【数据法学】冯洋:从隐私政策披露看网站个人信息保护—以访问量前500的中文网站为样本 (二)
B D A I L C
欢 迎 关 注
披露隐私政策是网站运营者在个人信息保护领域进行自我规制的重要方式。分析披露情况及其内容可以窥见网站运营者保护用户个人信息的实际情况,进而为完善网站个人信息保护制度提供有益的参考。通过对访问量排前500的中文网站隐私政策进行统计分析,可以发现我国网站隐私政策披露取得初步的进展,但远未达到理想的状态,网站自我规制不足以成为保障用户个人信息安全的主要规制手段。当前我国网站隐私政策披露具有遵守法定保护规范不理想、与推荐性保护规范脱节、受域外规范的影响显著等三大特点。隐私政策披露显露的现状显示网站运营者自我规制状况堪忧,而相关主管部门的监管存在困境。网站运营者应逐步提高隐私政策的披露力度,接受外界的监督,而监管改革的突破口可以考虑选在适度集中监管权、探索新型监管手段和提高规则的威慑力等三个方面。
Monet
从隐私政策披露看网站个人信息保护
—以访问量前500的中文网站为样本
文 / 浙江大学光华法学院互联网与法学方向博士后冯洋
四、隐私政策披露显露的问题
基于前文的统计描述与分析并结合我国个人信息保护制度,笔者认为我国中文网站隐私政策披露已取得一定程度的进展。超过半数的样本网站选择披露隐私政策,这说明对于这些访问量排前列的网站而言,隐私政策披露已成为较为普遍的自觉行为。但总体来看,样本网站隐私政策披露仍处于初级发展阶段,同我国法定要求、推荐性要求以及世界个人信息保护制度的新发展有相当大的差距。过低的保护现状同较高保护要求的差距如果不能弥合,将对现今我国《个人信息保护法》的制定和实施产生直接的负面影响。总体而言,我国隐私政策披露显示的个人信息保护问题可以从两个方面进行观察,即,网站运营者自我规制的实践以及主管机构的监管实践。本部分将围绕这两个方面进行论述。
(一) 网站运营者自我规制现状堪忧
从自我规制的角度来看,可以发现尽管隐私政策披露取得了一定的发展,但是仅66%的披露比例说明,目前的网站隐私政策披露还有较大的提升空间。网站运营者收集和处理用户个人信息的实践无法通过隐私政策进行充分披露,这意味着企业的信息处理实践在很大程度上处于不为外人所知的“黑箱”状态,包括监管机构在内的外部主体很难了解“黑箱”的原理和运行流程,从而给监管带来很大的困难。网站运营者的个人信息处理实践“出不来”在一定程度上表明网站保护用户个人信息的情况不容乐观。这个问题可以从以下几个方面进行论述。
首先,仍有相当比例的网站未披露隐私政策。但根据上文统计,仅约有三分之二的样本网站披露了隐私政策。与西方同类研究进行对比可以发现我国网站隐私政策披露的比例偏低。未披露隐私政策也许并不必然表明网站运营者有滥用用户个人信息的故意,但是至少可以说明这些网站运营者缺乏对用户个人信息保护的重视。从样本选择角度来看,本研究所揭露的低披露比例很可能只是中文网站个人信息保护的诸多问题中的冰山一角。上文通过Probit回归分析指出,网站访问量同隐私政策披露呈显著正相关的关系,即,访问量越高,隐私政策的披露比例越高,反之亦然。目前我国中文网站总数已超过500万个。这些海量中文网站总体披露比例必然远低于访问量排前500位的中文网站。从这一角度而言,中文网站整体上的用户个人信息保护状况不容乐观。
其次,落实法定基本要求的程度不高。上文统计显示,《网安法》第4项法定要求“使用限制”被93.4% 的隐私政策所纳入外,其它6项法定要求的纳入率均在半数左右。这一守法状态显然是难以令人满意的。较低的纳入率并非源于我国法定规则不合理或标准过高。上文指出《网安法》7项法定要求与上世纪80年代初所确立的第一代国际普遍规则保持大体的一致。上世纪90年代中期以后,西欧国家积极探索个人信息保护的规则,大幅提高了保护的标准,由此形成以欧盟1995年《数据保护指令》为代表的第二代国际普遍规则。因此我国法定保护标准不是过高,而是偏低。鉴于偏低的现行法定要求,我国未来《个人信息保护法》在保护的范围和力度上都将有较大的发展。那么如果体现较低保护要求的现行法定基本规则都无法得到良好的遵守,那么即使未来《个人信息保护法》能够出台,该法将因为法定要求与实践的巨大鸿沟而出现实施的困难。
