董菲菲

摘 要 以微信的个人信息保护政策为研究对象，以个人信息保护相关的法律法规为评价依据，结合微信用户个人信息保护的实践，对微信用户个人信息保护情况进行分析与梳理。研究发现微信用户个人信息保护情况相对完善，且遵守相关法律法规的标准原则。然而，微信用户个人信息保护亦存在第三方服务授权模糊、政策落地实施困难的问题。研究认为明晰第三方授权服务的权责问题，对未成年个人信息保护在内的实践予以监督落实，构建行业性个人信息保护规范对建设更为完善的个人信息保护体系有重要意义。

关键词 个人信息保护；微信隐私政策；社交媒体

中图分类号 G2 文献标识码 A 文章编号 2096-0360（2021）21-0050-04

移动网络时代的到来，人们的个人信息成为越来越重要的数据资源。通过对个人信息的收集、利用，为用户提供相关服务来获取利益，这成为绝大多数公司的发展路径。联系当下频繁发生的个人信息泄露事件，让人不禁思考收集个人信息提供便利服务背后的个人信息保护问题。微信作为移动应用的代表，自2011年诞生以来，逐步成长为一款“国民级”应用。截至目前，微信用户月活超过10亿。当下，集支付功能、政务服务功能、接口功能等为一体的微信更接近社会底层架构的一部分，这意味着微信的个人信息安全问题不仅关系你我，更关乎社会利益。本文以微信制定的个人信息保护相关政策为主要分析文本，结合我国与个人信息保护相关的法律法规、标准办法等，对微信用户个人信息保护情况进行分析，对其个人信息保护情况进行主题上的梳理，从而了解微信在个人信息保护方面的标准化建设情况，为探讨当下个人信息保护体系提供借鉴与参考。

关于个人信息保护的问题，学界对此的讨论与研究不在少数。在传统的研究视角下，学者多从法律视角出发为个人信息确权，且与传统意义上的隐私权进行区分。在学界，关于个人信息的讨论有两种学说：一是人格权说；二是财产权说。人格权说更为通用的观点是具体人格权说，此学说认为应将个人信息作为直接人格权来保护。另有一种学说将个人信息视作财产权，这种学说的核心在于衡量信息控制者在采集、利用个人信息时所获取的商业利益的大小，且以此衡量个人信息的价值。刘德良认为个人信息财产权是主体对其个人信息的商业价值进行支配的一种新型财产权，它能且只能存在于对个人信息进行商业性使用的条件下[ 1 ]。

随着网络应用的兴起，尤其是移动互联网的发展，人们的生活越来越依赖于各式各样的网络应用，对于网络应用的个人信息保护成为新一轮的研究风向。邵国松等[ 2 ]研究发现我国大部分网站合规程度较低，不同类别的网站合规程度有所差异。范昊等[ 3 ]人认为政府层面亟需保障《信息安全技术 个人信息安全规范》等法律法规及相关规范的底层实施，企业层面需开展个人信息保护的内部制度化建设。唐远清、赖星星[4]对比分析Facebook与微信隐私政策文本的现状与不足，论述了如何完善社交媒体的隐私政策。李泽睿等[5]从企业全局性隐私政策视角与App隐私政策视角分析各政策内容中存在的优缺点。由此可见，当下学者对于移动应用个人信息保护情况的关注与研究不在少数。

微信作为一款重要的社交应用，亦被多数研究纳为研究对象。在唐远清、赖星星的研究中，微信的隐私政策更新及时，专业术语较少，便于用户理解。除此之外，微信对个人信息进行分级，对属于敏感信息的信息进行明示说明，且针对未成年人制定相应的隐私保护政策[4]。但在部分研究中，微信个人信息保护政策仍存在不足。李延舜[6]在研究中提到，隐私政策的合同属性应当让位于社会承诺属性。一方面是因为用户个人信息蕴含社会价值，隐私决策行为需符合公共利益；另一方面，隐私政策的社会承诺属性意味着深刻的个人信息保护理念的转变，数据保护规则“不是由个体决定的，而应当是由社会共同决定的。”这意味着对微信个人信息保护政策进行分析与梳理，对于社会利益而言意义重大。

本文以微信个人信息保护相关政策《微信软件许可及服务协议》《腾讯服务协议》《腾讯隐私政策》《微信隐私保护指引》《儿童隐私保护声明》为主要分析文本，其他拓展服务可能涉及到的协议如《QQ号码规则》《微信个人账号使用规范》《微信支付用户服务协议》等为补充内容，结合个人信息保护相关法律、法规、办法等来具体分析微信个人信息保护的情况。本文选择《中华人民共和国个人信息保护法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《中华人民共和国网络安全法》《中华人民共和国民法典》《中华人民共和国未成年人保护法》等作为主要法律依据。考虑到标准文件《信息安全技术 个人信息安全规范》对于规制企业在个人信息保护方面起着重要的参考作用，因此亦将其纳入参考范围。

