主要内容。一方面《规范》纳入了实施性的规则,目的是细化《网安法》关于个人信息保护的规定。例如《规范》5.3和5.4对什么是个人授权同意及其例外情形进行了列举,又如《规范》7.11对信息控制者回应个人申诉的期限、程序等问题进行了较为细致的规定。另一方面《规范》强化和新增了个人信息保护的要求。这体现在如下5项较高要求上:
表3:《规范》关于个人信息保护义务的较高要求
尽管《规范》从性质上看属于非强制性的国家标准,但是该标准具有较强的规范意义,对于执法、司法机构和企业而言具有重要的参照价值。《规范》对于我国网络运营者个人信息保护的积极影响可以从以下两个方面来认识。首先,《规范》有助于推动企业加强对客户个人信息的保护力度。《规范》的起草单位包括主管部门下属的研究院、高校、科技企业等诸多主体,尽管不具有法律上的约束力,《规范》仍具有很强的指导意义,市场中的企业不能对其视而不见。《规范》的较高要求更接近公众对其个人信息保护的预期,这同企业探索最佳商业实践是一致的,这有助于增强企业保护个人信息的动力。其次,《规范》具有制度探索上的重大意义。《规范》纳入的超实定法的若干要求可以先由企业自愿实施,待时机成熟后,再通过立法加以确认。因此,《规范》的出台和实施可以起到“试验田”的作用。[25]综合以上论述,《规范》的规定为我们审视网站隐私政策提供了可靠的第二类标准。下表体现了样本隐私政策响应《规范》较高要求的情况。
表4:样本中的网站隐私政策符合《规范》5项较高要求的情况
根据上表,总体而言样本中隐私政策遵守《规范》较高要求的程度偏低。在这5项要求中,遵守程度相对较高的是第四项“确保个人访问”。共有142个隐私政策遵守该要求,占隐私政策总数的40.8%。值得注意的是,从比较法的角度而言“确保个人访问”并非是较高的保护要求。该要求早在1980年就被经合组织确认为个人信息保护的八项基本要求之一。样本网站遵守《规范》其它四项要求的情况更能说明问题。这四项要求被遵守的程度要远低于“确保个人访问”的要求,其中共有84个隐私政策承诺在合理期限内保存用户个人信息,占隐私政策总数的24.1%。而承诺给予敏感信息特殊保护的隐私政策共有53个,占隐私政策总数的15.2%。仅有10个隐私政策遵循第五项标准,即建立安全影响评估制度。而第一项标准“最小化收集”被遵守程度就更低了。没有任何隐私政策承诺按照《规则》的最小化标准来收集用户个人信息。这些网站更倾向于使用只收集与提供的服务“相关的”或者“必要的”个人信息等模糊表述。
(三) 隐私政策是否有超越《网安法》和《规范》的规定?