再次,响应推荐性规范要求的比例偏低。从上文的统计来看,《规范》的较高要求在样本隐私政策中有一定程度的体现,但体现的总体情况不佳。除“确保个人访问”被约四成的隐私政策纳入外,其它四项较高要求的纳入率不足三成,这其中“最小化收集”没有被任何一家网站的隐私政策所纳入。隐私政策相应《规范》的情况不如人意是因为《规范》的要求过于超前吗?将《规范》同域外规则进行比较,就可以发现事实并非如此。“确保个人访问”的要求其实并不“高”,早在1980年经合组织的《隐私保护与个人数据跨境指引》就纳入了这一要求,属于第一代世界普遍规则。《规范》的其它要求部分地借鉴了欧盟1995《指令》的规定,因此《规范》的出台可被视为我国个人信息保护规则同全球第二代保护规则接轨的尝试。但从上文统计的结果来看,这次尝试并不太成功,网站隐私政策的内容同《规范》的要求契合度过低,两者之间存在较大程度的脱节问题,这也说明当前我国网站个人信息保护的力度同当前全球普遍保护水准还有相当大的差距。
最后,缺乏基于本土实践的规则创新。上文统计的超越《网安法》和《规范》的三项普遍要求,尤其是明示cookie的适用和对未成年人的特别保护,被较多的隐私政策所纳入。从来源来看,上述新要求并非是样本中的网站运营者根据本土个人信息保护实践而创造的规则,而是借鉴国际上普遍承认规则的结果。诚然我国未来个人信息保护立法应广泛借鉴域外具有普遍性质的保护规则,但也应积极探索和确认具有本国特色的规则。尽管欧盟和美国都将隐私权作为宪法上的基本权利,但由于保护理念与权利位阶等方面的差异,这两个地区在个人信息保护立法形式、具体规则设计、司法审查的强度等方面呈现出显著且不可弥合的差异。欧盟和美国在文化和政治制度上同根同源,即便这样,两者在个人信息保护制度构建方面尚且有如此大的不同,那么异质性更强的中国更应构建具有本国特色的个人信息保护制度。
(二) 主管部门的监管困境
网站运营者未披露或未完全披露隐私政策,都属于同《网安法》“公开透明”规则相抵触的行为。而未披露或未完全披露现象的普遍、持续存在表明我国网站用户个人信息安全状况堪忧。通过本文的分析,我们有理由相信网站运营者未履行用户个人信息安全义务甚至恶意滥用用户个人信息的现象并不少见,目前窥见的仅是冰山一角而已。根据《消费者权益保护法》和《网安法》的规定,对于侵害个人信息的行为,相关主管部门应责令改正,并可以根据情节处以从警告、罚款直至吊销营业执照的行政处罚。但在实践中较为常见的是对自然人非法获取、出售个人信息等严重侵犯公民个人信息的行为实施刑事制裁,但相关主管部门极少对企业收集、利用用户个人信息失范的行为处以行政处罚。这一现象的出现主要有如下两个原因。
第一,我国个人信息保护监管机构的设置尚待完善。从机构配置来看,我国现行体制是将监管权分散赋予现有的各类政府监管机构。与我国分散式执法不同,欧盟的《数据保护指令》和《一般数据条例》设置了专门的数据监管机构,并将机构的设置与职权的构建作为保障法律实施的最为重要环节。应该承认分散式执法和集中式执法各有其内在的优势与劣势,不能一概而论。对于分散式执法而言,其最大的优势在于能够发挥各主管部门的专业优势,能够更有针对性地对本领域个人信息保护问题进行监管。但遗憾的是,该优势功能未能在我国个人信息保护的实践中得以发挥。由于我国的监管机构已有各自的传统监管任务,使得多数部门未将个人信息保护作为自己的主要工作。
第二,我国监管机构尚未发展出常态化、积极的执法手段。实践中往往是在大规模个人信息滥用和泄露等丑闻出现且引发舆情后,监管机构才启动针对涉事企业的审查和处罚程序。如此操作不仅是滞后的,而且存在挂一漏万的情形。2018年初的支付宝账单事件是一个典型的事例。支付宝推出的查询账单功能在收集用户信息时存在误导用户的情况。在该事件引发全国范围的强烈反响之后,中国人民银行杭州支行才对该公司开出了罚单。
第三,我国监管机构普遍缺乏相应的技术力量对企业个人信息保护状况进行有效的监督。随着互联网经济和互联网平台企业的兴起,由于自身技术力量的不足,监管机构已开始要求互联网平台机构利用其技术优势承担一定的监管职能。国家网信办于2018年颁布的《即时通讯工具公众信息服务发展管理暂行规定》第8条要求即时通讯工具服务提供者应承担审核公众账号开设的义务。笔者于2019年6月赴若干互联网企业调研发现,监管机构越来越频繁地要求互联网企业提供结构化程度很高的数据,该数据是对平台内商户进行常规执法的重要参考。技术上的差距必然会影响监管机构对互联网企业个人信息保护的实践展开有效的执法检查。
