马永保

(安徽医科大学 法学系, 安徽 合肥 230032)

一、问题的提出

社交媒体的出现极大程度上改变了人们的生活方式，特别是沟通与交流方法。用户能够使用社交媒体与世界相连，随时随地分享自己生活的多姿多彩。与此同时，人们也面临着的个人信息和隐私方面的风险和威胁。特别是伴随着数据挖掘、分析和营销等新技术的迅猛发展，人们对数据的收集、分析、使用能力不断增强，用户个人信息成为蕴藏无穷价值和潜在影响力的资源，个人信息数据交易成为重要的新型商业模式。社交媒体为了获取更多的商业利益，以手中掌握的海量用户个人信息为财富来源，从而导致用户个人信息泄露、滥用等问题成为全球关注焦点，引起用户的焦虑乃至恐慌，并成为用户使用社交媒体的重要障碍。2018年4月份爆发的全球知名社交媒体脸书的个人信息泄露丑闻就是代表性事件。

隐私政策的出现，正是这种新情况的一种应对之策。隐私政策(privacy policy)，也称隐私权政策、隐私申明、隐私权保护声明，它描述了社交媒体自身如何收集、处理、利用、分享和保护用户信息的情况[1]。公布隐私政策并有效执行，体现了社交媒体在提升保护个人信息透明度方面的积极努力，是消除用户隐私忧虑的有效做法之一，也受到立法机构的肯定和监管机构的认可，能够为社交媒体收集、使用用户个人信息提供正当性基础。社交媒体的隐私政策，也是用户了解其个人信息如何被收集、使用的单一的最重要的途径[2]。

公布隐私政策早已成为国内网络社交媒体的常规做法。监管机构、行业协会、新闻媒体也曾多次就网络平台的隐私保护开展过评价比较。结果显示，隐私政策文本的内容和执行效果方面都存在诸多问题。中国消费者保护协会在2018年6月启动了App信息收集与隐私政策测评活动[3]，并于当年11月28日公布了《100款App个人信息收集与隐私政策测评报告》。包含多家社交媒体在内的多款App都存在过度收集用户个人信息问题。从某种意义上说，隐私政策可能会成为社交媒体的麻醉剂，成为引诱用户主动提供个人信息的诱饵[4]。

本文选择微信、新浪微博、百度贴吧、豆瓣为研究对象，主要是考虑这几家社交媒体处于行业领导位置，市场份额大，企业规模庞大，隐私政策也相对比较成熟，能够代表整个行业在用户个人信息保护方面的最高水准。以这些平台的隐私政策作为研究对象，代表性强，也符合国内社交媒体发展的现实，研究结果更有意义。

二、社交媒体隐私政策文本分析

虽然用户大都比较关心自己的个人信息，但是因为社交媒体隐私政策大都文本冗长繁杂，内容权利义务不对称，严重影响了用户阅读了解的兴趣和对用户个人信息保护的效果，结果是“用户往往忽视其具体内容而直接点击已读同意的按钮”[5]，使隐私政策失去了本来的功能和应有的价值。域外的数据显示，74%的用户会跳过隐私政策，直接选择快速加入按钮[6]。

(一)个人敏感信息与个人一般信息未能区别保护

社交媒体的隐私政策在文本开始时大都区分了个人一般信息和个人敏感信息，强调敏感信息对用户的重大意义，以及泄露、非法提供或滥用会对用户造成的严重后果。因为敏感一词本质上用来度量“个人信息对信息主体造成伤害或影响的程度”[7]，以突显其对个人敏感性的重点关注。但是，并未在具体的权利、义务、责任中体现对敏感信息的特别重视，也没有采取特别措施予以重点保护。如《新浪微博个人信息保护政策(修订版)》中，个人敏感信息这一概念只出现过两次，且都在开始对个人敏感信息界定的段落，之后再也没有出现过。相比较而言，《微信隐私保护指引》在对待个人敏感信息方面表现较好，在提出敏感信息问题后，又在具体的情形中明确手机号码、声纹特征信息、地理位置信息、步数信息、通讯录信息等属于敏感信息。但也仅仅止步于此，并未进一步提出对敏感信息提供特殊保护的措施。《知乎隐私保护指引》的内容也类似，它采取一般界定与列举并行的方式诠释了个人敏感信息的含义。其中确定的个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信内容、健康生理信息等，与《微信隐私保护指引》的具体类型差异明显。不能实质上落实一般信息与敏感信息的区别，也就不能为敏感信息提供更加严密的保护，可能会造成的后果必然更加严重。

