个人信息保护中的企业隐私政策及政府规制Word文档格式.docx
《个人信息保护中的企业隐私政策及政府规制Word文档格式.docx》由会员分享,可在线阅读,更多相关《个人信息保护中的企业隐私政策及政府规制Word文档格式.docx(13页珍藏版)》请在冰豆网上搜索。
有时甚至存在欺诈和不正当竞争行为,导致其并未发挥应有作用。
企业隐私政策是贯彻告知与选择机制的重要措施,兼具合同与规制工具特性。
一方面,企业要发挥自我规制的功能,通过企业商业实践,不断完善隐私政策的实现机制,进而切实提升个人信息保护的水准;
另一方面,政府须加强对企业隐私政策的规制,确保其具有可执行性。
政府、企业和行业组织的合作规制将能更加充分地保障个人信息安全,个人信息保护立法应在合作规制上加大力度,并在学理上进一步加强体系化的思考,使各方主体真正发挥作用。
关键词
个人信息
隐私政策
告知与选择
合作规制
当前全球个人信息保护的情况不容乐观。
美国著名社交媒体脸书(facebook)外泄个人信息的报道在全球引发热议,我国支付宝年度账单引发的个人隐私争议也备受公众关注,相关企业先后被政府约谈。
这涉及个人信息安全、企业隐私政策(privacypolicy)及其政府规制的问题。
事实上,从2017年下半年起,为推动互联网企业提高个人信息保护力度,提升行业个人信息保护的整体水准,由中央网络信息办公室、工业和信息化信部、公安部、国家标准化委员会等4部门组成的专家工作组对一些企业网络产品和服务的隐私政策展开了评审。
为此,隐私政策也愈来愈受到互联网企业的重视,他们纷纷在其网站显著位置公布隐私政策,以便用户知情和同意。
众所周知,网络与信息技术的发展给个人信息保护带来了严峻的挑战,如移动互联网可以随时随地收集和处理个人信息,云计算使个人信息远离了个人终端,社交网络使个人信息的公开成为用户自愿且日常化的行为,大数据分析可以轻易地将非个人信息转化为个人可识别信息,等等。
企业隐私政策是用户了解企业个人信息处理活动的重要渠道,但据粗略估算,若要用户真正去阅读其访问网站的隐私政策,每年人均将花费约250小时,既耗时又不便。
我国学者认为,企业隐私政策主要目的在于消除公众的顾虑,具有告知功能和制约功能。
然而,从实践情况来看,两项功能均未有效发挥作用。
原因或许在于,企业隐私政策冗长且充斥大量的专业术语,用户并没有被充分告知,许多个人信息都是在用户不知不觉之间被企业共享或者出售给第三方主体;
同时,企业隐私政策的性质也并不清晰,发生纠纷时难以约束企业。
企业隐私政策究竟能够发挥多大作用,政府可否规制以及如何规制,目前的研究还不够深入。
特别是在欧盟实施《通用数据保护条例》、美国加州议会通过《消费者隐私法案》的全球大背景下,中国的个人信息保护立法应当如何展开,企业和政府如何各司其职,均需要从学理上加以研讨。
自个人信息保护法或者隐私保护法肇始,“告知与选择”(也称为告知与同意)一直是立法中最为重要和普适的机制。
“告知”是公开透明要求的体现,目的在于克服信息不对称而产生的市场失灵现象;
而“选择”的内涵为同意,即用户在知情的前提下理性作出选择。
《经济合作与发展组织隐私保护指导纲领》《亚太经济合作组织隐私保护纲领》、欧盟《数据保护指令》和《通用数据保护条例》、美国《公正信息实践原则》、我国《全国人民代表大会常务委员会关于加强网络信息保护的决定》(2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过)和《中华人民共和国网络安全法》(以下简称《网络安全法》)等个人信息保护立法,均强调个人信息的收集、处理必须经过信息主体的同意。
在这一机制之下,用户被企业告知产品服务信息及相关的隐私政策;
进而,用户选择是否使用该在线产品或服务,并期望企业充分保障自己的个人信息或隐私安全。
(一)概念与形态
隐私政策是指互联网企业以在线文件的方式自愿披露其对用户个人信息保护的原则和措施。
