中国网站信息隐私保护政策研究:基于49家网站的内容分析
第二节 中国网站信息隐私保护政策研究:基于49家网站的内容分析
2015年年初,中国互联网安全公司360发布了《2014年中国网站安全报告》。该报告指出,2014年,中国网站网络安全问题呈现网站漏洞大规模爆发、大量隐私泄露等重大安全事件高发和网站攻击开始规模化、产业化等显著特点。主要体现在,存在后门(一段恶意代码,网站安全攻击者通过植入该代码来控制网站,甚至服务器的控制权限)的网站数量大量攀升,电声类网站的安全漏洞问题最为严重。报告预计,2015年中国网站攻击与漏洞利用将更加规模化,网民的信息隐私安全形势不容乐观(360安全播报,2015)。
事实上,网站安全危机事件,不仅在中国呈高发态势,引发关注,近年来网络安全问题已成为国际社会普遍关心的、事关国家安全的重大战略问题。例如,奥巴马政府于2011年5月16日颁布了首份全球网络安全战略《网络空间国际战略——网络化世界的繁荣、安全与开放》,标志着美国将网络安全建设提升至国际战略的高度(刘勃然和黄凤志,2012)。
随着互联网新媒介技术的发展,人们的日常生活行为越来越依赖于网络。从网络购物、信息检索、网络交友、物流运输等各个方面,各类网站在为网民提供便捷服务的时候,也在大量收集和获取人们公开或隐藏的个人信息。
网站通过制定网络信息隐私保护政策,告知如何采集、使用和保护网络用户的个人信息,是一种保护用户信息安全的自律措施。制定和发布网络信息隐私保护政策,一方面是网站具有良好信誉的标志,另一方面,也将逐渐成为网络企业具备网络服务的重要资质之一(张平,2014)。
本研究,选取中国社交类网站、电子购物网站等6类网站,运用内容分析法,实证地分析了中国各类网站网络隐私保护政策在“一般项目规定”“信息的收集与存储”“信息的使用与共享”方面的实际情况,以了解当前中国网络企业隐私保护政策的现状,为网络企业更好地与国际接轨,保护网民隐私安全提供经验参考。
一、文献综述及研究问题
1.网络信息隐私保护的两种模式
网络新媒体时代,隐私从“个人独处的权利”逐渐演化成“个人对自己信息控制自由与权利的”一种信息隐私权。这种信息隐私权,是指他人所享有的对其信息予以公开的权利;“是指个人、群体或者机构所享有的,决定何时、用什么样的方式以及在何种程度上将其信息对别人公开的权利”(Alan F. Westin, 1967)。它的核心是“私人信息(personal information)”。“私人”并不是特指敏感的、隐私的或令人尴尬的个人信息,而是表示信息与所有人之间的关系,即无论该信息是敏感的还是无关紧要的,只要它具有专属于他人的可识别性,那么它就应当被视为私人信息(Jerry Kang, 1998,转引自张民安,2014)。
在规范网络企业保护网络信息隐私方面,目前主要呈现出以欧盟为代表的立法保护模式和以美国为代表的网络企业自律模式。
(1)欧盟的立法模式。
欧盟的网络信息隐私保护视个人信息隐私为基本的人权问题,主张通过严格的立法方式保护个人信息(周汉华,2006)。
欧盟对信息隐私的保护主要经历了四个阶段(齐爱民,2009)。第一个阶段,20世纪70年代早期的个人信息保护立法不以个人权利为中心,其目的是为了适应信息管理者对个人信息的处理。第二个阶段,20世纪70年代晚期,立法开始转向对个人权利的保护,被保护的权利往往仅具有宣示意义,个人很少有机会参与自己的信息处理过程。第三个阶段,20世纪90年代,针对第二阶段出现的问题,着重保障个人信息处理中个人权利的实现,并将这一权利明确制度化和可操作化。第四个阶段,20世纪90年代后期,立法者开始意识到个人面对信息处理时的弱势地位。1995年《欧盟指令》在第一章第一条中明确规定,“各成员国应对个人数据处理中自然人的基本权利和自由,特别是他们的隐私权予以保护”(周汉华,2006)。该指令是欧盟数据保护规章的核心,制定了一系列需要所有成员国遵守与实施的原则与具体规则。指令旨在消除各成员国之间个人数据流动中的障碍,为个人数据保护设定了共同的标准;其所建立的原则适用于私人或商业生活的一切领域(周汉华,2006;齐爱民,2009)。
欧盟各国认为个人数据是个人权益,具有极强的保护价值。欧盟倡导订立较为严格与统一的保护标准保护信息隐私。它通过设立的特别委员会,敦促各国以立法的形式来保护网络隐私权,以形成各国互相认可的信息隐私保护规范,达到保护信息在各国之间的自由流通。欧盟的指令是采用综合立法的模式,网络信息隐私保护的内容包含在个人信息里面,没有另行法律规定(周汉华,2006)。虽然,一些指令中没有出现网络隐私的字样,但是,指令中所称的数据(或资料)控制者(data controller),实际上指的就是网络保护中的网络服务提供商(齐爱民,2009;徐敬宏,2010)。