何为敏感信息？因敏感一词本身就较为宽泛，伸缩空间大，不容易准确划清范围，因而不能由社交媒体单方确定个人敏感信息的定义、筛选标准，社交媒体也无权单方指定敏感信息的具体范围。

(二)权利义务责任不对等，用户利益得不到实际有效维护

尽管隐私政策由社交媒体单方制作，但鉴于采用隐私政策的初衷乃是为了取得用户的认可，对双方权利义务的设定应该相对公允和对等。但实际情况却并非如此，各大社交媒体隐私政策中权利义务失衡现象比比皆是，且表现各异。

1.使用模糊用语，增加社交媒体权利空间，做出难以兑现和衡量的承诺

隐私政策本应通俗易读易懂，用户才可以清楚知道隐私政策的内涵，隐私政策的初衷才能实现。然而隐私政策中的很多内容用语模糊，这会摧毁网络用户隐私政策的目标和价值。没有清晰肯定的陈述，隐私政策实际上是没有任何意义的[8]。因为模糊用语赋予社交媒体广泛的自由处分的权力，失去了明确规范的约束，容易导致隐私政策的初衷无法实现。

《百度贴吧隐私政策》强调，“以业界成熟的安全标准和规范收集、使用、存储和传输用户信息”。何为业界成熟的安全标准和规范？语焉不详。什么样的安全标准和规范算是成熟的，谁才能代表业界呢？以上问题实际上都缺少明确的答案，给了社交媒体过大的回旋空间。

《新浪微博个人信息保护政策(修订版)》尽管一开始就言明“努力通过通俗的语言表述”，但落实到具体情形时，却多使用模糊用语。如其中关于个人信息存储期限的规定，使用的是模糊用语“实现目的所必需的时间”。它从社交媒体自身考虑，只要自身需要，就可以不设具体期限，甚至无期限地存储用户个人信息，完全不考虑用户本人的意愿。又如，明确承诺“没有经过明确同意，更新后版本不会削减用户的权利”，这样空泛的承诺，实在难以让人相信。

《微信隐私保护指引》约定的不需要经过用户授权就可以收集、使用用户个人信息的情形，包括很多情形，其中很多非常宽泛。有的是合理的，如与犯罪侦查、起诉、审判和判决执行等直接相关的，因为法律的执行对保护社交媒体信息隐私和安全是完全必要的[9]。也有明显不合理的，例如，“根据你要求签订和履行合同所必需的”，什么是“必需”的？“必需”的判断标准到底何在？“必需”的评价包含哪些要素呢？都是不确定的。社交媒体完全可以根据自己的意愿，不受任何限制、不经用户同意，随意去收集、使用用户个人信息。

《知乎隐私保护指引》中不需用户授权同意即可共享、转让、公开披露个人信息的具体情形同样模糊、宽泛。如“包括出于维护用户或其他个人的生命、财产等重大合法权益但又很难得到本人同意的”，这句话中多个概念缺少具体、确定的内涵和外延。“其他个人”是否可以包括任何自然人？“重大合法权益”到底有无一定的限制？何种情况属于“很难得到本人同意”？“很难”到底是难到什么程度？社交媒体到底做了哪些努力无法实现，才能被界定为很难？诸如此类，不一而足。

