国内外社交媒体个人信息保护政策研究及启示
2019-11-07范昊王贺付少雄
范昊 王贺 付少雄
摘 要:[目的/意义]基于社交媒体个人信息安全事件频发的现状,通过审核社交媒体的个人信息保护政策,以期从法律政策文本层面规范社交媒体的个人信息保护,保障个人信息合法权益与社会公共安全利益。[方法/过程]本文以国内外16款用户量最大、使用频次最高的社交媒体为研究对象,通过内容分析法,从个人信息采集与利用、Cookie及相关技术的提醒、个人信息储存及保护、个人信息共享转让与披露、个人信息处理权益、未成年个人信息保护角度对社交媒体的个人信息保护政策进行分析。[结果/结论]政府层面亟需保障《信息安全技术 个人信息安全规范》等法律法规的底层实施,企业层面需开展个人信息保护的内部制度化建设,结合服务与产品特征细化个人信息保护政策内容,采用实名制规范未成年个人信息保护。
关键词:社交媒体;个人信息;隐私保护;隐私政策;敏感信息
Abstract:[Purpose/Significance]Current personal information security incidents of social media occur frequently.To regulate the protection of personal information of social media from the legal policy text,and protect the legitimate rights and interests of personal information and the security interests of public,our paper reviews the personal information protection policy of social media.[Method/Process]This paper took 16 social media with the largest number of users and the highest frequency of use as the research object.Through content analysis,the paper analyzed the personal information protection policy of social media from the perspectives of the collection and use of personal information,reminders of cookies and related technologies,personal information storage and protection,transfer and disclosure of personal information sharing,personal information processing rights,and protection of underage personal information.[Result/Conclusion]At the government level,it is urgent to strengthen the implementation of the“Information Security Technology and Personal Information Security Code”and other laws and regulations.At the enterprise level,it is necessary to carry out internal institutionalization of personal information protection,combine the service and product features to refine the content of personal information protection policies,and adopt the real name system to improve underage personal information protection.
