一、隐私政策的形态及实践
(一)概念与形态
隐私政策是指互联网企业以在线文件的方式自愿披露其对用户个人信息保护的原则和措施,其通常按照产业发展规律或者行业自律标准而制定,目的在于保障用户个人信息的安全,同时也声明用户对于个人信息拥有的权利。科学、规范的隐私政策能为企业提供竞争优势,吸引更多的用户注册,并提高网站的访问率;而隐私政策不合理的企业则可能面临客户流失、利润下降的窘境。
企业隐私政策提升了网站运作的透明度,几乎所有的大型互联网企业均自发制定了隐私政策并加以实施。除了隐私政策,企业产品和服务还通过其他形式完成告知与选择功能,如:(1)增强式告知,即注册账号、安装程序、首次使用时向用户展示关于个人信息保护的提示;(2)即时提示,即网站针对个人敏感信息的处理行为,会在用户使用互联网过程中即时展示。但是用户更希望隐私政策中的相关内容能真正应用和落实,而非停留于静态的文字。
(二)实践中的不足
实践中企业隐私政策的实施存在诸多不足,主要体现在以下几个层面:第一,隐私政策的内容用语通常较为宽泛、模糊,企业违反对用户的承诺、不遵守隐私政策的情况也时有发生;第二,企业隐私政策的内容专业且冗长,对不具备充分法律知识的用户而言,即使全面阅读也无益;第三,由于企业自身能力的不足,隐私政策很难准确说明及预测个人信息处理和利用的情形;第四,互联网企业经常单方面改变隐私政策而未告知用户;第五,用户无法理解信息整合的影响,从而很少阅读企业隐私政策,即使发现受到侵害,也因难以证明损害事实而败诉,这导致隐私政策成为企业逃避责任的挡箭牌。
二、内部修正:告知与选择机制的改进
(一)告知与选择机制的改进
作为告知与选择机制中最为重要的措施,企业隐私政策虽然在实际运行过程中存在诸多问题,但是从世界各国的立法实践来看,没有出现放弃该机制的迹象。这是因为,面对网络和信息技术的发展,政府直接介入可能产生抑制创新和竞争的不利后果,而发挥企业自我规制并对其进行适当监督,不仅可以促进创新,也有利于产业发展和个人信息保护。为此,有必要从以下两个层面对企业隐私政策加以改进:
第一,侧重于企业隐私政策本身的改进。为使告知与选择的机制切实有效,隐私政策应将企业的个人信息保护制度全面、准确地传达给用户,让用户作出理性的选择。因此,企业必须给用户提供内容明确、易于理解的信息,用户也应该认真阅读隐私政策。此外,为了提升用户参与企业隐私政策制定和执行的能力,可通过公共教育促进对个人信息保护的重视,强调多元主体参与,建立网络隐私指引和认证机制、企业隐私政策协商制度等。
第二,基于技术的解决方案。此方案重点关注用户对个人信息和隐私安全的期望,并超越企业隐私政策本身而关注网站、软件和设备的整体结构与设计,制定更易操作的同意规范、实践以及标准。目前,基于技术的解决方案存在两种代表性做法:一是“隐私增强技术”,其意在将实体性的隐私保护融入企业运作之中,对企业产品和服务的整个生命周期予以关注,以实现全面保护个人信息安全的目的;二是“通过设计保护隐私”,其将个人信息保护嵌入技术、商业准则和物理存在的基础设施的设计标准中并加以保护,让信息管理者甚至信息主体参与到企业运作和个人信息保护的全过程,这有利于提升企业个人信息保护的能力和主动性。
(二)我国的探索
《网络安全法》第41条关于用户告知同意的规则要求网络经营者收集、使用个人信息,应当遵循“合法、正当、必要原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”但对于什么构成“正当、必要”以及企业告知和用户选择的具体方式,立法并未作出具体要求。随着用户权利意识不断增强,企业应当逐步确立“通过设计保护隐私”的理念,将个人信息保护的概念融入产品和服务中,而不能完全依赖隐私政策。但是,个人信息种类的多样性和信息利用方式的复杂性使针对个体用户提供定制化的产品或服务难以实现。因此,还需对企业隐私政策、告知与选择机制不断进行改进,细化相关立法规定,为网络运营者和用户提供明确指引。
实践中,一些企业为了使个人信息安全保护更具针对性,根据个人信息收集和使用的必要性不同,将网络产品与服务的功能区分为核心业务功能和附加业务功能。核心功能旨在满足用户注册产品或服务后的基本要求,拒绝核心功能将无法注册成为网络或产品的用户,并无法享受所有服务;附加功能则是为提升用户体验而设计,对其的拒绝不会影响用户正常使用产品或服务的核心功能。此外,网络运营者可在用户首次使用或注册时与用户签订统一的隐私政策,完成用户使用产品或服务的核心功能时收集和使用个人信息的授权,附加功能的使用有时需要用户主动触发,例如主动点击同意或填写相关的个人信息。此种做法在2018年被《信息安全技术个人信息安全规范》所吸纳。总体而言,我国的探索有一定的积极意义,但因个人信息保护缺乏整体性思路,加之这些自我规制机制多取决于企业自身的关注程度和实施意愿,故运用必要的政府规制加以监督才能使其真正发挥作用。
三、外部规制:企业隐私政策的效力实现与学理反思
(一)对企业自我规制的政府规制
企业自我规制和政府规制的结合成为欧盟及其成员国个人信息保护法的主要做法。政府规制的意义在于确保企业隐私政策的效力,同时,由于个人信息侵权案件举证困难,政府的介入可以弥补个体用户举证能力的不足;此外,政府采取调查、评估等行为,将会向企业施加声誉压力,从而迫使企业尽快采取和解行动并切实改正违法行为。因此,我国网络安全机关应当对企业隐私政策展开合理规制,全面保障用户的个人信息安全。
(二)学理反思:合作规制的思路
虽然我国目前尚无统一的个人信息保护法,但相关法律规范已经分散存在于各种单行法中,有关企业对个人信息的收集、使用、共享等内容,我国亦采用与国外类似的做法,以告知与选择机制为主,注重企业自我规制。然而,随着大量个人信息泄露事件的发生,这种片面强调企业隐私政策而忽视政府规制的模式受到质疑。《网络安全法》实施以来,企业有关个人信息的运作缺乏惩罚机制、透明度不高、执行不力等现实问题让人们不得不重新审视政府规制介入的必要性。事实上,企业的自我规制和政府规制并非互相排斥,因此,企业应当积极完善隐私政策及其实现方式,行政机关在必要时也应赋予企业隐私政策拘束力,督促企业切实保障个人信息的安全。
