隐私政策对个人信息的保护研究
2023-03-11付翠英
龚 淋 付翠英
(北京航空航天大学 法学院,北京 100083)
隐私政策(privacy policy)指的是互联网企业(以下简称“企业”)就其如何处理用户个人信息所作出的书面声明、陈述、允诺或者保证[1]。值得注意的是,尽管在我国,《民法典》《个人信息保护法》《网络安全法》等法律中并无“隐私政策”一词,而是使用了“处理信息的规则”、“个人信息处理规则”以及“收集、使用规则”的概念①例如《民法典》第1 035 条第1 款、《个人信息保护法》第17 条第3 款以及《网络安全法》第41 条之相关规定。。但实践中,互联网企业因为用户往往遍布全球,不受物理空间的限制,其仍然遵循国际普遍通行的做法,即采用“隐私政策”的概念描述。鉴于此,本文也主要聚焦“隐私政策”一词进行论述。
根据隐私政策的概念,其所发挥的制度功能是双向的,一方面,企业通过在其网站上发布隐私政策,来披露其将如何收集、使用、保留和管理用户的个人身份信息(personally identifiable information,PII),从而提高网站信息实践的透明度;另一方面,用户通过同意企业制定的隐私政策而享受其提供的产品和在线服务[2]。在理论上,隐私政策为用户提供了一个网站信息实践的通知,基于该通知,用户可以根据其个人隐私偏好,选择是否使用网站或在线服务,这种模式被称为“通知与选择”(notice and choice)模式[3]。当前,随着互联网经济的发展,“通知与选择”模式已经成为包括我国在内的大部分国家保护用户在线隐私的首选方法,例如腾讯网、新浪微博、Facebook 等[4]。
以“通知与选择”为核心的企业隐私政策,其最大的功能和目的在于通过赋予个人极大的自主决策权,从而有效维护个人的信息隐私[5]。首先,经过适当的通知,个人可以根据企业所陈述的信息实践来比较服务,并可以根据这些实践来确定符合自身隐私偏好的企业,并选择与之服务交易,例如一个有隐私意识的消费者可能会选择与一家承诺不与第三方分享其信息的企业,而不是一家不做出这样承诺的企业。其次,个人隐私偏好各不相同,基于“通知与选择”模式,不重视隐私的个人能够将隐私换取他们更重视的商品或信息,比如免费服务等。最后,个人同意的行为将产生企业所披露的信息实践合法化的重要影响,毕竟想要引起政策所带来的影响,归根到底在于个人,而不是企业。
尽管隐私政策作为一种个人信息的保护模式而存在,但是在实践中,隐私政策本身存在诸多桎梏,从而导致用户的在线隐私并没有得到预期的保护。例如隐私政策的语言表述通常具有很强的模糊性,在实践中执行也具有很大的争议性等。因此,有必要对隐私政策进行系统性的规范,使其能够充分发挥个人信息保护功能的同时,也进一步加强我国互联网的安全治理。
一、隐私政策保护个人信息面临的现实困境
隐私政策作为公平信息实践的产物,在理论上,似乎是一个由企业制定的能够有效保护个人在线隐私的健全的监管机制。但现实生活中,隐私政策并没有被真正对待和制定,其本身存在的桎梏使得用户的个人信息难以得到充分且有效的保护。
(一)语言描述的模糊性:增加个人阅读理解的成本
近年来,国内外研究隐私政策语言特点的学者越来越多,总结隐私政策的语言陈述,有如下特点:(1)大多使用样板段落;(2)存在不必要的法律专业术语,如“迄今为止”“个人身份信息”“非关联第三方”“Cookie 技术”“网络信标”“间谍软件/广告软件”等;(3)以复杂的方式呈现相当简单的PII概念;(4)其他造成隐私政策不可读性的问题,如不显眼的链接和小字体等[6]。在这四种特点中,隐私政策语言陈述的模糊性已经成为不可忽视的重要问题。一般来说,当一个陈述不完整且缺少相关信息,或者一个词、一个短语有不止一种解释的可能性,而读者并不确定作者打算进行何种解释时,就会出现含糊不清。同样,当网站隐私政策使用模糊或模棱两可的术语时,就会稀释政策所描述的网站真实的实践能力[7]。