Key words:social media;personal information;privacy protection;privacy policy;sensitive information
我國《“十三五”规划建议》提出实施“网络强国战略”以及“互联网+”行动计划,强调网络安全面临重大挑战[1]。此后,网络安全观被上升为国家安全层面,指出网络安全是国家信息化发展的基石。其中,网络平台用户数据保护是网络安全的重要议题[2]。由于社交媒体企业缺乏对于用户信息的合理保护,当前社交媒体用户信息泄露事件频发,如2018年12月,社交问答平台Quora的1亿条用户信息泄露,其中涉及用户姓名、邮箱、密码,以及网站分享内容;2018年8月,Instagram社交平台数百万用户的邮箱地址、电话号码等个人资料遭到泄露;2018年3月,Facebook的8 700多万用户的性格特征、行为习惯、政治倾向等个人信息遭到非法外泄进行用户画像分析。为此,2018年5月,我国实施《信息安全技术 个人信息安全规范》[3]。与此同时,欧盟于2018年5月出台《通用数据保护条例》[4]。
有效社交媒体政策的制定有助于增强企业的个人信息保护意识,从法律条款层面对企业个人信息处理行为进行约束。个人信息保护政策在第三方APP中以“个人信息保护或隐私条款/声明”形式呈现,是指APP运营商面向用户个人信息保护而制定的有关义务、权利与责任的规则[5-6]。个人信息保护政策常内嵌于“网络服务协议”、“APP服务及许可协议”等服务协议范畴中,或单独设置个人信息/用户隐私保护政策。当前国内外相关研究主要从用户[7-9]、网络平台[10-12]、政府监管部门[13-14]视角探究了网络环境下的用户个人信息保护,从制定内容[15-17]、制定现状[18-19]分析了网络平台的个人信息保护政策。当前国内有关社交媒体个人信息保护政策的内容分析处于空白,且缺乏国内外第三方APP的个人信息保护政策对比,而社交媒体领域的个人信息保护亟需得到关注[20-21]。
基于此,本文以16款国内外用户量最大、使用频次最高的社交媒体为研究对象,通过内容分析法,从个人信息采集与利用、Cookie及相关技术的提醒、个人信息储存及保护、个人信息共享转让与披露、个人信息处理权益、未成年个人信息保护角度解读社交媒体个人信息保护政策,以期为社交媒体个人信息保护的政策制定和立法工作给予参考,并为社交媒体的个人信息安全防范提供借鉴。
1 个人信息保护政策法律解释
1.1 个人信息保护政策概念辨析
在全国信息安全标委会实施的《信息安全技术 个人信息安全规范》(GB/T 35273-2017)中规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息[3]。关于法律性质的界定,个人信息保护政策是企业保护用户信息的关键举措,政策中的条款内容也是用户个人信息保护的最低标准[22]。在实施过程中,个人信息保护政策是互联网服务商、软件运营商在为用户提供服务过程中,对用户数据合法采集利用所作出的相应承诺[23]。其中一類是单方面的个人信息保护政策,服务商/运营商仅面向用户数据采集作出单方面声明,无须经过用户明示同意,且未涉及细粒度的服务条款,因此不能被界定为合同;另一类是当前服务商/运营商普遍采取的做法,个人信息保护政策隶属于网络服务内容承诺的子维度,用户只有在签署个人信息保护政策协议的情况下才能享受服务,其属于面向双方当事人间的协议[24]。因此,构建在用户阅读且明示同意的基础上的个人信息保护政策,属于正式的网络服务合同[23]。