虽然《网安法》和《规范》的要求覆盖面较广,但是鉴于隐私政策在内容上的多样性,这些隐私政策可能包含未被上述两类规范所囊括的新规定。笔者逐个分析了隐私政策文本,验证了这一设想。通过文本分析,从中提炼出三项较为普遍的用户个人信息保护要求,分别是(1)明示cookie技术的使用,[26](2)对未成年人个人信息的特别保护,(3)对个人数据跨境传输的限制。表5显示了这三类新要求的数量和占比。
表5:隐私政策较为普遍纳入的三项新要求
第一项较为普遍纳入的规定是明示cookie技术的使用。样本中有190个隐私政策对cookie技术的使用进行了规定,占隐私政策数量的54.6%。这些规定的内容主要包括阐释cookie的功能和目的、该技术收集用户信息的范围以及用户的权利等。这些隐私政策一般明确表示cookie的功能在于识别用户身份、收集用户的偏好和习惯,利用cookie的这些功能的目的在于更好地刻画用户的特征,进而为用户提供个性化的服务和广告。明示收集的信息包括注册信息、通讯信息、位置信息等。此外这些隐私政策普遍承诺用户有权禁用或者清除cookie。
第二项较为普遍纳入的规定是对未成年人个人信息的特别保护。共有144个隐私政策规定了对未成年人个人信息的保护,占隐私政策总数的41.4%。这些隐私政策普遍要求未满18周岁的未成年人注册账号和使用网站服务前应获得其法定监护人的同意。部分隐私政策还要求网站收集、共享、转让和披露未成年人的个人信息前应获得其法定监护人的明示同意。个别网站还纳入了更为严格的规定。如微信(网页版)的隐私政策规定,13岁以下的儿童不得使用微信,该网站也不会收集13岁以下儿童的个人信息。[27]
第三项普遍纳入的规定是关于个人数据跨境传输的限制。对个人数据跨境传输进行限制的合理性在于数据具有无限复制、瞬时传输和转移成本极低的特性,传统的海关等出入境管理无法对数据出境进行有效的监管。如果放任个人数据出境,将使境外不法分子利用所在第三国个人信息保护力度较弱的“优势”,恶意利用本国公民的个人信息,最终损害信息主体的利益,也将使本国个人信息保护的努力大打折扣。[28]样本中共有53个隐私政策规定了个人数据的跨境传输问题,占隐私政策总数的15.2%。这些隐私政策普遍要求在中国境内产生的个人数据应在境内存储为原则,当有必要传输至其他国家时,应遵循一系列规则,这包括(1)获得用户的同意,(2)采取去标识化和匿名化等安全措施,(3)按照法律法规的要求进行安全评估,(4)承诺将按照隐私政策的要求为出境后的个人数据提供同等的或者足够的保护等。考虑到并不是所有网站有数据跨境传输的需求,占比达15.2%也属于不低的比例。
四、隐私政策披露显露的问题
基于前文的统计描述与分析并结合我国个人信息保护制度,笔者认为我国中文网站隐私政策披露已取得一定程度的进展。超过半数的样本网站选择披露隐私政策,这说明对于这些访问量排前列的网站而言,隐私政策披露已成为较为普遍的自觉行为。但总体来看,样本网站隐私政策披露仍处于初级发展阶段,同我国法定要求、推荐性要求以及世界个人信息保护制度的新发展有相当大的差距。过低的保护现状同较高保护要求的差距如果不能弥合,将对现今我国《个人信息保护法》的制定和实施产生直接的负面影响。总体而言,我国隐私政策披露显示的个人信息保护问题可以从两个方面进行观察,即,网站运营者自我规制的实践以及主管机构的监管实践。本部分将围绕这两个方面进行论述。
(一) 网站运营者自我规制现状堪忧
从自我规制的角度来看,可以发现尽管隐私政策披露取得了一定的发展,但是仅66%的披露比例说明,目前的网站隐私政策披露还有较大的提升空间。网站运营者收集和处理用户个人信息的实践无法通过隐私政策进行充分披露,这意味着企业的信息处理实践在很大程度上处于不为外人所知的“黑箱”状态,包括监管机构在内的外部主体很难了解“黑箱”的原理和运行流程,从而给监管带来很大的困难。网站运营者的个人信息处理实践“出不来”在一定程度上表明网站保护用户个人信息的情况不容乐观。这个问题可以从以下几个方面进行论述。