上述我国主管部门的监管困境不仅不利于保障网站用户的个人信息安全,从长期来看也将导致企业怠于履行隐私政策披露和个人信息保护的法定义务,这一状态不利于企业的长远发展,尤其不利于开拓海外市场。在个人信息保护领域,本国执法机构尚未作为,并不意味着该违法行为能够规避处罚。外国执法机构“先行”或“代为”处罚的现象已开始出现。最近的抖音国际版被美国监管机构处罚便是典型事例。2019年2月美国联邦贸易委员会作出裁决,以违反《儿童隐私保护法》为由,对抖音国际版处以高达570万美元的罚款。欧盟《一般数据保护条例》的处罚以涉事企业全球营业总额为基础,最高可达该总额的4%。这意味着一家中国企业,尽管其大部分业务在国内,欧盟业务仅占其总业务的一小部分,但在欧盟境内违反个人信息保护法的商业行为也有可能引发针对该企业整体上的巨额罚款,从而对其生存和海外业务的开拓产生重大影响。
五、结语
文本的实证研究所揭示的问题可以从两个方面进行总结。一方面,网站隐私政策或多或少地纳入了法定要求、推荐性要求和若干域外要求,部分要求的纳入率较高,这表明我国网站运营者的自我规制已取得了初步的发展。考虑到《网安法》和《规范》的实施时间不长,相关规定的实施还在探索中,目前隐私政策披露所取得的进展更多地应归结为网站运营者在自我规制上的努力。企业自我规制已成为我国个人信息保护体系不可忽视的一环。另一方面,网站运营者的自我规制远未达到理想的状态。在法定要求和推荐性要求都较大程度低于世界第二代普遍保护标准的情况下,我国网站隐私政策无论是披露的比例还是内容的完整度仍然不高,其实际的保护状况令人疑虑和担忧,这同时也表明当前网站自我规制不足以成为保障个人信息安全的主要规制手段。
笔者相信未来以隐私政策披露为外在表现形式的自我规制将继续发展,在个人信息保护领域将起到越来越重要的作用。但是也应该承认这一过程尽管值得期待,却是颇为缓慢的,无法在短期内提升我国个人信息保护的整体水平。因此美国以自我规制为主的数据隐私保护模式在我国的可行性不高。《个人信息保护法》提上全国人大常委会的立法议程表明我国立法者倾向于对个人信息实行全面的立法保护。完善网站隐私政策的首要工作是提高其合规程度,未来的制度构建应围绕网站保护实践和主管部门的监管实践展开。
从网站自我规制来看,应大幅提高网站运营者披露隐私政策的水平。只有将网站运营者的用户个人信息收集和处理实践较为频繁地公开,才能在一定程度上打破其技术黑箱,从源头上防治个人信息的滥用。具体的改革可以从两个方面着手。
第一,构建更为全面的保护规则体系。网站运营者应严格遵循法定保护规则的要求,同时根据自身情况,积极纳入推荐性规则。为了更好地起到引导的作用,应在充分考虑当前企业隐私政策披露发展现状的基础上对《规范》进行修订,全面纳入符合实际需要的体现较高保护水平的规则。一方面应有选择地借鉴西方个人信息保护立法的经验。欧盟和美国是世界范围内最有价值的科技产品和服务市场,借鉴其有益的立法经验也能降低我国企业遭遇执法机构处罚的可能性,从而有助于打开欧美市场。另一方面应总结提炼我国本土的个人信息保护实践。在大数据技术和产品不断涌现的情况下,我国个人信息保护规则的创新也应得到加强,从而打破欧盟和美国在构建全球个人信息治理体系上的垄断。
第二,实施个人信息安全报告强制披露制度。网站运营者应根据法定的要求和隐私政策的承诺展开个人信息安全保障工作,定期形成书面报告提交给监管机构并向公众公开。该类报告除了应披露保障措施的落实情况外,还应重点披露个人信息安全事件,包括事件的数量、规模、易遭受侵害的个人信息类型、造成的实际损失等。发生重大个人信息安全事件后,网站运营者在事前尽到安全防范责任且及时上报的,可以减轻或者免除处罚;如果隐瞒不报或者谎报的,应从重处罚。
从监管角度来看,应构建行之有效的监管机制,使得主管部门能够有效地对网站进行监督检查,在必要时能够及时介入,避免损害的扩大。具体的改革可以从三个方面着手。
第一,适度集中监管权。应考虑将监管权适度集中。当前承担主要监管权的较为适宜的机构是网信部门。具体而言,对于传统行业,可以考虑实行网信部门牵头,各职能部门参与的联合监管的方式;对于交叉行业和新兴行业,可以考虑实行网信部门主导的监管方式。数字经济的快速发展给个人信息保护的监管带来很大的挑战,这在客观上要求监管机构应具有与之相匹配的监管权。网信部门,尤其是国家和省一级网信部门,应大力加强机构建设。在人员方面,应重点配置即懂法学等社会科学又懂大数据、互联网+和人工智能等自然科学的复合型监管人才。在职权建设方面,应扩展监管权的类型和范围。为了有效应对个人信息安全领域的挑战,国家和省一级网信部门的性质应从行使执法权的机构,扩展为兼具实施性规则制定权、法律和行政法规解释权、一定范围内纠纷裁决权的新兴监管机构。