欧盟个人信息隐私保护的主要执行机构包括:一是欧洲法院,是包括数据保护法在内的欧盟法律的最终裁决者。二是2001年设立的欧洲数据保护监督专员(European Data Protection Supervisor, EDPS),监督欧盟机构遵守数据保护法,职责是确保所有欧盟机构和组织在处理公民个人数据时尊重公民的隐私权。例如,当欧盟组织或机关处理一位有确定身份公民的个人数据时,欧洲数据保护监督专员要确保这些组织机构必须保护个人隐私,并在处理个人数据上进行监督(周汉华,2006)。三是第二十九条工作组,源于《欧盟数据保护指令》第二十九条规定:建立一个“在个人数据处理中保护个人的工作组”,一般称之为“第二十九条工作组”。四是第三十一条委员会,由欧盟成员国政府的代表组成。五是其他机构,如欧洲网络与信息安全局(ENISA)(李明,2014)。
欧盟各国对个人信息保护有着较为严格和严密的流程,可以分为事前“个人信息处理的许可或登记制度,经过许可才能进行信息收集”,事中“行政执法监督和检查制度,实行独立的个人信息保护执法机制,专设有信息专员”,事后“追究法律责任以及法律救济”等三个阶段(周汉华接受《新京报》采访报道,2012年8月11日)。
近年来,针对社交网站中网络信息隐私侵权行为的增多,欧盟出台了系列指导原则与管理办法,明确要求网站规范其搜集、使用以及与第三方分享用户个人网络信息隐私的行为,并采取了较为严厉的制裁办法,以充分保护网络用户的信息隐私。
2009年,欧盟数据保护工作组要求互联网公司限期修改隐私新政,分别致信谷歌、微软和雅虎三大搜索巨头,认为搜索引擎服务商保护用户搜索记录时间超过6个月的理由并不成立,因此要求这三大搜索引擎商必须缩短用户搜索信息的保留时间(金耀星,2014)。
2009年6月,欧盟隐私监管机构制定了《社交网络用户隐私保护指导规则》,确保社交网站遵循欧盟的隐私保护法,以消除用户对个人隐私信息安全性的担忧。指导规则阐述了欧盟隐私保护法如何适用于社交网站,如社交网站应该提高默认安全设置的等级,并允许用户限制向第三方机构暴露数据;用户在删除了自己的账号后,网络运营者不能保留其个人信息,而且运营者应该删除长期处于未激活状态的账号等等(刘长安和顾舟峰,2013)。
此外,欧盟还会根据用户的需求适时调整相关的保护办法。例如,2010年11月,欧洲用户投诉在欧盟范围内访问包括谷歌和脸谱等网站时,被网站要求分享其个人信息数据。欧盟经过严格调查后,推出《欧盟范围内个人信息数据全面保护实施办法》(A Comprehensive Approach On Personal Data Protection In The European Union,以下简称“实施办法”)。《实施办法》赋予用户告知网站必须永久删除其注册的个人信息的权利,并且规定公司在以任何形式使用用户信息或对用户的个人信息进行编辑前必须获得用户的明确授权。这份长达20页的《实施办法》同时还指责互联网公司目前的隐私保护政策极不透明,“目前通过互联网搜集个人信息数据的方法变得越来越隐蔽,且极不容易被发现”(马乔,2010)。该《实施办法》被认为是1995年数据保护法案的修订版,其预示着随着互联网科技的飞速发展,保护用户隐私法案也应该跟上新一代互联网的发展需求。
(2)美国的行业自律模式。
与欧盟的大规模、成体系且较为严格的立法保护不同,美国对电子商务领域中的网络信息隐私保护采取了网络企业行业自律模式,对其他特殊领域的信息隐私采用了较为严格的立法。
这种“零售式”分散立法模式,针对特定行业或领域内的个人信息收集和利用问题单独立法(张新宝,2015)。例如1970年,国会通过的《公平信用报告法案》,1984年《有限电视通信政策法》,1878年的《财务隐私权法案》,1988年《录影带隐私权保护》,1991年《电话购物消费者保护法》,1994年《驾驶员隐私保护法》,1998年《儿童在线隐私保护法》,1999年《金融服务现代化法》,2003年《反垃圾邮件法》等(李明,2014;张新宝,2015)。