结合以往研究与上述个人信息保护相关的法律法规情况，本文以《个人信息保护法》中的标准化隐私条款的规定为主要依据，将微信的个人信息保护政策进行主题分析上的分类，以个人信息采集与利用，Cookie相关技术说明，个人信息储存及保护，个人信息共享、转让与披露，个人信息处理权益，未成年个人信息保护[ 3 ]，联系与争议解决七个方面来对微信个人信息保护政策进行主题上的简单梳理，如表1所示。

4.1 个人信息采集与利用

微信在对用户个人信息采集与利用之时，采取《网络安全法》中的“明示同意”原则，即用户做出明示同意之后，微信才可对用户个人信息進行采集与利用。微信对个人信息、敏感信息进行概念上的界定，与《民法典》对此的界定保持一致。微信明确基础服务所需的数据种类，对手机号码等敏感信息的收集做出说明。微信在对个人信息收集做出说明之时，也明确个人信息收集的用途。微信对其他依法采集用户信息的情况予以说明，其多数是和国家安全与重大公共利益相关。微信在采集个人信息之时，明确信息采集基于《关于加强网络信息保护的决定》所规定的正当、合法、必要原则。《微信软件许可及服务协议》中提到保护用户个人信息是腾讯的一项基本原则，腾讯将会采取合理的措施保护用户的个人信息。除法律法规规定的情形外，未经用户许可腾讯不会向第三方公开、透露用户个人信息[7]。

4.2 Cookie相关技术说明

与微信个人信息保护直接相关的是《微信软件许可及服务协议》与《微信隐私保护指引》。在这两项政策中，对于Cookie相关技术并未有详细的说明。而在腾讯的隐私保护平台中的《腾讯隐私政策》对于Cookie相关技术做出简要的说明。就Cookie相关技术而言，更为详细的说明则要提到《Cookie政策说明》，其中对于Cookie进行定义，即Cookie是一种可让网站服务器将数据存储于客户端或从客户端中读取数据的中立技术，Cookie的内容通常经过加密。腾讯使用Cookie的目的在于对用户进行身份验证、提供用户的偏好设置、保障数据及服务的安全、提升功能与服务、提高服务效率。除此之外，Cookie也被用作分析与研究的工具、进行广告优化服务。除此之外，《Cookie政策》中“如何管理Cookie”的内容中对用户个人明确拒绝或禁止网络隐形追踪技术进行相关操作指引。

4.3 个人信息的储存及保护

对于个人信息的储存，微信主要从信息储存的地域、期限、物理媒介三个方面做出说明。就存储的地域来说，微信声明在境内收集的信息储存于中国境内。对于信息储存的期限为实现目的所必需的时间内保留，而关于所必需的期限并未明确说明。在关于个人信息保护方面，微信声明采用SSL（Secure Sockets Layer）等加密技术、匿名化处理等手段保护用户个人信息。除此之外，微信建立专门的管理制度、流程和组织以保障信息的安全。例如，微信严格限制访问信息的人员范围，且要求其遵守保密义务，并进行审计。以往研究表明，微信是少有的通过多项安全技术认定的移动应用。

4.4 个人信息共享、披露与转让

根据《个人信息安全规范》，互联网服务及产品在采集用户个人信息时，应通过各类方式向用户明示，并取得用户同意。《网络安全法》亦将明示同意原则作为企业获取用户个人信息之必须。微信明确在直接征得或确认第三方征得用户对其行为明示同意的情况下，才会共享或转让用户个人信息至腾讯集团外的第三方。用户在微信使用第三方服務时，微信声明用户需提前了解第三方服务相关的隐私政策。关于信息披露，微信声明告知用户信息公开披露的目的、类型及可能涉及的敏感信息，并征得用户的明示同意。在部分条件下，即使未得到用户明示同意，微信也有权对用户信息进行共享、披露与转让，微信对此进行详细说明，如与履行法律法规规定的义务相关、与国家安全、国防安全直接相关等。

4.5 个人信息处理权益

《网络安全法》规定公民对于个人信息有删除和更正的权利。在《微信隐私保护指引》中，微信说明用户具有访问、改正、移植、停用和删除个人信息的权益。微信通过操作指示对相关权益进行明确，如微信明确推荐通讯录朋友关闭操作为点击“我—设置—隐私—关闭向我推荐通讯录朋友”。关于注销账号后的信息处理问题，微信声明根据《网络安全法》等法律法规的要求留存用户的相关信息。在超出法定保存期限后，将删除或匿名化处理用户的个人信息，而对法定期限并未予以明确的说明。

4.6 未成年个人信息保护

《未成年人保护法》《儿童个人信息网络保护规定》对于未成年人的个人信息保护做出规定，其中《儿童个人信息网络保护规定》对法律适用范围、儿童年龄划分、监护人同意、企业法定义务、执法处罚等做出明确的特殊规定。对于14周岁以上18周岁以下的未成年，微信明确需事先取得家长或监护人的书面同意方可使用微信服务。针对14周岁以下的儿童，微信有专门制定的《儿童隐私保护声明》，其中声明14周岁以下的儿童需要和监护人一起仔细阅读本声明，并在征得监护人同意后方可使用其产品、服务或向微信提供信息。