用户的个人信息保护政策常内嵌于APP内部,如新浪微博的个人信息保护政策位于“设置—关于微博—微博个人信息保护政策”,微信的个人信息保护政策位于“设置—隐私—微信隐私保护指引”中,YouTube的个人信息保护政策位于“账号—条款及隐私权政策”。对于社交媒体而言,个人信息保护政策通常采用实时提醒、增强式提醒两种模式告知用户。首先是实时提醒,当用户访问相册、备忘录、位置信息、通讯录等个人信息时,第三方APP会向用户发送征求用户同意的弹窗[22];其次是增强式提醒,当用户首次安装下载APP、首次账号注册、首次APP使用的情况下向用户推动个人信息/隐私保护政策。虽然APP常采用上述方式通知用户个人信息的采集与利用,但使用即许可(即使用APP便默认许可APP的个人信息保护条款)是当前互联网服务商的基本处理模式。因此,规范和完善的个人信息保护政策及法律体系对于移动互联网时代的个人信息保护起关键作用。
1.2 个人信息保护立法
为有效实施网络强国战略,保障互联网用户的个人信息安全,我国开展了个人信息保护的相关立法工作。国内个人信息保护立法可分为两个阶段:首先是个人信息保护立法探索阶段,国务院于2000年9月发布《互联网信息服务管理办法》,该办法初步涉及了个人信息保护,即要求运营商建立用户信息安全管理制度。此后,工业和信息化部于2013年7月颁布部门规章《电信和互联网用户个人信息保护规定》,而部门规章的罚款额度最高为3万元,不利于预防和惩处个人信息有关违法行为。
然后是个人信息保护立法的完善阶段,全国人大于2016年11月颁布《网络安全法》在第40~45条中强调了第三方运营平台应构建用户信息保护制度,对用户个人信息严格保密,并对个人信息的采集与利用进行规范[25]。2017年1月,工业和信息化部印发《信息通信网络与信息安全规划(2016-2020年)》,指出要强化用户个人信息保护,重点从网络数据安全管理体系建立、用户个人信息保护强化、建立完善个人信息泄露报告与公告机制方面展开。2017年6月,国家互联网信息办公室颁布《网络产品和服务安全审查办法(试行)》,强调服务与产品提供商基于服务与产品提供的便利条件,存在非法采集、保存、处理、利用用户个人信息的风险,并展开重点审查。2017年7月至2018年1月,工业和信息化部连续印发《移动互联网综合标准化体系建设指南》、《公共互联网网络安全突发事件应急预案》、《工业控制系统信息安全行动计划(2018-2020年)》、《公共互联网网络安全威胁监测与处置办法》,指出围绕监测评估、技术提升、政策监管3个方面发展移动安全防范体系,以健全包括个人信息泄露事件在内的网络安全事件的应对能力与应急机制。2017年9月,国家互联网信息办公室发布《互联网用户公众账号信息服务管理规定》,第9条指出互联网用户公众账号的信息服务提供者应保护用户个人信息安全,不得篡改、泄露、毁损,及非法出售或者向他人提供。2018年4月,公安部发布《公安机关互联网安全监督检查规定(征求意见稿)》,规定出售、泄露、非法个人信息的人员,按照《网络安全法》第64条予以处罚,构成犯罪依法追究刑责。2018年5月,国标委实施《信息安全技术 个人信息安全规范》,对个人信息控制者在采集、存储、利用、分享、转让、公开披露等个人信息处理过程中的行为进行详细的规定[3]。
此外,国外也针对个人信息保护展开了大量立法工作,如韩国2011年3月发布《个人信息保护法》,从个人信息保护的基本原则、保护基准、主体权益保障、信息自决权等维度做出全面阐述;美国2012年2月提出的《用户隐私权利法案》确立了用户隐私保护原则,包括安全原则、透明原则、更改与访问、问责制原则、尊重背景原则、限制收集原则、自主控制原则[26];新加坡2014年7月生效的《个人资料保护法令》,为个人信息的采集、利用、公开、处理等方面设立标准[27];日本2017年5月实施修订后的《个人信息保护法》,从个人信息的获取与利用规则、保存规则、信息提供的遵循事项、保存期限、向外国第三方提供所需遵守规则等方面进行了立法;俄罗斯2017年9月实施修订后的《俄罗斯联邦个人资料法》,主要涵盖个人信息处理的条件与原则、信息主体权益、信息处理者义务、个人信息处理监管等方面;欧盟2018年5月强制实施的《通用数据保护条例》对欧盟内部机构采集与使用个人信息、非欧盟境内机构处理欧盟内部用户的个人信息、非欧盟机构在欧盟境内处理个人信息进行了严格规定[4]。