现实中,隐私政策通常使用模糊的语言来描述数据处理活动的网站实践,如收集、使用等,从而破坏了网站隐私政策的目的和价值[8]。以我国美团①详见美团隐私政策:https://rules-center.meituan.com/rules-detail/2。、淘宝②详见淘宝网隐私权政策:https://terms.alicdn.com/legal-agreement/terms/suit_bu1_taobao/suit_bu1_taobao201703241622_61002.html。、知乎③详见知乎隐私政策:https://www.zhihu.com/term/old-privacy。等知名互联网企业之隐私政策的语言描述为例,其在关于“收集”个人信息的描述中,三个企业都采用了用户和企业交互有利的语言描述,反而忽略了对何种情况应该收集、何种情况不需要收集、收集的个人信息去向等问题作出规定。此外,在关于“使用”个人信息中,三个企业的陈述都没有对“必须”一词所适用的具体环境条件作出解释,其中“发现、处置产品及/或服务的故障”也只是一个高度抽象概括的陈述,且因为用户没有专业的知识技能,企业享有更宽泛的解释权。毕竟这种不确定的声明,也将允许进行可能不真实的解释,从而给用户一种虚假的隐私保护感[9]。
针对此类现象,我国《个人信息保护法》第17条虽然也规定了个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知,但其更多的是对告知的内容作出了具体要求,对语言的要求只是简单略过的。此外,为了规范网络数据处理活动,国家互联网信息办公室发布的《网络数据安全管理条例(征求意见稿)》中第21 条第1 款要求个人信息处理者应当按照服务类型分别向个人申请处理个人信息的同意,不得使用概括性条款取得同意。该规定中“不得使用概括性条款”的表述虽然也是对语言陈述作出了要求,但还留有进一步解释的空间,规定得太过宽泛。
因此,由于隐私政策的长度、复杂性和不可理解,使得用户想要真正阅读并理解它们时,会花费相当大的时间和精力。也因此,隐私政策虽然来源于公平的信息实践,为维护在线用户的隐私而制定,但实际上用户的隐私安全仍然面临着的极大的威胁。
(二)版本修订的矛盾性:个人知情权受损
实践中,企业的隐私政策因为不断修订而存在多个不同的版本,从而会产生用户适用的矛盾。仍然以美团、淘宝和知乎的隐私政策的修订来进行说明。在这三个网站企业关于隐私政策的修订描述中,存在两个问题:一是都强调不会削减用户按照本指引或本政策所享有的权利,对增加用户的义务或者使用户的信息隐私面临更大的侵害风险却并没有提及;二是都强调会更新修订后的隐私政策版本,但是将用户继续使用该网站的服务作为默示同意,而不进行明确的告知。
在我国现有法律框架下,针对隐私政策版本修订后出现的上述问题,或可通过以下两种途径解决:一是当修订后的隐私政策中存在不合理地免除或者减轻网络服务提供者的责任、加重用户的责任、限制或排除用户的主要权利之情形时,根据《民法典》第496 条至498 条关于格式条款的规定加以调整,判定这些条款无效;二是根据《个人信息保护法》第23 条的相关规定要求企业在修订隐私政策后,重新征得个人的同意。但必须说明的是,以上两种解决办法都存在适用的难题:前者适用的前提是必须证成隐私政策具有合同属性,但目前学理以及实践中对隐私政策的法律定性尚未形成共识;而后者涉及的条款只明确了个人信息处理者向其他个人信息接收方提供其处理个人信息的,接收方变更原先处理目的、处理方式的,才需要重新取得个人同意,对企业在隐私政策版本修行后是否需要再次征求用户的同意却并没有提及。