第二,探索新型监管手段。应持续探索新型的监管手段。实践证明对涉事网站采取事后约谈的方式是有效的。未来应继续完善约谈制度,明确约谈的法律定位及其同其他规制手段的衔接问题。同时可以考虑将监管手段介入的时机从事后推进至事中乃至事前,例如可以采取定期对网站的隐私披露状况和用户个人信息安全保障情况进行检查的执法方式。
第三,提高法律规则的威慑力。目前《网安法》对于侵犯个人信息依法受保护权利的行为,处违法所得1倍以上,10倍以下罚款;没有违法所得的,最高处以100万元的罚款。与欧盟和美国执法机构以涉事企业全球营业额为基准的处罚相比,目前我国的处罚威慑力十分有限。当前各国数据经济的竞争日趋激烈,我国监管机构的给予较轻处罚的目的在于扶持、呵护互联网企业。但是需要指出的是,随着中国互联网企业海外市场的不断开拓,它们所面临的合规风险不仅来自于本国,也来自于其他多个国家。长远来看,为了加强互联网企业的安全保障意识和合规意识,相关处罚规定应得到有效的施行。如果确实要将罚款作为有力的威慑手段的话,应考虑提高处罚的金额。
参考文献
* 浙江大学光华法学院互联网与法学方向博士后冯洋。本文系2019年中国法学会法治研究基地浙江公法研究中心项目和2018年浙江大学光华法学院人工智能与法学专项的研究成果。康兰平博士、傅宇、胡寅等同学参与了数据收集的工作。周江洪教授、胡敏洁教授、范良聪副教授、蒋成旭博士、胡斌博士、李芹博士、林淡秋博士等师友对本文初稿提出了修改意见,在此一并致谢。感谢匿名评审专家的修改意见。
[1] See Stuart F.H. Allison, Amie M. Schuck and Kim M. Lersch, “Exploring the Crime of Identity Theft: Prevalence, Clearance Rates, and Victim/Offender Characteristics”, 33 Journal of Criminal Justice 20-21 (2005).
[2] 参见高秦伟:《个人信息保护中的企业隐私政策及政府规制》,《法商研究》2019年第2期,第20-22页。
[3] Alessandro Mantelero, “The Future of Consumer Data Protection in the E.U., Rethinking the ‘Notice and Consent’ Paradigm in the New Era of Predictive Analytics”, 30 Computer Law & Security Review 614 (2014).
[4] Chris Jay Hoofnagle, “Identity Theft: Making the Known Unknowns Known”, 2 Harvard journal of Law & Technology 104-107 (2007).
[5] Tanina Rostain, “Self-regulatory Authority, Markets and the Ideology of Professionalism”, in Robert Baldwin, al (ed.) Oxford Handbook of Regulation, Oxford: Oxford University Press, 2010, p. 123.
[6] 冯洋,《论个人数据保护全球规则的形成路径—以欧盟充分保护原则为中心的探讨》,《浙江学刊》2018年第4期,第68-70页。
[7] Federal Trade Commission U.S., “Privacy Online: A Report to Congress”, June 1998.
[8] See Paul Schwartz, “Preemption and Privacy”, 118 The Yale Law Journal 904-939 (2008).
[9] Joel R. Reidenberg, “Resolving Conflicting International Data Privacy Rules in Cyberspace”, 52 Stanford Law Review 1347 (2000).