实践中,互联网企业一般都会在网站主页上公布自己的隐私政策,以确保告知与选择机制顺利实现。
此种自愿性声明允许用户自主选择且对市场运作不予干预,业已成为世界多个国家和地区的通行作法。
目前,我国绝大多数的互联网企业均在网站主页下端设有隐私政策方面的规定,如腾讯网、新浪微博的隐私政策主要包括企业如何收集、使用、分享转让个人信息,用户如何分享个人敏感信息以及如何确保信息安全等方面的内容。
隐私政策通常按照产业发展规律或者行业自律标准而制定,目的在于保障用户个人信息的安全,同时也声明用户对于个人信息拥有的权利,包括被告知自己的信息被收集的权利、被告知个人信息在线提交的安全程度的权利、选择是否在线提交个人信息的权利、在线访问和修改自己的在线个人信息的权利、寻求纠纷解决的权利等。
之所以利用这一机制,原因在于传统的政府规制多以命令控制型规制为主,实施过于严格、僵化,并存在阻碍创新与竞争的可能。
同时,这一机制具有自愿性,不会对数据的合理流动造成不必要的限制,便于企业执行。
面对多种多样的用户需求,市场与自愿性的解决方案或许能更有效地解决问题。
总之,科学、规范的隐私政策能为企业提供竞争优势,吸引更多的用户注册、提高网站的访问率;
而隐私政策不合理的企业则可能面临客户流失、利润下降的窘境。
企业隐私政策提升了网站运作的透明度,几乎所有的大型互联网企业均自发制定了隐私政策并加以实施。
此外,企业产品和服务还可以通过其他形式完成告知与选择功能,包括:
(1)增强式告知,即注册账号、安装程序、首次使用时向用户展示的关于个人信息保护的提示。
其并非传统意义上的隐私政策,而是对企业隐私政策核心内容的高度浓缩,即使用户之前没有阅读隐私政策,通过增强式告知也能够知晓隐私政策的核心内容,了解风险较高的个人信息处理行为。
(2)即时提示,网站针对个人敏感信息处理行为,在用户使用互联网过程中即时展示相关的处理行为。
用户通常都希望隐私政策中的相关内容能够真正得到应用和落实,而非停留于静态的文字。
(二)定性与学说
为回应广大用户对个人信息安全的关切,互联网企业将隐私政策与传统的合同性文本(如服务使用协议)相剥离而成为独立的文本或网页。
其在定性上主要存在两种观点:
1合同说
国外学者一般认为企业隐私政策系网站和用户之间的合同。
我国亦有持合同说者,认为“隐私政策的性质已经不再是一种声明,而是建立在双方合意基础上的协议,是网络服务合同不可缺少的一部分”。
还有人认为隐私政策是“网络格式合同”,指出中国现行立法中虽无网络格式合同的概念,但满足“相对人有机会了解条款内容”和“明示同意”两个条件的网络格式合同应当得到法律承认,并适用格式合同的相关法律规定。
司法实践中也基本上将用户协议和企业隐私政策视为性质相同的合同,进而适用合同法。
如在“卢星与小米科技有限责任公司网络购物合同纠纷案”中,二审法院就将原告与被告之间的用户协议和企业隐私政策均视为合同。
不过在实践中,一些国家的法院经常会针对不同的情形,作出具有差异性的判断。
例如,在一起案件中,原告起诉美国航空公司违反企业隐私政策将乘客信息移交给联邦交通运输安全局,法院对违反企业隐私政策系违反合同的主张予以认可。
而在另一起案件之中,法院对企业隐私政策的合同属性则持怀疑态度,认为如此宽泛的声明并不构成合同条款。
这里的问题在于,网络上的同意方式一般分为点击生效和浏览生效两种。
在点击生效的情况下,用户点击“我同意”或者“我接受”等按钮,即表示其在使用网站之前已经同意企业隐私政策的内容,因此网站和用户均会受到合同法的拘束。
点击生效的协议易于确定用户是否以及何时同意协议的内容,具有较强的可执行性。
而在浏览生效的情况下,则很难认定企业隐私政策具有拘束性。
虽然从形式来看,用户如果不同意相关的协议就无法浏览网页,但事实上并无拘束力,故一些法院认为浏览生效并不构成同意。
就企业本身而言,因为已存在服务使用协议,其也不愿将隐私政策视为合同,故主张企业隐私政策在性质上仅仅为政策声明,并不具有执行性。