2 社交媒体个人信息保护政策的内容分析
2.1 研究对象
根据凯度(KantarGroup)发布的《2018中国社交媒体影响报告》[28],结合国内外社交媒体用户量、下载排名,本文以国内社交媒体(微信、优酷、QQ、百度贴吧、新浪微博、豆瓣、抖音、知乎)、国外社交媒体(Facebook、YouTube、Instagram、Google+、Twitter、Snapchat、Reddit、Quora),如表1所示。其中根据对社交媒体官方用户数据进行调研,上述国外社交媒体的月活跃用户皆超过1亿。本文研究对象涵盖了通讯社交媒体、交友类社交媒体、论坛类社交媒体、视频类社交媒体,而优酷与YouTube属于具备社交评论功能的视频播放平台[28],包含跟帖、评论、弹幕、社区、星球等服务,因此也纳入本文研究范畴。
2.2 个人信息保护政策
根据调研,所有社交媒体皆制定有专门的个人信息/隐私保护政策。结合我国和欧盟于2018年5月实施的《信息安全技术 个人信息安全规范》、《通用数据保护条例》相關规定,本文从如下6个方面对国内外社交媒体个人信息保护政策进行调研。
2.2.1 个人信息采集与利用
社交媒体APP在用户个人信息的采集和利用的规定主要涉及“个人信息”、“敏感信息”范畴的界定等5方面,调研结果如表2所示。首先,部分国内社交媒体对于“个人信息”、“敏感信息”等关键概念进行了明确,国外社交媒体皆未界定相关概念,如优酷将个人敏感信息划分为个人生物识别信息、身份证件号码、银行或其他资金账号、交易信息、行踪轨迹、财产信息、14岁以下(含)儿童的个人信息等。此外,优酷还将涉及个人敏感信息部分通过加黑加亮加粗以提醒用户;其次,所有社交媒体均表示了对保护用户个人信息的责任,如知乎指出个人信息安全至关重要,将根据我国《网络安全法》、《信息安全技术 个人信息安全规范》以及其他相关法律法规和技术规范处理用户信息;Instagram指出会按照当地法律法规如欧盟《通用数据保护条例》保障用户数据权益。
再者,对于明确基础与额外服务的数据类型,多数社交媒体进行了明确,具体而言,采集的基础信息包括用户提供的信息和内容(包括在分享或创建内容、注册帐户,以及与他人交流或发消息时提供的信息)、用户使用情况(如互动或查看的内容类型、使用的功能、执行的操作、与用户互动的帐户或人士,以及用户在线活动的频率、时间与时长)、设备信息(设备属性、设备操作、身份识别信息、设备信号、来自设备设置的信息、网络和连接、Cookie数据)、来自合作伙伴的信息(如广告主、发行商和应用开发者等)、关系网络与人际网络(如与用户有关联的公共主页、人士、小组、话题标签和帐户的相关信息,以及用户如何使用产品与他们互动的信息)等,额外信息包括在产品中进行交易的相关信息(如借记卡或信用卡号码以及卡的其他信息、其他帐户和身份验证信息、配送、账单与联系方式)、他人执行的操作和提供的有关用户的信息(如当他人分享或评论用户您的照片、向用户您发消息,或者同步、上传或导入用户您的联系方式时)等;然后,多数社交媒体明确了个人信息的采集用途,主要用于个性化服务、数据分析与研究、服务与产品提供、风险识别、定向推送活动、调查与活动。但仅少数APP明确指出个人信息用于其他用途需再次征得用户同意,如新浪微博指出除个人信息保护政策中指出的场景外,其他场景的个人信息获取需重获用户明示同意;此外,多数社交媒体强调了正当与合法原则,较少强调必要原则,即最少够用原则,如优酷指出基于合法、正当合理、诚实信用、必要的法定原则采集与处理个人信息。
2.2.2 Cookie、Beacon及相关技术的提醒