实务中,用户一般很少去关注企业隐私政策的修改,在前后版本不一致的情况下,企业往往会通过默示同意规则来作解释和辩论。例如电商Quirky①In re Quirky,Inc.,No.15-12 596 (Bankr.S.D.N.Y Oct.27,2015)。自2009 年创立之初,其隐私政策就明确表示禁止PII 的出售。然而在2011 年,其隐私政策变更,允许本公司在业务出售或重组中出售个人信息。其中,该公司对出售个人信息所辩称的合理性依据就在于用户已经通过继续使用网站产品或享受服务来默示同意了其修改后的版本。
隐私政策的修改始终是可能的,企业有权根据自身运营的发展作出有利的抉择,且企业本身也继续保留在不另行任何通知的情况下修改其隐私条款的权利。但因为前后版本的不一致,以及企业默示同意规则的滥用,修改后的隐私政策可能已经不再符合消费者和用户的合理预期,从而间接损害了用户的知情权和信息隐私利益[10]。
(三)执行的争议性:个人权利救济机制的缺位
自隐私政策诞生以来,我国便有学者运用合同法的相关理论来论证隐私政策的可执行性。具体而言,他们认为隐私政策属于格式合同,即网络服务提供者通过制定隐私政策不仅要履行法定的告知义务,且该隐私政策经由个人的同意在双方之间形成了个人信息处理的合同关系[11]。此时,只需要适用《民法典·合同编》的相关规范即可。
然而有部分学者从隐私政策本身的构成形式出发持反对态度。他们认为构成隐私政策本身的协议形式通常被认为是Browsewrap 协议,而该协议一般可以在企业的一个单独网页上看到,也可以通过主网页上的超链接进行访问,包括查看和阅读该条款。正因为Browsewrap 协议不要求用户采取一个“积极行为”(例如点击)来肯定同意这些条款,因此在 Browsewrap 协议的上下文中很难确定合同形成的传统原则所要求的准确同意时间,此种情况下难以认定其具备强制执行的效力[12]。故而,这些学者并不承认隐私政策对一方或另一方具有约束力,他们强调,隐私政策是政策的一般性声明,而不是可执行的合同[13]。
此外,还有学者认为企业通过隐私政策将自身的个人信息保护实践公诸于众,同时也为行政机关提供了规制依据,进而形成了企业自我规制和政府规制的互动[14]。因此,从这个意义上,隐私政策并不构成合同,其本质是一种市场自律规则(market selfregulation),网络服务提供者违反隐私政策时,行政机关有权对其进行处罚。
综上,有鉴于学理上对隐私政策的属性难以形成共识,这就导致了实践中一旦企业违反隐私政策,用户却没有更加适合的途径进行维权,隐私政策的执行问题还有待于进一步规范和完善。
二、隐私政策个人信息保护的目标:满足用户合理隐私期待
如前述,企业隐私政策在实践中并没有充分发挥保护用户在线隐私的制度功能。因此,有必要系统构建起隐私政策保护个人信息的具体路径。然而,具体路径的选择和构建并不是一蹴而就的,需要有一定的目标指引,即隐私政策符合用户合理的隐私期待时,便能实现对个人信息的保护。那么这里需要解决两个问题:第一,个人信息与隐私的关系是什么?如果不能证明隐私政策所保护的在线个人信息也有隐私成分,就不能认为隐私政策必须满足用户合理的隐私期待。第二,衡量用户具有合理的隐私期待的要素有哪些?或者说隐私政策应如何在“合理”的基础上满足用户对隐私的期待。
(一)个人信息与隐私的关系