首先,仍有相当比例的网站未披露隐私政策。但根据上文统计,仅约有三分之二的样本网站披露了隐私政策。与西方同类研究进行对比可以发现我国网站隐私政策披露的比例偏低。[29]未披露隐私政策也许并不必然表明网站运营者有滥用用户个人信息的故意,但是至少可以说明这些网站运营者缺乏对用户个人信息保护的重视。从样本选择角度来看,本研究所揭露的低披露比例很可能只是中文网站个人信息保护的诸多问题中的冰山一角。上文通过Probit回归分析指出,网站访问量同隐私政策披露呈显著正相关的关系,即,访问量越高,隐私政策的披露比例越高,反之亦然。目前我国中文网站总数已超过500万个。这些海量中文网站总体披露比例必然远低于访问量排前500位的中文网站。从这一角度而言,中文网站整体上的用户个人信息保护状况不容乐观。
其次,落实法定基本要求的程度不高。上文统计显示,《网安法》第4项法定要求“使用限制”被93.4% 的隐私政策所纳入外,其它6项法定要求的纳入率均在半数左右。这一守法状态显然是难以令人满意的。较低的纳入率并非源于我国法定规则不合理或标准过高。上文指出《网安法》7项法定要求与上世纪80年代初所确立的第一代国际普遍规则保持大体的一致。上世纪90年代中期以后,西欧国家积极探索个人信息保护的规则,大幅提高了保护的标准,由此形成以欧盟1995年《数据保护指令》为代表的第二代国际普遍规则。因此我国法定保护标准不是过高,而是偏低。鉴于偏低的现行法定要求,我国未来《个人信息保护法》在保护的范围和力度上都将有较大的发展。那么如果体现较低保护要求的现行法定基本规则都无法得到良好的遵守,那么即使未来《个人信息保护法》能够出台,该法将因为法定要求与实践的巨大鸿沟而出现实施的困难。
再次,响应推荐性规范要求的比例偏低。从上文的统计来看,《规范》的较高要求在样本隐私政策中有一定程度的体现,但体现的总体情况不佳。除“确保个人访问”被约四成的隐私政策纳入外,其它四项较高要求的纳入率不足三成,这其中“最小化收集”没有被任何一家网站的隐私政策所纳入。隐私政策相应《规范》的情况不如人意是因为《规范》的要求过于超前吗?将《规范》同域外规则进行比较,就可以发现事实并非如此。“确保个人访问”的要求其实并不“高”,早在1980年经合组织的《隐私保护与个人数据跨境指引》就纳入了这一要求,属于第一代世界普遍规则。《规范》的其它要求部分地借鉴了欧盟1995《指令》的规定,因此《规范》的出台可被视为我国个人信息保护规则同全球第二代保护规则接轨的尝试。[30] 但从上文统计的结果来看,这次尝试并不太成功,网站隐私政策的内容同《规范》的要求契合度过低,两者之间存在较大程度的脱节问题,这也说明当前我国网站个人信息保护的力度同当前全球普遍保护水准还有相当大的差距。
最后,缺乏基于本土实践的规则创新。上文统计的超越《网安法》和《规范》的三项普遍要求,尤其是明示cookie的适用和对未成年人的特别保护,被较多的隐私政策所纳入。从来源来看,上述新要求并非是样本中的网站运营者根据本土个人信息保护实践而创造的规则,而是借鉴国际上普遍承认规则的结果。诚然我国未来个人信息保护立法应广泛借鉴域外具有普遍性质的保护规则,但也应积极探索和确认具有本国特色的规则。尽管欧盟和美国都将隐私权作为宪法上的基本权利,但由于保护理念与权利位阶等方面的差异,这两个地区在个人信息保护立法形式、具体规则设计、司法审查的强度等方面呈现出显著且不可弥合的差异。[31]欧盟和美国在文化和政治制度上同根同源,即便这样,两者在个人信息保护制度构建方面尚且有如此大的不同,那么异质性更强的中国更应构建具有本国特色的个人信息保护制度。
(二) 主管部门的监管困境
网站运营者未披露或未完全披露隐私政策,都属于同《网安法》“公开透明”规则相抵触的行为。而未披露或未完全披露现象的普遍、持续存在表明我国网站用户个人信息安全状况堪忧。通过本文的分析,我们有理由相信网站运营者未履行用户个人信息安全义务甚至恶意滥用用户个人信息的现象并不少见,目前窥见的仅是冰山一角而已。[32]根据《消费者权益保护法》和《网安法》的规定,对于侵害个人信息的行为,相关主管部门应责令改正,并可以根据情节处以从警告、罚款直至吊销营业执照的行政处罚。但在实践中较为常见的是对自然人非法获取、出售个人信息等严重侵犯公民个人信息的行为实施刑事制裁,但相关主管部门极少对企业收集、利用用户个人信息失范的行为处以行政处罚。这一现象的出现主要有如下两个原因。