Cookie、Beacon及相关技术主要基于向物理设备发送小型数据追踪文件,从而记录用户信息行为并被整理于数据库中,使得用户个人信息泄露风险加大。社交媒体通常在用户首次使用服务时便向用户发送Cookie使用提醒,如Twitter、Snapchat、Reddit等会在网页版底端弹窗指出使用服务即表示同意Cookies的使用。本文对Cookie、Beacon及相关技术的提醒进行了调研,如表3所示。首先,多数社交媒体明确了网络隐形追踪技术的类型,如YouTube指出会利用各种技术采集信息,包括?Cookie、像素代码、本地存储(例如使用浏览器缓存应用数据或网络存储)、数据库与服务器日志;其次,多数社交媒体也明确了Cookie、Beacon及相关技术使用的作用,主要用于运营社交媒体、用户信息行为分析和广告投放等,如Snapchat的Cookies使用主要用于用户设置和偏好记录、识别和预防安全风险、服务改进、广告投放;再者,明确网络隐形追踪技术的个人信息采集模式,Reddit指出通过Cookie采集的信息是通过浏览器存储并在发出请求时发回给的数据;然后,绝大多数APP皆设置有拒绝或禁止网络隐形追踪技术的操作指引,常表述为用户可拒绝部分或全部浏览器Cookie的选项,也可从浏览器中删除Cookie。此外,部分社交媒体还制定有专门的Cookie政策,如知乎的《知乎Cookie指引》;Instagram、Snapchat、Quora的《Cookie政策》等。
2.2.3 个人信息储存及保护
对于个人信息的存储,社交媒体主要对个人信息的地域、期限及物理媒介等方面进行明确,如微信强调会将境内的用户个人信息存储于中国境内;优酷指出仅在成本政策所需目的范围内存储用户个人信息,除非得到用户同意或法律强制留存,保存期限过后会注销、清除或匿名化处理个人信息;百度贴吧将个人信息的存储期限界定为百度贴吧服务和产品使用期内,个人信息皆存储于中国境内,涉及跨境传输会按照法律进行严格出境安全评估以保障个人信息安全;Reddit将在100天后删除除了用于创建帐户以外收集的所有IP地址。此外,部分个人信息还会存储于用户移动设备中,如当用户使用微博搜索服务时,为提升搜索服务效率,部分信息会存储于本地设备中。
对于个人信息的保护,SSL(Secure Sockets Layer)等加密技术、标签化处理、去标识化处理、匿名化处理等是社交媒体个人信息保护的常规方式。去标识化是指基于对个人信息的技术化处理,使其在不借助额外信息的情况下,无法识别个人信息主体的过程,且匿名化会使处理后的信息不能被复原。同时,社交媒体会进行信息保护安全测评,如微信通过国际信息安全管理体系(International Information Security Management Systems)、ISO27001、TRUSTArc等国际权威信心安全认证,并通过国家网络安全等级保护(3级)的备案与测评。此外,社交媒体还会从企业制度层面制定信息保护措施,如YouTube指出会审查在采集、存储和处理信息方面的做法(包括实体安全措施),以防止未经授权的人员访问系统。
2.2.4 个人信息共享、转让与披露
社交媒体皆明确了会在用户明示同意或指示下共享、转让或披露个人信息,如Twitter指出当用户授权第三方Web客户端或应用程序访问个人帐户时、当用户指示我们与企业分享用户您的反馈时、当用户与通过第三方服务访问Twitter的其他人共享直接消息或受保护推文等信息时,Twitter可能与第三方服务共享个人信息;Reddit指出会在征得用户同意、与附属公司、与合作伙伴等情形下分享用户个人信息;Quora表示不会将用户个人信息转让给第三方用于营销目的。
但各社交媒体还指出在未得到用户明示同意情形下共享、转让或披露个人信息的条件,如优酷将条件划定为法定情形下披露与共享、与关联方共享个人信息、与授权方共享个人信息、争议处理协助;YouTube的条件涵盖与域管理员分享、用于外部处理(即向关联公司或其他可信商家或个人提供个人信息)、出于法律原因;Snapchat指出在遵守政府要求或适用的法律、规则或法规,调查、补救或执行潜在的服务条款违规行为,保护企业、企业的用户或其他人的权利、财产和安全,检测并解决任何欺诈或安全问题的情况下可能披露和共享用户个人信息。
2.2.5 个人信息处理权益