随着人们对隐私保护程度的加深,学理上在界定隐私概念的范围时也作出了相应的改变,不断将其予以扩张。“隐私”一词传达着多方面的内容,根据适用语境以及具体情形的不同,可以分为三类:第一类是空间隐私,主要涉及物理场所,即个人的独处空间在多大程度上免受其他物体或信号的入侵;第二类是选择隐私,指的是个人在不受干扰的情况下作出某些重大决定的能力,这种隐私的概念不太涉及维持空间界限,而更多地涉及一个人在不受国家干预的情况下作出自我定义选择的自由;第三类则是以数字经济发展为契机而衍生出的信息隐私,其指向一个人对涉及自身所有个人信息的控制权,在实践中通常体现为对个人信息在获取、披露和使用上的控制,从而达到个人信息能够在个人有意志的条件下被个人处理的目的[15]。
由此可知,隐私的概念是宽泛的,也包含着以信息为表现形式的隐私。此外,从信息隐私的定义来看,其核心组成部分是“个人信息”一词。正如国外学者所描述的,“信息隐私展现了信息与人之间的关系,即信息无论是敏感的还是琐碎的,都可以某种方式识别到个人”[16]。因此,在这个意义上,我们可以认为,满足用户的合理隐私期待至少也能在一定程度上属于隐私政策的应有之义。
(二)满足用户合理的隐私期待的要素
虽然个人信息也属于用户的隐私内容,但隐私政策如何才能满足用户合理的隐私期待,进而保护个人信息呢?在这个问题上,合理隐私期待理论可以为我们提供一些思考。合理隐私期待理论指的是政府执法人员不能对公民在主观上具有隐私期待的场所或者物品施行搜查或者扣押[17]。然而合理隐私期待理论发展至今,其已经不仅仅适用于约束公权力对公民隐私权的侵害,也适用于对平等主体之间侵犯隐私权的认定[18]。例如,国外有学者指出,合理隐私理论在认定侵权的边界这个方面有重要的作用,因而其同样可以适用于私法领域,即平等主体之间在不同场景中处理个人信息的行为,当然,前提是这种个人信息的处理行为应当且必须是在当时情况下能被认为的“合理期待”的行为[19]。
既然合理隐私期待理论可以用来认定侵权的边界,这就意味着隐私政策若以该理论作为保护个人信息的基本目标,一方面可以将用户的信息隐私限定在一个安全的保护范围内;另一方面也能让企业有一个矫正隐私政策的基准,从而有利于双方利益的平衡。
因此,一种可能的思路是,采用合理隐私期待理论中的构成要素来作为隐私政策满足用户合理的隐私期待的条件。实践中,考虑到合理隐私期待理论本身可能存在滥用的风险,因此其构成条件是较为严苛的,需要同时满足主客观要素才能对其加以认定。其中,主观要素指向行为人本身在主观上应当且必须存在隐私期待;而客观要素则主要从社会角度来对行为人的隐私期待作出评价,即是否满足合理的条件[20]。有必要说明的是,在隐私政策保护个人信息时,需要在这些主客观因素上进行反推,即从企业制定的角度来重构一个隐私政策的基准,反推出用户正是基于该规范后的隐私政策,从而满足了自身的合理隐私期待。
1. 主观要素
目前学理上以及实务中对衡量行为人在主观上具有隐私合理期待的标准,主要是通过披露三要素来推导的,其分别是信息的披露、风险的披露以及范围的披露[21]。首先,信息的披露,指的是当第三方或者外界很难预见或者知晓被披露的信息内容时,则行为人对隐私期待的程度就会变高,毕竟被严格保护起来的信息让人更加具有隐私安全感。因此,在这个方面,应当要求隐私政策严格限制向第三方共享或者转让用户的个人信息,例如规定只有在个别特殊的情况下才能共享或者转让用户的个人信息等等,从而降低外界能够预见且知晓用户个人信息的可能性。其次,风险的披露,指的是如果行为人在网络空间中对自己信息的保护极其关注,甚至通过各种技术手段层层加密来降低自己信息被披露的风险,那么可以认为行为人对私人信息具有充分的隐私期待。在这个要素上,就要求隐私政策要以明显的形式发布,时时提醒用户在使用网站的时候关注隐私政策的具体内容。从而使用户能够在使用网站时感受到自己的隐私处处被加以关注着,进而产生设防的心理,增加对隐私保护的合理期待。最后,范围的披露,指的是如果行为人在一定情况下需要向外界披露个人信息,其披露的越少越谨慎,就说明行为人对隐私期待的程度越高。在这个条件下,应当要求隐私政策严格限制对用户个人信息的披露。