第一,我国个人信息保护监管机构的设置尚待完善。从机构配置来看,我国现行体制是将监管权分散赋予现有的各类政府监管机构。与我国分散式执法不同,欧盟的《数据保护指令》和《一般数据条例》设置了专门的数据监管机构,并将机构的设置与职权的构建作为保障法律实施的最为重要环节。应该承认分散式执法和集中式执法各有其内在的优势与劣势,不能一概而论。对于分散式执法而言,其最大的优势在于能够发挥各主管部门的专业优势,能够更有针对性地对本领域个人信息保护问题进行监管。但遗憾的是,该优势功能未能在我国个人信息保护的实践中得以发挥。由于我国的监管机构已有各自的传统监管任务,使得多数部门未将个人信息保护作为自己的主要工作。
第二,我国监管机构尚未发展出常态化、积极的执法手段。实践中往往是在大规模个人信息滥用和泄露等丑闻出现且引发舆情后,监管机构才启动针对涉事企业的审查和处罚程序。如此操作不仅是滞后的,而且存在挂一漏万的情形。2018年初的支付宝账单事件是一个典型的事例。支付宝推出的查询账单功能在收集用户信息时存在误导用户的情况。在该事件引发全国范围的强烈反响之后,中国人民银行杭州支行才对该公司开出了罚单。[33]
第三,我国监管机构普遍缺乏相应的技术力量对企业个人信息保护状况进行有效的监督。随着互联网经济和互联网平台企业的兴起,由于自身技术力量的不足,监管机构已开始要求互联网平台机构利用其技术优势承担一定的监管职能。国家网信办于2018年颁布的《即时通讯工具公众信息服务发展管理暂行规定》第8条要求即时通讯工具服务提供者应承担审核公众账号开设的义务。笔者于2019年6月赴若干互联网企业调研发现,监管机构越来越频繁地要求互联网企业提供结构化程度很高的数据,该数据是对平台内商户进行常规执法的重要参考。技术上的差距必然会影响监管机构对互联网企业个人信息保护的实践展开有效的执法检查。
上述我国主管部门的监管困境不仅不利于保障网站用户的个人信息安全,从长期来看也将导致企业怠于履行隐私政策披露和个人信息保护的法定义务,这一状态不利于企业的长远发展,尤其不利于开拓海外市场。在个人信息保护领域,本国执法机构尚未作为,并不意味着该违法行为能够规避处罚。外国执法机构“先行”或“代为”处罚的现象已开始出现。最近的抖音国际版被美国监管机构处罚便是典型事例。2019年2月美国联邦贸易委员会作出裁决,以违反《儿童隐私保护法》为由,对抖音国际版处以高达570万美元的罚款。[34]欧盟《一般数据保护条例》的处罚以涉事企业全球营业总额为基础,最高可达该总额的4%。[35]这意味着一家中国企业,尽管其大部分业务在国内,欧盟业务仅占其总业务的一小部分,但在欧盟境内违反个人信息保护法的商业行为也有可能引发针对该企业整体上的巨额罚款,从而对其生存和海外业务的开拓产生重大影响。
五、结语
文本的实证研究所揭示的问题可以从两个方面进行总结。一方面,网站隐私政策或多或少地纳入了法定要求、推荐性要求和若干域外要求,部分要求的纳入率较高,这表明我国网站运营者的自我规制已取得了初步的发展。考虑到《网安法》和《规范》的实施时间不长,相关规定的实施还在探索中,目前隐私政策披露所取得的进展更多地应归结为网站运营者在自我规制上的努力。企业自我规制已成为我国个人信息保护体系不可忽视的一环。另一方面,网站运营者的自我规制远未达到理想的状态。在法定要求和推荐性要求都较大程度低于世界第二代普遍保护标准的情况下,我国网站隐私政策无论是披露的比例还是内容的完整度仍然不高,其实际的保护状况令人疑虑和担忧,这同时也表明当前网站自我规制不足以成为保障个人信息安全的主要规制手段。
笔者相信未来以隐私政策披露为外在表现形式的自我规制将继续发展,在个人信息保护领域将起到越来越重要的作用。但是也应该承认这一过程尽管值得期待,却是颇为缓慢的,无法在短期内提升我国个人信息保护的整体水平。因此美国以自我规制为主的数据隐私保护模式在我国的可行性不高。《个人信息保护法》提上全国人大常委会的立法议程表明我国立法者倾向于对个人信息实行全面的立法保护。完善网站隐私政策的首要工作是提高其合规程度,未来的制度构建应围绕网站保护实践和主管部门的监管实践展开。