所有社交媒体均表示用户具有访问、改正、移植、停用和删除个人信息的权益。根据《信息安全技术 个人信息安全规范》,互联网服务及产品在采集用户个人信息时,应通过各类方式向用户明示,并取得用户同意,如百度贴吧指出用户可随时收回或给予授权同意、进行个人信息删除等操作;YouTube指出用户可随时从Google帐号中导出个人信息的副本,也可以将其从Google帐号中删除。此外,部分国外社交媒体还明确了用户有权限制与反对对个人信息的特定处理,如Facebook和Instagram指出用户有权反对将个人信息用于执行符合公共利益或者追求平台自身或第三方合法权益的任务、用户有权反对将个人信息用于直接营销,可使用营销信息中的“退订”链接来行使相关权益。
对于社交媒体是否在个人信息保护政策中明示用户处理权益的操作,本文进行了调研,国内社交媒体多通过操作指示进行明确,如微信明确推荐通讯录朋友关闭操作(点击“我—设置—隐私—关闭向我推荐通讯录朋友”)、微信支付银行卡删除操作(点击“我—钱包—银行卡—选择银行卡—点击右上角解除绑定”)等;国外社交媒体多通过链接进行操作指示,如Google+在隐私政策中提供有删除特定Google产品与账号(包括与这些产品关联的个人信息)的链接,Twitter提供访问、纠正与删除个人信息的链接,如表4所示。
2.2.6 未成年个人信息保护
社交媒体皆制定有针对未成年个人信息保护政策,对于国内社交媒体,未成年个人信息保护条款相似度较高,主要包含如下条款:①本服务与产品主要面向成年人,若用户是未满14周岁的未成年人,在使用服务与产品前,应在父母或其他监护人指导、监护下共同仔细阅读本隐私政策;②若您是18周岁以下的未成年人,在使用服务前,应事先取得您的法定监护人或家长的书面同意;③若您是未成年人的监护人,当您对您所监护的未成年人的个人信息有相关疑问时,请与我们联系;④对于经父母或监护人同意使用我们的产品或服务而收集未成年人个人信息的情况,我们只会在法律法规允许、父母或监护人明确同意或者保护未成年人所必要的情况下使用、共享、转让或披露此信息;⑤如果我们发现在未事先获得可证实的父母同意的情况下收集了未成年人的个人信息,将会采取措施尽快删除相关信息。对于上述条款,国内皆未采取强制措施确保未成年人的社交媒体使用已得到监护人同意,如新浪微博指出,如果18周岁以下用户在微博上申请注册账号,微博将默认为用户已得到监护人的同意。此外,部分社交媒体的国际版与国内版的未成年个人信息保护政策具有差异性,如QQ国际版明确指出儿童不得出于任何目的使用服务,且不会在知情的情况下允许任何未年满16岁的人士提供个人身份识别信息。
对于国外社交媒体,Facebook会为保护未成年人,采取特殊保障措施,如對成年人联系未成年人设限。同时,Facebook针对青少年社交媒体使用制定了指导原则:不要让陌生人进入你的空间、保护好密码、每隔一段时间更换一次密码、如果看到让你不适的内容请发声、不要将个人信息泄露给刚认识的人等;YouTube专门针对未成年制定有《YouTube儿童隐私声明》,并设置有儿童须知,包括对儿童个人信息的采集、分享、家长访问与控制等;Instagram指出所有年满13岁的用户均被视为经授权的帐户持有人,家长不具备对子女账户的访问权限,并设有专门条款帮助未成年人举报冒犯性/不恰当材料或不良行为,以及欺凌或骚扰行为。
3 社交媒体个人信息保护政策的启示
本文以国内外社交媒体为研究对象,采用内容分析法探究了社交媒体的个人信息保护政策制定现状,以期从法律层面对个人信息的非法采集、泄露、滥用等行为进行约束。基于对社交媒体个人信息保护政策的实证调研,可为社交媒体个人信息保护政策完善以及互联网安全空间的营造提供如下借鉴:
1)個人信息保护法律法规的落实。虽然国家层面制定了《网络安全法》等系列法律法规以规范互联网个人信息采集与利用行为,但由于缺乏针对社交媒体等类型APP隐私保障与信息安全的审核流程,国内社交媒体普遍未能达到最新《信息安全技术 个人信息安全规范》的标准。应针对《信息安全技术 个人信息安全规范》的具体规定,明确法律法规条款对应的惩处措施,政府层面应通过制定个人信息保护监管标准加强行政审核[29]。同时,还可建立国内的个人信息安全认证制度,对企业个人信息安全保障程度进行定级,以实现个人信息合法权益与社会公共安全利益的最大保障。此外,中国互联网协会、中国互联网上网服务行业协会等互联网行业组织可充分发挥行业自律的引导作用,面对移动互联网环境下的个人信息保护问题,制定互联网行业的个人信息保护标准,且定期对行业内企业的个人信息保护政策进行审核,使其得到定时的更新与完善。