之所以要通过上述披露三要素来认定行为人在主观上存在合理的隐私期待,主要原因在于数字经济的发展削弱了人们对个人隐私的控制权。在过去,人们完全可以将对个人信息的控制建立在自由意志之上,从而决定信息的获取、披露、使用等。然而在数字社会,人们对个人信息的控制有时已经不以人的意志为转移,甚至一度出现失控的局面,从而导致个人隐私权受到极大损害。在披露三要素下,以满足用户合理隐私期待的主观标准来作为隐私政策规范的基准,为个人信息的保护提供了更多可能。
2. 客观要素
(二)临诊症状和病理学诊断 急性病猪出现高热、严重的呼吸困难、咳嗽、拒食、死亡突然,死亡率高。死后剖检病变主要局限于胸腔,可见肺脏和胸膜有特征性的纤维素性和坏死性出血性肺炎、纤维素性胸膜炎。
不同于主观因素要求从行为人视角来界定隐私期待的合理性,客观因素要求从社会方面来认定个人隐私期待的可接受性,即合理性。
在大部分情况下,行为人要求隐私权保护的事项可能并不涵盖在“合理隐私期待”的标准中,即处于一个尚未规定的情况下。此时,仅仅依靠行为人在主观上认为对该事项有隐私期待是不充分的,还必须根据客观标准,以当下社会公众的可接受性程度来判断行为人对该事项是否具有隐私期待。在这个因素上,我们要考虑的问题是如何才能让隐私政策展现出一个让社会公众能普遍认同且接受的社会事实,从而让用户产生合理的隐私期待呢?这就需要隐私政策的外部彰显,即意味着当企业违背了隐私政策时,社会上存在一套可执行的机制可以对该企业予以惩罚和处置。那么基于这一套完备的隐私政策可执行机制,我们可以认为,用户对规范后的隐私政策能够产生合理的隐私期待。
综上,从主客观要素规范隐私政策实际上也解决了前述其在保护个人信息时面临的现实困境。然而即便明确了问题之所在,但对隐私政策的规范程度、范围,仍然需要有一定的基本目标作为指引。个人信息作为信息隐私的重要组成部分,隐私政策在对其进行保护时,应当以满足用户信息隐私的合理期待为标准,从主客观方面构建一个有效隐私政策的基准,从而更好地实现隐私政策对个人信息的保护功能。
三、隐私政策个人信息保护的具体路径构建
如前述,隐私政策保护个人信息需要以满足用户合理隐私期待为基本目标,并在该目标指引下,进一步结合以我国《个人信息保护法》为主的相关法律的规定,构建隐私政策个人信息保护的具体路径。
(一)制定语言标准化、内容多层次的隐私政策
一个成功的隐私政策取决于用户理解和分析隐私政策的程度。如果用户不能在多种隐私政策之间相互比较,他们将无法实现他们的偏好。然而如前述,隐私政策通常使用多数用户不熟悉且学理上未定义的术语或法律概念,使声明变得冗长、复杂、难以理解。正如丹尼尔·索洛夫[22]所说:“欺诈政策往往是自我放纵的,做出模糊的承诺,比如公司会小心数据、会尊重隐私等等。”正是隐私政策在语言表述上的问题,使得政策内容变得模糊不清,从而增加了用户对其进行分析和选择的成本。