法院很少将隐私政策视为合同的另一个重要原因在于,原告较难证明其因企业违反义务而遭受损害。
当然,法院或许可以适用“允诺禁反言原则”,这一原则要求允诺人不得对已使受诺人产生信赖的诺言进行反悔,主要适用无过错归责原则。
但在实践中,原告仍然面临举证难题,这使人们对告知与选择机制的有效性产生了疑虑。
因此,合同法难以成为解决企业隐私政策争议的有效工具。
2规制工具说
企业隐私政策是实施告知与选择机制的首要方式。
有效告知意味着企业必须向用户公开收集、使用个人信息的相关作法;
选择则是基于告知、同意而作出,既可以保障个人不同的信息偏好,又促进了数据合理流动。
因而有学者将其视为一种企业自我规制的工具。
在此框架下,在对产品、服务以及个人信息保护水准进行理性比较的基础上,用户自主决定个人信息是否被收集、利用和共享。
企业通过隐私政策将自身的个人信息保护实践公诸于众,同时也为行政机关提供了规制依据,进而形成了企业自我规制和政府规制的互动。
以美国为例,20世纪90年代,因应公众对个人信息的关切,联邦贸易委员会成为个人信息与隐私保护的行政机关。
它认为自己并无足够的能力制定实体性的隐私保护规则,僵化的政府规制还可能会抑制网络发展,于是在实践中鼓励企业自我规制,将执法限缩于对企业隐私政策的审查和规制。
由此,企业自行创制保护个人信息和隐私的政策,并由行政机关监督规则的实施,就成为美国个人信息保护的主要作法。
欧盟个人信息保护立法虽然极为强调政府规制,但自我规制也是其不可或缺的组成部分。
当企业的自我规制失灵时,行政机关的监督和审查便作为“后盾”,这不仅能够确保自我规制的合法性,而且使用户将企业隐私政策视为一种可信任的个人信息保护工具。
客观地讲,以上两种学说只是从不同视角展开的观察,前者围绕企业和用户的关系展开,后者则从行政机关和企业的关系层面进行描述,两者并无实质性冲突。
问题在于,如何科学地认识企业隐私政策在政府规制中的作用。
实践中,由于时间原因,用户很少阅读隐私政策;
即使阅读,也常因为隐私政策充斥晦涩的法律术语望而却步。
因此,用户往往因为微小的商业利益而低价出售自己的个人信息。
企业出于商业利益的驱动往往忽视隐私政策的承诺,而行政机关又难以有效应对快速发展的网络和信息技术。
诸如此类的问题导致个人信息和隐私保护面临巨大的挑战,使传统的私法保护或公法模式出现失灵。
基于此,如何发挥私法和公法的共同作用,如何从政府规制视角来看待企业隐私政策的合同拘束效果,有待进一步探讨。
(三)实践与不足
在网络服务活动中,企业隐私政策会对用户产生显著的影响。
隐私政策通过在企业和用户之间建立信任,切实促进了用户的信息披露意愿。
不过,实践中企业隐私政策的实施也存在诸多不足,主要体现在以下几个层面:
(1)由于隐私政策的内容用语通常较为宽泛、模糊,致使有些用户认为只要确认当前的隐私政策,网站就不会将其个人信息共享给第三方,但事实并非如此。
企业违反对用户的承诺、不遵守隐私政策的情况时有发生。
例如,未经用户同意收集个信息,在用户不知情的情况下安装软件收集个人信息;
非法搜集用户个人信息形成画像,用于定向推送商业广告等目的;
将个人信息非法转售给第三方,甚至破产时将个人信息出售用以抵债,等等。
(2)由于企业隐私政策的内容专业且冗长,对于不具备充分法律知识的用户而言,即使全面阅读也徒劳无益。
(3)由于企业自身能力的不足,隐私政策很难准确地说明以及预测个人信息处理和利用的情形。
(4)互联网企业经常单方面改变隐私政策,而未将相关修改事先告知用户。
(5)随着大数据技术的发展,信息整合将披露更多的个人敏感信息,而用户无法理解未来信息整合的影响,也无法评估未来可能带来的损害,从而很少认真阅读企业隐私政策;
即使事后发现个人信息或隐私受到侵害,也往往因难以证明损害事实而败诉。
这使得隐私政策常常成为企业逃避责任的挡箭牌。
实践中,企业隐私政策个人
升级会员 