从网站自我规制来看,应大幅提高网站运营者披露隐私政策的水平。只有将网站运营者的用户个人信息收集和处理实践较为频繁地公开,才能在一定程度上打破其技术黑箱,从源头上防治个人信息的滥用。[36]具体的改革可以从两个方面着手。
第一,构建更为全面的保护规则体系。网站运营者应严格遵循法定保护规则的要求,同时根据自身情况,积极纳入推荐性规则。为了更好地起到引导的作用,应在充分考虑当前企业隐私政策披露发展现状的基础上对《规范》进行修订,全面纳入符合实际需要的体现较高保护水平的规则。一方面应有选择地借鉴西方个人信息保护立法的经验。欧盟和美国是世界范围内最有价值的科技产品和服务市场,借鉴其有益的立法经验也能降低我国企业遭遇执法机构处罚的可能性,从而有助于打开欧美市场。另一方面应总结提炼我国本土的个人信息保护实践。在大数据技术和产品不断涌现的情况下,我国个人信息保护规则的创新也应得到加强,从而打破欧盟和美国在构建全球个人信息治理体系上的垄断。
第二,实施个人信息安全报告强制披露制度。网站运营者应根据法定的要求和隐私政策的承诺展开个人信息安全保障工作,定期形成书面报告提交给监管机构并向公众公开。该类报告除了应披露保障措施的落实情况外,还应重点披露个人信息安全事件,包括事件的数量、规模、易遭受侵害的个人信息类型、造成的实际损失等。发生重大个人信息安全事件后,网站运营者在事前尽到安全防范责任且及时上报的,可以减轻或者免除处罚;如果隐瞒不报或者谎报的,应从重处罚。
从监管角度来看,应构建行之有效的监管机制,使得主管部门能够有效地对网站进行监督检查,在必要时能够及时介入,避免损害的扩大。具体的改革可以从三个方面着手。
第一,适度集中监管权。应考虑将监管权适度集中。当前承担主要监管权的较为适宜的机构是网信部门。具体而言,对于传统行业,可以考虑实行网信部门牵头,各职能部门参与的联合监管的方式;对于交叉行业和新兴行业,可以考虑实行网信部门主导的监管方式。数字经济的快速发展给个人信息保护的监管带来很大的挑战,这在客观上要求监管机构应具有与之相匹配的监管权。网信部门,尤其是国家和省一级网信部门,应大力加强机构建设。在人员方面,应重点配置即懂法学等社会科学又懂大数据、互联网+和人工智能等自然科学的复合型监管人才。在职权建设方面,应扩展监管权的类型和范围。为了有效应对个人信息安全领域的挑战,国家和省一级网信部门的性质应从行使执法权的机构,扩展为兼具实施性规则制定权、法律和行政法规解释权、一定范围内纠纷裁决权的新兴监管机构。
第二,探索新型监管手段。应持续探索新型的监管手段。实践证明对涉事网站采取事后约谈的方式是有效的。未来应继续完善约谈制度,明确约谈的法律定位及其同其他规制手段的衔接问题。同时可以考虑将监管手段介入的时机从事后推进至事中乃至事前,例如可以采取定期对网站的隐私披露状况和用户个人信息安全保障情况进行检查的执法方式。
第三,提高法律规则的威慑力。目前《网安法》对于侵犯个人信息依法受保护权利的行为,处违法所得1倍以上,10倍以下罚款;没有违法所得的,最高处以100万元的罚款。与欧盟和美国执法机构以涉事企业全球营业额为基准的处罚相比,目前我国的处罚威慑力十分有限。当前各国数据经济的竞争日趋激烈,我国监管机构的给予较轻处罚的目的在于扶持、呵护互联网企业。但是需要指出的是,随着中国互联网企业海外市场的不断开拓,它们所面临的合规风险不仅来自于本国,也来自于其他多个国家。长远来看,为了加强互联网企业的安全保障意识和合规意识,相关处罚规定应得到有效的施行。如果确实要将罚款作为有力的威慑手段的话,应考虑提高处罚的金额。
* 浙江大学光华法学院互联网与法学方向博士后。本文系2019年中国法学会法治研究基地浙江公法研究中心项目和2018年浙江大学光华法学院人工智能与法学专项的研究成果。康兰平博士、傅宇、胡寅等同学参与了数据收集的工作。周江洪教授、胡敏洁教授、范良聪副教授、蒋成旭博士、胡斌博士、李芹博士、林淡秋博士等师友对本文初稿提出了修改意见,在此一并致谢。感谢匿名评审专家的修改意见。