企业隐私政策最大的作用就是保护用户的在线隐私,如欧盟的《一般数据保护条例》(General Data Protection Regulation,GDPR)和美国《加州消费者隐私法案》(California Consumer Privacy Act,CCPA),都试图提高用户隐私保护水平。首先,GDPR 和CCPA 都肯定了个人的隐私权,如GDPR第15 条规定的访问权和第17 条规定的被遗忘权,CCPA 第4 节规定的在企业拟出售个人信息时,用户享有的选择退出权等;其次,GDPR 和CCPA 两大新的隐私法还对披露施加了透明度要求,例如GDPR 第12 条要求数据收集和信息使用采取简洁、透明、平白等方便用户易于理解和访问的语言描述;而CCPA 第10 节的规定也要求隐私声明应该在为用户提供有意义理解的基础上收集信息。然而,国外学者通过对GDPR 出台前后的隐私政策的语言表述研究发现,虽然为了使用户更容易理解,而增加了语言描述的长度,但是总体来说隐私政策仍然是在高阅读水平之上编写的,且长度的增加也没能改善句子结构复杂性[23]。因而,有必要从语言表述的角度出发,制定一个语言清晰度高、内容多层次的隐私政策。
如果隐私政策要以一种有意义的方式来描述数据实践,那么语言的清晰性是一个关键特征。近年来,越来越多的学者主要从政策工具上考量,通过一些技术性措施提高隐私政策的用语规范。例如建立一个能够很容易评估大量隐私政策语言表述存在模糊性的技术机制(如开发智能APP)、制定语言学上的指导方针,以便起草者有一个框架来减少政策中的模糊性等[24]。但这些方案只是辅助性的措施,其结果是用户在面对难以理解的隐私政策的同时,还要掌握和使用一些技能,进一步加重了用户的负担。
事实上,仅仅只需要在一开始就对隐私政策语言描述本身进行有针对性的改善。提高语言的透明度主要包括两个方面:首先,所有隐私政策必须使用纯中文起草。一方面,用简单中文所描述的隐私政策避免了许多互联网相关法律文件的技术用语和法律术语;另一方面,简单的中文还应该要求句子简短、每句话只处理一个特定的问题、只使用活跃度较高的的日常词汇并避免专业术语等等,从而使得即便是一个仅接受过中学教育的互联网用户,也能够通过一次性阅读便能较为清楚和彻底地理解每一节。其次,所有隐私政策必须以清晰和明显的方式发布。实践中,人们总是会对与自己利益相关的人或事物感兴趣,且愿意付出更多的注意力。因此,可以要求隐私政策通过名为“你的隐私”的超链接来表示,该链接位于网站主页和该企业收集PII 的所有其他网页上。当然,为了凸显这个超链接的重要性以及与其他内容相分开,超链接使用的文本风格和字体大小必须不同于同一页面上的其他超链接。
2. 发布多层次内容的隐私政策
隐私政策的未来在于一个多层次的通知格式,而不是一个冗长而复杂的文件。事实上,早在2004年3 月,23 名国际隐私官员和专家召开了一次隐私政策研讨会,并制作了一份文件,呼吁在国际上采用多层次的隐私政策格式[25]。这种多层次格式要求创建三种特定情况的隐私政策文件:第一层,当企业需要在非常有限的空间下收集PII 时,例如手机或ATM 屏幕,此时虽然必须出现一个简短的隐私声明描述,但只需要包括以下七个公平信息实践的部分即可:(1)收集的个人信息类型;(2)个人信息的使用;(3)同意选项;(4)安全;(5)访问/更改/删除个人信息;(6)隐私政策的更改;(7)其他重要信息[26]。第二层,则是关于隐私政策的标准化模板,要求必须刚刚包含以上七种公平信息实践的信息。第三层,在包括以上全部公平信息实践的同时,还必须列出相关联系信息或政策生效日期。
目前我国很多企业的隐私政策都没有完全涵盖以上七种公平信息的实践。之所以要将这七种实践组成一个模板,主要目的在于可以让用户开始习惯于看到和理解这些标准化政策,并随着时间的推移,理解对隐私的影响。从隐私的角度来看,真正的目标是让用户能够对他们的信息隐私做出更好的明智的决定。