《豆瓣隐私政策》承诺会全力并按业界成熟的安全标准保护用户个人信息，“全力”“业界成熟的标准”都是模糊不清、不易界定的表述。是否全力保护用户个人信息，完全是主观的标准，且判断的主动权全部在社交媒体，用户无法有效判断豆瓣是否确实“全力”。至于业界成熟的安全标准本就是虚无缥缈的概念，业界是否有所谓成熟的安全标准本就存疑，豆瓣是否遵从这一标准，更是无从考证。

有时虽然对概念、用语进行了界定和解释说明，但解释本身模糊不清，并不能帮助用户形成清楚、明确的认知。解释没有实质性作用，仍然不能解决对社交媒体过度赋权的问题。《知乎隐私保护指引》中规定，社交媒体可以不经用户同意就将个人信息与关联公司和合作伙伴共享。其后又解释了关联公司的含义，强调关联公司之间控制、被控制的关系，并对控制进行了说明。但综合全部解释说明，用户仍然对知乎的关联公司到底包含哪些，没有具体的印象，《知乎隐私保护指引》也没有划定关联公司的具体界限，这会导致用户个人信息流动如脱缰野马般不可控，增加了隐私泄露、被滥用的可能性和空间。而合作伙伴范围极其广泛，并且随时可能增加，仅《知乎隐私保护指引》就列举了广告、分析服务类的授权合作伙伴，供应商、服务提供商和其他合作伙伴等多种类型。知乎等社交媒体发展迅猛，规模庞大，经营范围广泛，合作伙伴自然是数量庞大，可能获得共享个人信息的主体会以千万计，甚至更多。这些合作伙伴规模大小不一，对用户个人信息重视程度有别，其中可能会潜藏着不怀好意者。尽管隐私政策中一再承诺，保证会要求合作伙伴按照知乎的说明、指引，以及其他任何相关的保密和安全措施来处理用户的个人信息，且合作伙伴无权将共享的个人信息用于任何其他用途，但知乎如何能够保证其合作伙伴会严格遵守知乎的要求呢？用户又如何相信呢？尤其是分析服务类的授权合作伙伴，其合作的主要业务可能就是对用户个人信息在内的各种数据开展挖掘、分析、利用，对用户个人信息利用范围和深度都超出一般的合作单位，未经用户就共享个人信息的后果无法估量。用户个人信息还可能通过知乎合作伙伴流向其他主体，造成个人信息的彻底失控。

2.使用专业词汇，限制用户权利

社交媒体隐私政策中使用专业词汇，却不对这些词汇作出简明易懂的解释，导致用户不能准确理解其真实含义，这就赋予了社交媒体随意设定自己权利的机会和空间，导致社交媒体与用户之间权利与义务之间失去平衡。

《新浪微博个人信息保护政策(修订版)》有专门的部分涉及Cookie及web beacon，但没有说明什么是Cookie及web beacon。可能社交媒体认为，用户知道或者理应知道何为Cookie及web beacon，但Cookie及web beacon既是专业词汇，也是英文词汇，普通用户很难理解，对此不作说明和解释，用户不明白、不理解其含义，自然难以知晓自己面临的风险、可以享受的权利以及社交媒体应然的义务和责任，社交媒体也就可以随意而为了。实际上，Cookie和web beacon会动态地收集用户个人信息，“是隐私政策无法说明、无法预知的模糊地带”[10]。

与之类似的是，《微信隐私保护指引》使用的ISO27001、国际信息安全管理体系、TRUSTArc等术语，也没有详细说明，用户在阅读过程中可能会产生误解或者不当的联想。

3.使用复杂句式，暗藏不公平条款

社交媒体用户在文化程度、阅读能力方面差异很大，对隐私政策文本的认知能力自然也不同。但隐私政策中使用不少表述冗长、结构复杂的句式，加重用户的阅读负担。

《知乎隐私保护指引》中有不少复杂句式。有的并列内容多，诸如“包括但不限于”等表述。有的采取例外表述方式，列举了复杂的例外情形。有的转折部分复杂，一般用户难以读懂，如“此外，在您使用浏览和收藏功能的过程中，我们会自动收集您使用知乎的详细情况，并作为有关的网络日志保存，包括但不限于您输入的搜索关键词信息和点击的链接，您浏览和发布的内容及评论信息，您上传的图片信息、您的交易信息、您使用的语言、访问的日期和时间、及您请求的网页记录、操作系统、软件版本号、登录IP信息”，仅仅一句话，用了140多个汉字，信息十分丰富，对社交媒体的授权非常广泛，除非专业人士，一般用户根本不可能在有限的阅读时间内真正理解。