2)企业个人信息保护的制度化建设。由于社交媒体企业的规模普遍较大,社交媒体基本建立了较为完善的用户个人信息/隐私保护政策,但个人信息保护政策的实施依托于企业管理,较少社交媒体的个人信息保护政策涉及了组织与制度的建设。鉴于当前国内外社交媒体个人信息泄露事件频发的现状,社交媒体应设立专门的用户个人信息保护团队或部门,构建个人信息重大安全事故的责任制,将个人信息在内的数据保护纳入企业战略,安全、法务、产品、技术、交互等不同部门在执行层面承担个人信息保护的具体职责。同时,社交媒体企业应建立起个人信息保护制度,对个人信息相关数据进行监控与限制,确保非必要的工作人员不能接触到用户个人信息,离职时签订个人信息保密协议。此外,社交媒体企业可开展定期个人信息保护课程与培训,加强隐私文化的建设,提升工作人员的个人信息保护意识,如腾讯的隐私保护PBD价值观建设。
3)国内个人信息保护政策的细化。国外社交媒体的个人信息保护政策多针对自身APP产品和服务的特征而设置,如Reddit指出用户购买Reddit Gold时会采集用户交易信息,包括用户姓名、地址、电子邮件地址以及Reddit Gold的相关信息;Snapchat会采集用户与其服务的互动信息,包括用户在Discover上观看的故事、是否使用Spectacles等。相较于国外社交媒体,国内社交媒体个人信息保护政策覆盖面与完整性较高,对于个人信息保护各方面皆有涉及,但是相关条例相似度较高,应针对自身产品和服务特点制定政策,如国内社交媒体的未成年个人信息保护政策多为未成年人需先取得法定监护人或家长的书面同意,或未成年个人信息的使用、共享、转让或披露需要父母或监护人明确同意,未明确未成年个人信息保护的具体举措,但国外部分社交媒体制定有未成年个人信息保护的具体举措与指导原则。由于网络实名制已在国内得到推广,为使国内未成年个人信息保护政策更具针对性与可操作性,可通过如实名制等模式对未成年用户进行确认,采取强制措施确保未成年人的社交媒体使用已得到监护人同意。
参考文献
[1]邓若伊,余梦珑,丁艺,等.以法制保障网络空间安全构筑网络强国——《网络安全法》和《国家网络空间安全战略》解读[J].电子政务,2017,(2):10-43.
[2]杜超楠,袁勤俭,岳泉.我国隐私问题研究现状及热点主题分析——基于2004-2016年国家自然科学基金立项数据的研究[J].情报科学,2018,36(3),99-104.
[3]全国信息安全标委会.国家标准GB/T 35273-2017 《信息安全技术 个人信息安全规范》[EB/OL].https://www.tc260.org.cn/front/postDetail.html?id=20180124211617,2018-12-11.
[4]付少雄,林艳青.欧盟开放科学云计划:规划纲领、实施路径及启示[J/OL].图书馆论坛,2019.http://kns.cnki.net/kcms/detail/44.1306.G2.20181121.1528.004.html,2018-12-28.
[5]涂萌,张绵伟.第三方支付用户个人信息安全风险及对策研究[J].情报理论与实践,2018,41(12):70-75.
[6]朱侯,张明鑫,路永和.社交媒体用户隐私政策阅读意愿实证研究[J].情报学报,2018,37(4):362-371.
[7]Vishwanath A,Xu W,Ngoh Z.How People Protect Their Privacy on Facebook:A Cost-benefit View[J].Journal of the Association for Information Science and Technology,2018,69(5):700-709.