4.7 联系与争议解决

《个人信息安全规范》明确表明为应对潜在的个人信息安全问题，个人信息保护相关政策需给出用户联系反馈的渠道。针对用户的投诉、建议及未成年个人信息相关问题，微信声明通过相关网站与其联系，并给出邮箱、办公地址、邮编等信息。关于审核所需时间，微信声明会在验证用户身份的十五天内予以回复。然而微信并未给出外部争议解决的机构及其联系方式。外部争议解决结构通常为公司所在管辖区域内的法院、行业协会等。

在结合与个人信息保护相关的法律法规等对微信个人信息保护相关政策进行主题上的梳理与分析发现，微信在个人信息保护政策的制定方面做得相对完善，且随着相关法律的完善进行补充与更新。然而，这并不意味着微信的个人信息保护政策及其落实绝对到位。在第三方服务的授权、政策的落实监督方面还需有进一步的提升。

细化第三方服务信息授权相关规定，进一步明晰权责关系。《微信软件许可及服务协议》规定用户在接受或使用第三方产品或服务前应充分了解第三方产品或服务的条款及政策。人们通过微信扫一扫、微信小程序等使用多种多样的第三方服务。多数情况下，用户使用第三方服务都需提供用户微信个人信息。对于第三方服务的隐私政策，用户往往没有过多了解。微信仅以此条款来规定与用户使用第三方服务的责任关系，过于简单。再者，在腾讯系产品的授权范围内，微信存在未经用户同意授权个人信息的情况。2020年7月30日，北京互联网法院对“黄女士与腾讯科技（北京）有限公司等网络侵权责任纠纷案”进行判决，法院认为腾讯公司未以合理的“透明度”告知原告并获得原告同意，具有过错，侵害了原告的个人信息权益[8]。这意味着在微信个人信息保护中，还需加强对腾讯系产品之间未经用户同意违规授权情况的监管。

加强对政策落地实施的监督，将政策的可操作性纳入考核标准。微信个人信息保护政策制定完善并不意味着微信在个人信息保护实践方面做得到位。就未成年个人信息保护而言，微信还有待进一步完善。微信针对未成年用户有特别提醒，针对14周岁以下用户制定《儿童隐私保护声明》。看似完备的未成年个人信息保护的协议实则存在着难以实施的问题。注册即“同意”的模式很难对注册是否得到监护人同意进行考证。2020年10月1日，微信青少年模式上线。青少年模式对部分微信功能进行限制，有助于家长对青少年沉迷手机的监管，这可视作微信对未成年个人信息保护的一种尝试。然而对于未成年人注册需获得监护人同意的问题，还需要进一步的关注与解决。

建立行业个人信息保护规范体系，作为相关法律法规的重要补充。当下，《中华人民共和国个人信息保护法》的起草、修订及公布引发新一轮对个人信息保护关注的热潮。与以往碎片化、不成体系的法律法规相比，《个人信息保护法》的审议修订以及出台为我国开展个人信息保护的司法实践提供强有力的借鉴，同时为企业进行个人信息保护政策的制定提供更明晰的指引。然而，法律的完备并不是解决个人信息保护的唯一良方。再者，个人信息保护取证困难的问题仍未有效解决。个人信息保护需寻求法律法规之外可行的解决方法。建设行业性个人信息保护规范体系，制定相应的行业参考标准，加强行业个人信息保护规范，培养行业个人信息保护共识，对于整个社会个人信息保护意识的提升有引领作用。

参考文献

[1]刘德良.个人信息的财产权保护[J].法学研究，2007（3）：80-91.

[2]邵国松，薛凡伟，郑一媛，等.我国网站个人信息保护水平研究：基于《网络安全法》对我国500家网站的实证分析[J].新闻记者，2018（3）：55-65.

[3]范昊，王贺，付少雄，等.国内外社交媒体个人信息保护政策研究及启示[J].现代情报，2019，39（10）：136-144.

[4]唐远清，赖星星.社交媒体隐私政策文本研究：基于Facebook与微信的对比分析[J].新闻与写作，2018（8）：31-37.

[5]李泽睿，田宇琛，张伟哲，等.中国移动应用隐私政策研究[J].网络空间安全，2020，11（6）：57-68.

[6]李延舜.我国移动应用软件隐私政策的合规审查及完善：基于49例隐私政策的文本考察[J].法商研究，2019，36（5）：26-39.

[7]腾讯.腾讯软件许可及服务协议[EB/OL].[2020-10-05]. https：//game.qq.com/contract_software.shtml.

[8]朱军彪.个人信息保护与隐私保护如何分界[J].保密工作，2020（9）：22-24.

1139501186382