(三)强制用户接受，剥夺用户选择权

社交媒体隐私政策中多处使用用户不接受隐私政策、不提供个人信息，就不得、不能使用社交媒体这类表述。这种强制用户作出选择的做法，实际上并未给用户任何选择机会。《新浪微博个人信息保护政策(修订版)》中规定，用户不愿意提供个人信息的结果就是，“无法使用微博的全部或部分功能和服务，或无法获得更个性化的功能，或无法参加某些活动，或无法收到我们的通知等”。这几乎就是宣布用户根本无法实际使用新浪微博。最终，用户只能且必须按照微博的要求提供各种个人信息，没有任何商量的余地。《豆瓣隐私政策》也有类似规定。

有些情形下，用户接受了服务，不论用户此时真实意愿如何，都被社交媒体推定为同意提供个人信息。实际上，用户接受服务并不意味着就会意识到个人信息将被收集、加工、使用，更不意味着用户同意社交媒体对个人信息的收集、使用、共享等。用户接受社交媒体的服务，不能以无条件提供个人信息为代价，否则对用户是非常不公平的。因为个人信息特别是个人敏感信息，有不少是带有较强人身性的。如《豆瓣隐私政策》开篇即规定，一旦你开始使用豆瓣的各项服务，即表示你已充分理解并同意本政策。后面进一步推定，用户继续使用豆瓣，即意味着同意修订后的隐私政策，而不在乎用户是否了解隐私政策是否修改，修改的程度如何，修改了哪些内容，用户的权利义务发生了什么样的改变。《新浪微博个人信息保护政策(修订版)》规定，用户注册时即表示已默认知悉且同意新浪微博记录个人信息，至于用户是否实际知晓并且同意，并不重要。

三、社交媒体隐私政策优化的方向和路径

社交媒体隐私政策的规范，需要在促进社交媒体行业发展与保护用户个人信息之间协调和平衡。

(一)纠正、修正违法或不公正的内容

1.社交媒体应履行更多义务，承担更加积极的角色

隐私政策是用来对外公开宣示在保护用户个人信息方面的努力，以获取用户信任的。其主旨是设定社交平台收集、处理、分享用户个人信息的行为规范，而不是向用户宣示免责条款。社交媒体在草拟隐私政策过程中，必须以更多实在的权利吸引用户。

同时，社交媒体通过收集用户个人信息而占有海量的数据资源，是用户个人信息的掌握者、使用者和受益者。社交媒体因处理用户个人信息，掌握了用户的需求、癖好，实现了精准营销，因分享、出售个人信息而获取收益。既然社交媒体从用户那里获得了收益，就应承担保证其安全的义务。

为此，社交媒体应该转变角色，承担起更大责任、更多的义务，真正将自己定位为利害关系方，而非用户的对立面，应该倍加爱护用户个人信息，在真正保护用户个人信息的同时获取正当收益。

社交媒体为了维护能够决定自身发展前途命运的用户个人信息之安全和价值，应该加大投入，采取更先进的技术，维护信息存储系统的安全，保证信息利用流程的稳定。

2.限制用户个人信息被应用的场景

社交媒体用户提供的各种个人信息尤其是敏感个人信息被无限制地用于各种场景，违背了最小化、必要性原则。隐私政策中应当具体列明收集到的信息会被使用的具体场景和用途，不能直接规定社交媒体可以自主判断、自由决定，也不能使用模糊语句造成实质上的宽泛授权。