[8]Karwatzki S,Dytynko O,Trenz M,Veit D.Beyond the Personalization-Privacy Paradox:Privacy Valuation,Transparency Features,and Service Personalization[J].Journal of Management Information Systems,2017,34(2):369-400.
[9]王娜,许大辰.移动社交网络中个人信息保护现状的调查与分析——从用户行为习惯视角出发[J].情报杂志,2015,34(1),185-189,194.
[10]张晓娟,李贞贞.信息隐私关注、信任与智能手机用户的个人信息安全行为意向[J].现代情报,2018,38(3):45-50.
[11]刘鲁川,张冰倩,李旭.社交媒体用户焦虑和潜水行为成因及与信息隐私关注的关系[J].情报资料工作,2018,39(5):72-80.
[12]梁晓丹,李颖灏,刘芳.在线隐私政策对消费者提供个人信息意愿的影响机制研究——信息敏感度的调节作用[J].管理评论,2018,30(11):97-107,151.
[13]谭春辉,童林.我国个人信息保护政策工具的分析与优化建议[J].图书情报工作,2017,61(23):67-75.
[14]王肃之.读者个人信息保护的层次化与规范化——基于《中华人民共和国公共图书馆法》与《信息安全技术,个人信息安全规范》分析[J].图书馆工作与研究,2018,(6):5-9.
[15]王莉.大数据时代社交媒体“数据隐私”的合理使用——知情同意、未知情同意与参与式同意[J].编辑之友,2018,(1):36-39.
[16]姬蕾蕾.个人信息保护立法路径比较研究[J].图书馆建设,2017,(9):19-25.
[17]Cradock E,Millard D,Stalla-Bourdillon S.Investigating Similarity Between Privacy Policies of Social Networking Sites as a Precursor for Standardization[C]//Proceedings of the 24th International Conference on World Wide Web.Florence,Italy,May18-22,2015:283-289.
[18]杨翱宇.个人信息保护的特别机制研究——以澳门《个人资料保护法》为考察样本[J].图书馆,2018,(3):68-74.
[19]谢卫红,樊炳东,李忠顺,等.电子商务环境下网络隐私顾虑维度的评估与测量[J].现代情报,2019,39(1):137-147.
[20]Sunyaev A,Dehling T,Taylor P L,et al.Availability and Quality of Mobile Health App Privacy Policies[J].Journal of the American Medical Informatics Association,2015,22(1):28-33.
[21]付少雄,陈晓宇,仝晶晶,等.数字生活情境下的数据、信息和知识 ——第十九届“亚太数字图书馆国际会议”综述[J].图书馆论坛,2018,(1):144-154.
[22]易斌,刘颖,方锦平,等.电子资源供应商网站隐私 政策调查与思考[J].图书馆,2013,(5):52-54.
[23]何培育,王瀟睿.智能手机用户隐私安全保障机制研究——基于第三方应用程序 “隐私条款” 的分析[J].情报理论与实践,2018,41(10):40-46.
[24]谈咏梅,钱小平.我国网站隐私保护政策完善之建议[J].现代情报,2006,(1):215-217.
[25]宜春市政府信息公开网.《网络安全法》[EB/OL].http://xxgk.yichun.gov.cn/ycsjyj/xxgk/fgwj/201802/t20180226_535815.html,2018-12-25.
[26]White House of America.Consumer Privacy Bill of Rights[EB/OL].https://epic.org/privacy/white_house_consumer_privacy_.html,2019-01-25.
[27]付少雄,陈晓宇,赵海平,等.新加坡高校的科学数据管理实践体系[J].图书馆论坛,2019,(2):141-148.
[28]凯度.2018年凯度中国社交媒体影响报告[EB/OL].https://cn.kantar.com/媒体动态/社交/2018/2018年凯度中国社交媒体影响报告/,2019-01-05.
[29]赵蓉英,余波.网络信息安全研究进展与问题探析[J].现代情报,2018,38(11):118-124.
(责任编辑:孙国雷)