行业自律模式采取政府引导、鼓励网络企业通过行业自律,规范对网络使用者个人信息的处理;同时通过分散立法,监督行业自律的实施。自律模式对网络服务商与网络企业,采取比较宽松的政策,通过网络机构的自我规范、自我约束和行业协会的监督,保护个人信息流动与使用的安全(吴寒,2011;徐敬宏,2010)。
但是,这并不意味着美国政府对网络个人信息隐私保护不足。只是,他们更喜欢用一些指导原则表明政府对个人信息隐私保护的态度。例如,1998年,美国联邦贸易委员会(Fair Information Practice, FTC)出台了公平信息实践,要求网站从五个方面来遵守隐私原则,并体现于隐私政策中:一是通告/知晓(Notice/Awareness),服务提供者(Web站点)必须明确地告知它的客户其数据被使用的方式。二是选择/同意(Choice/Consent),个人有权决定其数据是否被站点收集和使用。三是访问/参与(Access/Participation),个人有权从数据控制者那里获取与己相关的数据,并有权要求对其进行删除、更正、补充完整或修正。四是完整性/安全性(Integrity/Security),个人数据应当受到合理的安全保护措施的保护,以防止类似数据的丢失或未经许可的访问、破坏、使用、修改或公开的情况发生。五是执行/赔偿(Enforcement/Redress),消费者有权通过外部规章或认证程序来确保网站遵守上述隐私原则(刘松和林海萍,2005;周涛,2009)。
美国的行业自律模式主要有三个方面:
一是制定建议性行业指导。鼓励行业自发成立相关的行业组织或联盟,为行业内成员提供广为接受的网络隐私保护指导建议和原则。这些自律原则以美国隐私保护原则为核心,是要求其成员必须采纳、张贴和执行的行为规范。其目的仅是指导,不监督行业成员的遵守情况,也不制裁违反行业指导的行为。例如,1998年6月,由美国电子工业协会、美国工商协会等和AOL、AT&T、IBM、Bank of America等100多家主要团体和企业成立的“在线隐私联盟(Online Privacy Alliances, OPA)”,发布在线隐私指导,要求其成员同意采纳和执行其隐私权政策,规定在线收集个人数据资料应全面告知消费者,包括所收集信息的种类、用途,以及是否向第三方披露该信息等等(徐敬宏,2010)。
二是制定网络隐私认证计划(Online Privacy Seal Program)。网络隐私认证计划是一种私人行业机构和实体(认证组织),致力于实现网络隐私保护的自律形式,要求那些被许可在其网站上张贴隐私认证标志的网站必须遵守在线资料收集的行为规则,并且服从多种形式的监督管理,其中最为有名的是电子信任组织(TRUSTe)和商业促进局在线组织(Better Business Bureau Online, BBBonline)。网络隐私认证计划是一种源于民间自发组织的第三方独立的监督执行机制,包含了申诉机制、评估机制、争端解决机制、制裁机制等,能够保障行业自律的公信度和执行力度(周欣月,2013;吴寒,2011)。
其中,TRUSTe是美国最具权威性的第三方隐私认证机构,也是美国首家网络隐私认证民间机构,为网站颁发隐私认证标志,即在线隐私封条(privacy seal)(张秀兰,2006)。TRUSTe经营着世界上最大的隐私密封方案,为3500多个网站提供认证,包括领先的门户网站和雅虎、脸谱、微软、苹果公司、IBM公司、甲骨文公司等。TRUSTe会对这些在线网站的隐私政策进行核实,但不会对这些隐私政策进行审查。同时,TRUSTe会调查针对违反公司隐私政策的投诉。TRUSTe是一个非盈利性的隐私认证机构(A. Michael Froomkin, 2000,转引自张民安,2014)。除了在线隐私封条之外,TRUSTe还提供网站的声誉管理,对网站评价和消费者隐私争议解决等的专业服务;TRUSTe认证并监督网站的隐私和电子邮件政策,监督施行惯例,并且每年解决上万个客户隐私问题(何霞,2012)。
TRUSTe只适用于电子商务或者网站站点,其使用范围有限。同时,它只能规制那些自愿参与这个项目的公司。基于竞争压力,有些公司可能会选择参加这个项目。但如果没有竞争压力,大部分网络企业不会主动、自愿地加入这一隐私认证计划当中。正如中国学者张新宝(2015)所指出的,美国行业自律模式为电子商务的发展提供了一个相对宽松的环境,但由于其本身缺乏强制性的保障措施,消费者的隐私权往往得不到切实有效的保护;并且放任自由的管理模式与市场逐利的短视性极易导致“劣币驱逐良币”的后果发生,一旦某个网站经营者违规收集个人信息进行赢利活动,难以保证其他商家不会跟进,以致恶性循环(张新宝,2015)。