3.未经用户再次同意，社交媒体不得将用户个人信息与包括关联公司在内的第三方共享

用户在个人信息问题上授权社交媒体，是限于特定主体的具体授权，社交媒体无权将其扩张至第三方，包括其关联公司和合作伙伴。社交媒体在向任何一家包括关联公司、合作伙伴在内第三方分享用户个人信息时，应专门通知用户，并告知用户共享的主体、共享的范围、可能的后果等内容，由用户自主决定是否授权分享。

4.区分不同类型个人信息

在隐私政策的具体权利义务设定中区分一般个人信息与敏感个人信息。敏感个人信息不仅对用户重要，对社交平台来说价值更高。因此社交平台更愿意积极收集、处理、利用与分享，由此造成个人敏感信息被损害的可能性更大，后果更严重。

在信息收集时，对敏感信息的收集必须基于合法、明确和特定目的，禁止对特别重要的个人敏感信息进行随意采集、记录和存储。隐私政策中应列明必须经过用户特别逐一授权同意，并以粗体字、单独列举方式提醒用户特别关注，谨慎决定是否授权同意。在使用、分享、公开、披露、传播时，必须匿名化、假名化处理，避免用户信息被轻易识别，匿名化处理必须是不可逆的。要预防重新识别的风险，要保证不会在处理后与其他信息联系又被识别。判断标准为是否穷尽“合理方式”仍不可能进行识别[11]。当然，匿名化、假名化不等于用户可以随意向社交媒体平台提供虚假个人信息，因为社交媒体为了解决用户与社交媒体、第三方之间可能的争议，有权要求注册、登录、使用的用户提供真实信息[12]。

5.强化信息披露，民众行使知情权、监督权

社交媒体用户知识水平、认识能力毕竟有差异，不可能详细、充分地掌握个人信息保护方面的知识。社交媒体粗略地描述用户个人信息被收集使用的图景，用户并不能借助隐私政策具体、详细、清晰地了解自己的个人信息被收集、处理、使用、共享的路径，很难知晓它将给自身带来的影响。尽管几乎每一个社交媒体用户都曾或多或少受到垃圾广告、推销广告的骚扰，但用户并不知道自己在什么时间、地点被谁泄露了个人信息，更不知道信息泄露到何种程度，作了什么用途，会造成什么样的影响。

因此需要社交媒体以隐私政策为媒介，进一步详细披露对用户个人信息处理方法、应用场景，重点是披露对用户个人信息处理、使用、共享可能的后果，对用户的影响。隐私政策中信息披露用语要明白畅晓，应该以普通用户可以理解掌握作为衡量标准，以朴素的语言说明个人信息在社交媒体的流动路径，切忌花哨的词句。隐私政策的披露应该动态化，根据对信息的不断使用、合成以及分享情况，持续申明用户个人信息面临的风险。

(二)尊重用户的选择同意权

用户的授权同意是社交媒体对用户个人信息处分的前提和基础，用户的同意应当是简单、明了且自愿、直接的。

1.禁止强制同意，同意必须出于自愿

以用户放弃使用权作为威胁手段，强迫用户同意隐私政策内容，承担额外的义务和负担，反映出社交媒体在处理用户个人信息方面的随意和霸道。深究背后根源，还是立法的缺失和监管部门的执法不严和选择性执法。社交媒体既然通过改变用户的交流习惯、模式而获利，成为网络巨头或独角兽，就应当承担起作为大企业的社会责任。社交媒体，特别是行业领先者，其提供的服务依然具有公共服务的特色，应当履行强制缔约义务，不得随意为追逐自身利益而拒绝提供服务。应该考虑在立法中严禁社交媒体以同意提供个人信息作为享受服务的代价和条件，要求社交媒体研发更多的服务模式和样态，保证用户在不提供或者部分提供个人信息情况下仍然能够享受社交媒体服务。设定用户诸多权利的最终目的乃是为了保证用户能够控制其个人信息，进而通过控制自主决定衡量采集、使用或披露其个人信息的成本与收益。[13]