[10] Paul de Hert and Vagelis Papakonstantinou, “The New General Data Protection Regulation: Still a Sound System for the Protection of Individuals?, 32 Computer Law & Security Review 193-194 (2016).
[11] Bert-Jaap Koops, Miriam Lips, Sjaak Nouwt, Corien Prins and Maurice Schellekens, “Should Self-regulation be the Starting Point?”, in Bert-Jaap Koops et al. (ed.) Starting Points for ICT Regulation, TMC Asser Press, 2006, pp. 110-115.
[12] See Joel R Reidenberg, et al, “Disagreeable Privacy Policies: Mismatches between Meaning and Users’ Understanding”, 30 Berkeley Technology Law Journal 39-42 (2014).
[13] See Carl J. Case, et al, “Online Privacy and Security at the Fortune 500: An Empirical Examination of Practices”, 11 ASBBSE e-Journal 59-67 (2015).
[14] See Florencia M. Wurgler, “Self-regulation and Competition in Privacy Policies”, 45 Journal of Legal Studies 1-17 (2016)
[15] See Xinguang Sheng and Lorrie F. Cranor, “An Evaluation of the Effect of US Financial Privacy Legislation though the Analysis of Privacy Policies”, 2 A Journal of Law and Policy 227-236 (2006).
[16] 宋华琳:《中国政府数据开放法制的发展与建构》,《行政法学研究》2018年第2期,第35-38页。
[17] Alexa的官网: https://www.alexa.com/,2018年12月1日访问。
[18] 进入全球访问量前20的8个中国网站分别是:百度(baidu.com)、QQ(qq.com)、淘宝(taobao.com)、天猫(tmall.com)、搜狐(sohu.com)、京东(jd.com)、新浪微博(weibo.com)和新浪网(sina.com.cn)。
[19] Probit 回归分析常用于“是否”类型的二元取值变量回归。
[20] 《网络安全法》第41条。
[21] See Paul M. Schwartz, “Privacy and Democracy in Cyberspace”, 52 Vanderbilt Law Review 1614 (1999).
[22] 参见 Graham Greenleaf and Scott Livingston, “China’s Cybersecurity Law – Also a Data Privacy Law?” 144 Privacy Law & Business International Report 1-7 (2017).
[23] 如2013年修订的《消费者权益保护法》第14条规定:“消费者享有个人信息依法得到保护的权利”。
[24] 实际上开展立法实验是我国改革开放以来法制建设的重要探索方式,see Yang Feng, “Examining the Legislation in China’s Special Economic Zones: Framework, Practice and Prospects”, 47 Hong Kong Law Journal 612-614 (2017).
[25] Cookie 是网站为了识别用户身份和收集用户信息而储存在用户浏览器上的小型数据文件。
[26] 参见微信(网页版)隐私政策 https://login.weixin.qq.com/qrcode?lang=zh_CN, 2019年4月29日访问。
[27] McMahon R. Bradley, “After Billions Spent to Comply with HIPAA and GLBA Privacy Provisions, Why is Identity Theft the Most Prevalent Crime in America?” 49 Villanova Law Review 625-627 (2004).
[28] See Chang Liu, and Kirk P. Arnett, “An Examination of Privacy Policies in Fortune 500 Web Sites” 17 American Journal of Business 13-22 (2002).
[29] 2012年共有89个国家仿效欧盟模式制定了个人数据保护法,到2017年末,欧盟的统一立法模式被120个国家所接受, 参见 Graham Greenleaf, “The Influence of European Data Privacy Standards Outside Europe: Implications for Globalization of Convention 108”, 2 International Data Privacy Law 68 (2012); Graham Greenleaf, “Global Data Privacy Laws 2017: 120 National Data Privacy Laws Now Include Indonesia and Turkey”, 146 Privacy Laws & Business International Report 14-17 (2017).
[30] See Paul M. Schwartz, The EU-US Privacy Collision: A Turn to Institutions and Procedures, 126 Harvard Law Review 2003-2009 (2013).
[31] 前引 7, Federal Trade Commission U.S., 31-39.
[32] 《支付宝近日被中国人民银行杭州中心支行做出行政处罚》,2018年4月8日,北京日报。
[33] 《抖音在美遭570万美元罚款,创同类案件纪录》,《新京报》2019年2月29日。
[34] The European Parliament and the European Council, The General Data Protection Law, 27 April 2016, Article 83 (6).
[35] (英) 科林·斯科特:《规制、治理与法律》,安永康译,清华大学出版社2018年版,第205页。
原载于《当代法学》2019年第六期
仅作学习交流之用
Van Gogh
往期荐读
编辑:韩雨硕