总体而言,一个标准化的隐私政策可以为用户提供更多的选择,同时也有助于企业在和对手网站竞争时取得有利地位。实践中,虽然一些网站企业可能会选择通过采用较低的隐私水平和出售用户的信息来赚钱,但另一方面网站可能会试图通过展示更高隐私级别的标志来吸引更多的用户。从这两个方面中,用户将能够更好地满足他们的隐私偏好。
此外,如前述,隐私政策在实践中还存在版本修订的不一致而导致的适用问题。事实上,这个问题的产生主要还是来源于在线企业在一开始就没有对隐私政策的描述进行全面的考量,存在语言上的漏洞。现实中,企业隐私政策的修改无非是扩大或者缩小对消费者信息的保护,当然,实践中主要是后者。企业作为重要的市场主体,有权根据自身的发展制定对自己有利益企业政策,因此应该允许企业有修改的权利。但是,必须要说明的是,用户只服从他们所同意的隐私政策。即便允许企业可以修改隐私政策,但是如果用户没有明示地或默示地同意后一版本的隐私政策,则用户只受其同意授权的隐私政策约束。当然,这里的默示同意不能直接通过用户继续使用该网站的服务来认定,而应该首先由企业向用户进行明确的告知后,用户在一定期限内未予反馈,且仍然继续使用时,企业才能认定为默示同意,否则就可能造成默示同意规则的滥用。另外,若企业因为隐私政策版本修订而损害用户个人信息权益时,其在诉讼程序中还应该对用户已经明示或者默示同意进行举证。
(二)建立隐私政策保护个人信息的可执行机制
实践中,当企业违反其隐私政策时,也应该具备可执行性。在美国,企业在违反隐私政策的情况下,一般有三种方式来执行隐私政策。
首先是联邦贸易委员会的执法。美国《联邦贸易委员会法》(Federal Trade Commission Act)第5 条授予了联邦贸易委员会(Federal Trade Commission,FTC)能够执行企业在其隐私政策中做出的承诺的权利①Federal Trade Commission Act,15 U.S.C.§45 (2012)。。根据该条款,FTC 自1999 年以来提起了诸多起涉及企业违反隐私政策承诺的案件,主要类型包括企业的数据安全承诺没有得到实施或监控不当、未经授权散发儿童的PII、在破产期间出售客户的PII 以及隐私政策前后版本不一致等[27]。其次是州检察长的执法。该执法行动通常是根据州不公平和欺骗性的实践法规提起的,这些实践法规有时被称为“小联邦贸易委员会法案”[28]。例如在2003年,纽约总检察长 Elliot Spitzer 对 Netscape Communications 提起诉讼,指控该企业通过其“智能下载”功能收集了某些 PII,违反了其隐私政策承诺等等[29]。最后是企业的行业自律。企业可自愿参与某种形式的自我监管,如订阅某些隐私技术或同意遵守第三方自我监管制度等等。其中,隐私偏好平台(Platform for Privacy Preferences,P3P)是一种为监控网站隐私而创建的软件技术②使用P3P,用户通过回答P3P 程序创建的几个多项选择题,向浏览器中输入特定的隐私首选项。在请求特定的网站时,用户的浏览器会以电子方式将这些首选项转换为机器可读的格式,并将这些首选项传达给网站。当浏览器遇到具有不符合访问者隐私标准的隐私策略的网站时,浏览器会通知访问者,然后访问者可能会选择是否继续并开始浏览该网站。。开发这项技术的目的是为了让用户在他们访问的网站收集PII 之前更有效地交流他们的隐私偏好。