[1] See Stuart F.H. Allison, Amie M. Schuck and Kim M. Lersch, “Exploring the Crime of Identity Theft: Prevalence, Clearance Rates, and Victim/Offender Characteristics”, 33 Journal of Criminal Justice 20-21 (2005).
[2] 参见高秦伟:《个人信息保护中的企业隐私政策及政府规制》,《法商研究》2019年第2期,第20-22页。
[3] Alessandro Mantelero, “The Future of Consumer Data Protection in the E.U., Rethinking the ‘Notice and Consent’ Paradigm in the New Era of Predictive Analytics”, 30 Computer Law & Security Review 614 (2014).
[4] Chris Jay Hoofnagle, “Identity Theft: Making the Known Unknowns Known”, 2 Harvard journal of Law & Technology 104-107 (2007).
[5] Tanina Rostain, “Self-regulatory Authority, Markets and the Ideology of Professionalism”, in Robert Baldwin, al (ed.) Oxford Handbook of Regulation, Oxford: Oxford University Press, 2010, p. 123.
[6] 冯洋,《论个人数据保护全球规则的形成路径—以欧盟充分保护原则为中心的探讨》,《浙江学刊》2018年第4期,第68-70页。
[7] Federal Trade Commission U.S., “Privacy Online: A Report to Congress”, June 1998.
[8] See Paul Schwartz, “Preemption and Privacy”, 118 The Yale Law Journal 904-939 (2008).
[9] Joel R. Reidenberg, “Resolving Conflicting International Data Privacy Rules in Cyberspace”, 52 Stanford Law Review 1347 (2000).
[10] Paul de Hert and Vagelis Papakonstantinou, “The New General Data Protection Regulation: Still a Sound System for the Protection of Individuals?, 32 Computer Law & Security Review 193-194 (2016).
[11] Bert-Jaap Koops, Miriam Lips, Sjaak Nouwt, Corien Prins and Maurice Schellekens, “Should Self-regulation be the Starting Point?”, in Bert-Jaap Koops et al. (ed.) Starting Points for ICT Regulation, TMC Asser Press, 2006, pp. 110-115.
[12] See Joel R Reidenberg, et al, “Disagreeable Privacy Policies: Mismatches between Meaning and Users’ Understanding”, 30 Berkeley Technology Law Journal 39-42 (2014).