2.禁止推定同意，同意必须明示，更不能间接、推定

隐私政策中应删除使用社交媒体就意味着同意隐私政策的错误规定，因为推定的同意，不能排除推定本身可能是错误的，并未反映用户的真实意思。社交媒体获得的同意，应当是用户以直接、肯定、具体的意思表示做出的，不能含糊其词。同时，获取用户同意的意思表示必须具体、表述简单，因为内容翔实具体、表述亲切浅显的隐私政策更能吸引用户去阅读[14]，用户的同意才更有实际价值。

(三)以第三方认证机制督促隐私政策的完善和落实

行业认证是自律模式下最重要的做法之一。主要做法是网站申请，第三方认证机构考察检视网站在用户个人信息保护方面的做法决定是否予以认证。如果认证，则网站可以使用认证标志以提升其信誉，获得更多用户的认可。获得认证后，第三方认证机构会定期检查网站在隐私保护方面做法的持续性情况。有的第三方认证机构还提供用户与网站平台个人信息保护方面纠纷解决服务，网站必须无条件接受其处理结果，否则网站可能会被列入黑名单。当然，整个认证过程，第三方认证机构会收取一定的服务费用。由于认证是由独立第三方为网站背书，能够较大尺度提升网站在用户隐私保护方面的公信力和信誉，让用户有理由充分相信网站的个人信息保护水平达到了要求的高度，同时也能督促网站不断改进隐私政策，提高隐私政策保护水平，因而受到不少网站的欢迎，特别是各行业处于领先地位的大型网站，大都接受了认证服务。国外比较知名的隐私政策认证机构包括TrustArc(原来称TRUSTe)、BBB Online，都有一套相对成熟的做法，保证其认证的水平和公信力。认证标准如the U.S-E.U. Safe Harbor Agreement (SHA)，能够划定美国公司遵循确保符合严厉的欧盟信息隐私法的一整套信息隐私实践框架，也可以被公司用作表明信任的封条。[15]

当然，国外包括社交媒体在内，网站在隐私政策第三方认证方面也存在不少的问题，例如认证不够充分，覆盖面不够广泛等。域外调查显示，在调查的249份隐私政策中，只有27%实际上宣称遵守了至少十五个第三方标准其中之一[15]。

国内社交媒体隐私政策普遍缺少第三方认证，有的在隐私政策中根本就未提及第三方认证事宜，如《新浪微博个人信息保护政策(修订版)》《百度贴吧隐私政策》；有的社交媒体在隐私政策中陈述获得了相关认证，但鲜有获得独立第三方特别是知名独立第三方隐私保护认证的，如《知乎隐私保护指引》中只是提及与第三方测评机构建立了良好的协调沟通机制，并未明确获得第三方认证。仅有《微信隐私保护指引》清楚地表明隐私保护已经达到ISO27001、国际信息安全管理体系、TRUSTArc等要求的标准，并获得了认证，微信也在其隐私政策下方使用了TRUSTArc的认证标志。此外，用户对第三方认证知之甚少，不知晓第三方认证的作用和价值，从而并不看重和认可第三方认证的吸引力和公信力，导致社交媒体获得第三方认证的积极性并不高。

国内缺少权威性高、用户认可的个人信息保护第三方认证机构，也是造成第三方认证并不普遍的重要原因。现有的第三方认证机构，特别是影响力大的，都是域外的机构，国内并无权威的第三方个人信息保护认证机构，甚至是一般的都很少。因此，设立权威的第三方认证组织是紧迫的工作。第三方认证机构或为商业性质机构，或为非营利机构。从追求权威性、公正性角度来看，我国建立的第三方认证机构以非营利性为宜。由监管部门或者行业协会组织成立，专职从事隐私政策认证。不以营利为目的，不向被认证对象收取费用，消除利益冲突的可能性。