综上,美国在隐私政策的执行方面形成了以FTC 执法为主,州检察长的执法以及企业行业自律为辅的模式。美国在隐私政策执法方面的实践为我们在构建本土化的隐私政策可执行机制上提供了两个新的思路:首先,是否明确隐私政策的法律属性并不影响其可执行机制的建立。在美国,隐私政策的法律性质仍然是一个还具有争议的方面,但是却并未成为其执行的阻碍。当然,一般情况下,只要明晰了隐私政策的法律属性,就能依据其性质而适用相关的执行规则。例如,如果将隐私政策明确为合同,那么就自然产生违约责任。但必须要说明的是,以Browsewrap 协议存在的隐私政策,其法律性质一直存在争议,尚未形成共识。不能因为这个原因,就让其在执行方面处于空白状态。其次,隐私政策可执行机制的建立应该更多依赖于国内法的规定并予以推导,依据现行国内法规则如果已经能够解决的,尽量将其置于现行有效法律框架下予以执行。比如FTC 对隐私政策的执行也是从其现行相关的法律规定中推导的。
基于此,目前我们国家关于隐私政策的执行,也可以从《个人信息保护法》中进行推导和衍生。其中主要包括以下几个方面:
1. 执行的机构
我国《个人信息保护法》第60 条明确设置了履行个人信息保护职责的部门,例如国家网信部门等。因此,这些为履行个人信息保护职责的部门可以作为隐私政策的执行部门。当这些部门发现企业违背其隐私政策而处理个人信息时,可以根据第64 条的规定通过以下两种方式分别处理:一是按照规定的权限和程序对企业的法定代表人或者主要负责人进行约谈,要求他们立刻采取相关措施进行整改,消除隐患;二是当企业辩称自己没有违背隐私政策而处理个人信息时,这些部门可以要求他们委托专业机构对个人信息处理活动进行合规审计。
2. 投诉的主体
除了上述有关部门可以自己主动发现以外,第65 条还进一步规定任何组织或者个人在发现企业存在违法处理个人信息的行为时,都可以向履行个人信息保护职责的部门进行投诉或者举报。但必须注意的是,第65 条所规定的主体只能投诉或举报任何违反隐私政策条款的企业,但没有私人行动权。
3. 执行的程序
履行个人信息保护职责的部门可以按照第61 条第2 款的规定,接受、处理与个人信息保护有关的投诉、举报。一旦确认企业确实存在违反隐私政策的情形,这些部门可按照第64 条第1 款的规定进行。但在此方面,也可以借鉴美国《加州消费者隐私法案》中的相关规定,先由该部门对违反隐私政策的企业进行通知,并给予其30 天的时间来遵守其政策;如果30 天后未获得遵守,则该部门可以企业违反隐私政策为由提起执行行动[30]。值得注意的是,实践中企业对个人信息的处理有时还涉嫌犯罪,因此相关部门在履职过程中还可以根据第64 条第2 款的规定,对发现的涉嫌犯罪的行为及时移送公安机关依法处理。例如,企业因为无力偿债进入破产程序后,以期通过违反隐私政策将用户的个人信息进行出售,从而来偿还债权,这种情形无异于是违法行为。
4. 执行措施
履行个人信息保护职责的部门可以根据第66 条的规定对违背隐私政策的企业施以惩戒。例如责令改正、给予警告、没收违法所得等。当然,对于那些拒不改正的企业,还可以处以一定金额的罚款。但如果情节较为严重,则由省级以上履行个人信息保护职责的部门进行相应的行政处罚。实务中,仅仅对企业施加行政处罚是不够的,还应该增加民事赔偿,例如在个人信息权益受到侵害并进行投诉举报的情形,企业应该对自己“不诚实或欺诈”的行为进行“消费者赔偿”。
四、结语
伴随着数据处理的进步,其与隐私保护之间产生了紧张关系。当企业采用隐私政策来进行这种数据处理时,这种紧张关系就得到了缓解。几十年来,我国在实践中虽然肯定了隐私政策保护用户在线隐私的重要性,绝大部分的互联网企业都制定了隐私政策,例如美团、淘宝、知乎等,但仍然存在系统上的不规范问题。因此,有必要对隐私政策保护个人信息的本土化路径进行重构,毕竟在一个充满强大数据处理系统的世界里,一个编写精良、发布醒目且具有完善的可执行机制的隐私政策将有助于保护PII,并保持与交易效率之间的微妙平衡。