[13] See Carl J. Case, et al, “Online Privacy and Security at the Fortune 500: An Empirical Examination of Practices”, 11 ASBBSE e-Journal 59-67 (2015).
[14] See Florencia M. Wurgler, “Self-regulation and Competition in Privacy Policies”, 45 Journal of Legal Studies 1-17 (2016)
[15] See Xinguang Sheng and Lorrie F. Cranor, “An Evaluation of the Effect of US Financial Privacy Legislation though the Analysis of Privacy Policies”, 2 A Journal of Law and Policy 227-236 (2006).
[16] 前引 2,高秦伟文,第16-27页。
[17] 宋华琳:《中国政府数据开放法制的发展与建构》,《行政法学研究》2018年第2期,第35-38页。
[18] Alexa的官网: https://www.alexa.com/,2018年12月1日访问。
[19] 进入全球访问量前20的8个中国网站分别是:百度(baidu.com)、QQ(qq.com)、淘宝(taobao.com)、天猫(tmall.com)、搜狐(sohu.com)、京东(jd.com)、新浪微博(weibo.com)和新浪网(sina.com.cn)。
[20] Probit 回归分析常用于“是否”类型的二元取值变量回归。
[21] 《网络安全法》第41条。
[22] See Paul M. Schwartz, “Privacy and Democracy in Cyberspace”, 52 Vanderbilt Law Review 1614 (1999).
[23] 参见 Graham Greenleaf and Scott Livingston, “China’s Cybersecurity Law – Also a Data Privacy Law?” 144 Privacy Law & Business International Report 1-7 (2017).
[24] 如2013年修订的《消费者权益保护法》第14条规定:“消费者享有个人信息依法得到保护的权利”。
[25] 实际上开展立法实验是我国改革开放以来法制建设的重要探索方式,see Yang Feng, “Examining the Legislation in China’s Special Economic Zones: Framework, Practice and Prospects”, 47 Hong Kong Law Journal 612-614 (2017).
[26] Cookie 是网站为了识别用户身份和收集用户信息而储存在用户浏览器上的小型数据文件。
[27] 参见微信(网页版)隐私政策 https://login.weixin.qq.com/qrcode?lang=zh_CN, 2019年4月29日访问。
[28] McMahon R. Bradley, “After Billions Spent to Comply with HIPAA and GLBA Privacy Provisions, Why is Identity Theft the Most Prevalent Crime in America?” 49 Villanova Law Review 625-627 (2004).
[29] See Chang Liu, and Kirk P. Arnett, “An Examination of Privacy Policies in Fortune 500 Web Sites” 17 American Journal of Business 13-22 (2002).
[30] 2012年共有89个国家仿效欧盟模式制定了个人数据保护法,到2017年末,欧盟的统一立法模式被120个国家所接受, 参见 Graham Greenleaf, “The Influence of European Data Privacy Standards Outside Europe: Implications for Globalization of Convention 108”, 2 International Data Privacy Law 68 (2012); Graham Greenleaf, “Global Data Privacy Laws 2017: 120 National Data Privacy Laws Now Include Indonesia and Turkey”, 146 Privacy Laws & Business International Report 14-17 (2017).
[31] See Paul M. Schwartz, The EU-US Privacy Collision: A Turn to Institutions and Procedures, 126 Harvard Law Review 2003-2009 (2013).
[32] 前引 7, Federal Trade Commission U.S., 31-39.
[33] 《支付宝近日被中国人民银行杭州中心支行做出行政处罚》,2018年4月8日,北京日报。
[34] 《抖音在美遭570万美元罚款,创同类案件纪录》,《新京报》2019年2月29日。
[35] The European Parliament and the European Council, The General Data Protection Law, 27 April 2016, Article 83 (6).
[36] (英) 科林·斯科特:《规制、治理与法律》,安永康译,清华大学出版社2018年版,第205页。