我国社交媒体第三方认证机构需要进一步做的工作主要是研制一套完整、系统的个人信息保护评价体系，审查检讨被认证网站是否达到要求的标准，并确保被认证网站在用户个人信息保护方面持续性地达到要求的水平。建立独特有效的追索权实现机制，第三方认证机构应该保证投诉、追索用户的诉求能够以简单、方便、快速的方式得以实现，获取用户的认可和信任。对第三方认证机构开展行之有效的监督，督促其履行持续监督社交媒体遵从认证标准。美国FTC就曾针对未能有效监督被认证企业提起三起诉讼[15]。

(四)法律责任

1.创设新型权利，为用户追究法律责任铺设根基

尽管每个人都清楚个人信息的重要性，但在现有的法律框架下，存在用户的个人信息究竟属于何种权利，权能包括哪些，权利的边界在何处，诸如此类问题。应当考虑在民法典或者专门的个人信息保护法中就个人信息、个人数据权利的性质、权利主体、权利客体、权利内容等方面进行规定，明确用户在社交媒体等平台中信息数据的归属、权利分配等问题，杜绝社交媒体对个人信息权的非法侵蚀。

2.在隐私政策中增加清晰表明责任的条款

信息安全保障责任。隐私政策中既要承诺采取的积极措施和技术手段，更加需要列明在各种情形下用户个人信息被窃取、被泄露等情况下，社交媒体应当承担责任的情形和具体责任形式。

社交媒体应该投保网络个人信息侵权损害责任保险、分散风险，防范大规模用户个人信息泄露后无力承担责任。投保费用应由社交媒体筹集并缴纳，因为风险主要是社交媒体收集、处理、利用程序中产生的，而这一过程也是社交媒体追逐利润的过程。

通过设立网络侵权损害救助基金等方式弥补责任保险的不足部分。基金主要来源于社交媒体利润，按照一定比例提取。在责任保险索赔后仍然得不到全部救济的情况下，用户可以申请救助基金获取救济资金支持。获得救济后，需要将索赔请求权转让给基金，由后者决定是否追偿。

3.完善用户维权追究责任的路径和程序

社交媒体隐私政策中缺乏对责任尤其是自身法律责任方面的内容。尽管社交媒体隐私政策中一再声明，会保障用户个人信息安全，会履行义务，积极保障用户的各项权利，但鲜有明确如果不履行隐私政策中设定的各项义务的后果和法律责任。用户个人信息被侵犯，能够获得的救济途径也单一且不利。如《百度贴吧隐私政策》给出的救济途径是通过用户隐私投诉平台联系，处理的期限是30天。用户可以与百度贴吧直接联系，具体途径是邮寄有关材料去公司法务部，要求提供的材料包括身份证明、有效联系方式和书面请求及相关证据，用户只有身份被确认后诉讼才会被处理。用户也可以在权利受损时提起民事诉讼，但必须选择百度贴吧所在地作为受诉法院。其他几家社交媒体对争议解决也有类似规定，《豆瓣隐私政策》的联系方式是电子邮件，回复时间是15天，起诉管辖法院也是豆瓣所在地。《微信隐私保护指引》告知的联系方式包括网站、电子邮箱和现实地址，答复期限为30日。《知乎隐私保护指引》告知了用户能够通过知乎官方帐号“知乎小管家”电子邮箱联系，回复期限是30日，起诉法院也是知乎所在地法院，同时用户还能够选择向有关部门反映，但有关部门究竟是哪个部门，并未明确。《新浪微博个人信息保护政策(修订版)》仅涉及网站、电子邮件和现实地址通知，答复期为30天，并未涉及如何诉讼以及诉讼管辖法院的选定问题。

为解决用户维权难问题，需要发展网络救济机构，建立网上投诉中心，处理侵犯用户个人信息受害投诉；建立网上调解机构，协调用户与社交平台的争议；创设在线网上仲裁机构，强制双方发生争议必须选择仲裁，为用户提供具有法律效力的仲裁救济；构建网络简易诉讼制度，缩短审理期限，建立一审终审、巡回法庭办案等制度。