三是,技术保护方式,或者称为隐私保护技术架构。例如,最著名的隐私偏好平台项目(Platform for Privacy Preferences Project, P3P),由万维网联盟(W3C)开发。P3P通过为隐私策略提供一个标准的可机读格式,以及一个能使Web浏览器自动读取和处理策略的协议,为隐私保护问题提供了一个良好的技术方案。借助P3P技术,Web站点和客户之间可以自动完成隐私策略的匹配工作,即Web客户可以通过P3P技术从Web服务器获取隐私策略,并做出适当的响应(袁志斌,2008)。
P3P将网站隐私政策和用户隐私偏好间的对照进行标准化。具体操作办法为:第一,P3P用自然语言制定自己的隐私策略标准,包括是否向第三方提供电子邮件的地址、如何使用cookie等内容,并且这些内容必须以遵循P3P的浏览器可读的格式存在。这些策略标准要考虑到将要收集哪些数据、为什么要收集这些数据、谁会使用这些数据、这些数据会保存多久等问题(理查德·斯皮内洛,2007)。第二,决定哪些隐私策略布置到哪些网页上。不同的隐私策略条文往往根据不同网页的性质,进行选择与应用。第三,使用P3P软件的用户可以将个人的隐私偏好设定在软件的选项中,当访问的网站在收集或贩卖个人数据时,P3P就会提醒用户禁止接入该网站,由用户做出选择是否继续进入该网站。例如,将用户的隐私偏好嵌入到浏览器中,P3P只允许用户在与其隐私偏好一致的网站上提供个人数据。当用户进入收集信息超出他愿意提供的范围的网站时,浏览器会向用户提出警告。P3P的目的是使用户具有作出接受或者拒绝网站隐私政策的知情选择能力(袁志斌,2008;理查德·斯皮内洛,2007)。
P3P代表了一种用户能够控制如何披露个人数据的技术手段。P3P的使用有几大好处,例如,广泛采用P3P将推动隐私政策的标准化和简化,因为隐私政策必须以机器可读格式存储,而不必以繁琐的法律术语表达。P3P能帮助用户在进入一个网站之前更容易访问其隐私声明,P3P还能搜索出一些位置比较隐蔽的隐私声明,使用户能够正常查阅。P3P也有其局限性,例如,只有当网站采用了P3P标准,并用P3P特殊的机器可读语言表达其隐私政策时,P3P才能起作用。并且,如果某些公司的网站执意违背其隐私政策,P3P没有追查权(理查德·斯皮内洛,2007)。
自律模式的自我约束机制,在保护网络隐私权中发挥了重要的作用。然而也有学者认为,在网络信息隐私保护方面,自律模式存在着一些明显的缺陷:一是主要将隐私保护责任归于企业而不是政府,缺乏强有力的监管与相应的惩罚措施,易导致隐私保护流于形式(理查德·斯皮内洛,2007)。例如,获得隐私认证,并不能保证网络企业不会侵犯个人隐私;当使用个人信息可以谋取丰厚的商业利益时,很难保证网络企业及相关组织会遵守认证协议;同时,仍有大量未加入隐私认证计划的网络企业,它们将不会受到认证规则的约束和规范。二是技术规范的非主导性,致使其无法取代社会规范与法律规范的地位,不能仅凭技术标准来规范隐私保护行为;技术协议,是一种单向制定的标准,缺乏国家强制力的直接保障,没有最终的司法救济机制,对信息持有者保护不利(齐爱民,2008)。
2.网络隐私保护声明
与美国专门的隐私验证机构不同,中国没有第三方隐私验证机构。虽然没有专门的隐私认证机构,但为了消除公众对隐私可能泄露风险的担心,网络企业往往会制定隐私权保护政策,以证明登录与使用该网站是安全的,用户的个人信息隐私不会被泄露。
网络隐私保护声明(或隐私条款、隐私保护、隐私政策),是指网站通过告知用户其个人信息可能的搜集、使用、与第三方共享的情况,以及网站使用个人信息时的免责条款,来告知网络用户在使用本网站时的信息安全问题,达到与用户之间隐私保护的共识(张秀兰,2006;周涛,2009)。
网络隐私政策是国内外网站普遍采用的保护用户隐私的自律措施之一。隐私保护声明的功能主要有两个方面:一是告知功能,通过明确的公告,公开地告诉用户,网站在何种情况下如何收集、使用、存储信息,以及用户对自己信息享有的何种权利等等;也就是说,告知其在用户个人信息收集与使用等方面,网站和用户具有什么样的权利和义务(谈咏梅和钱小平,2006)。二是约束功能,公示网站和网络用户的权利与义务,相当于网站与网络用户间就个人隐私信息的相关使用与保护达成一个契约,这种契约对双方均具有一定的法律约束力(张秀兰,2006;齐爱民,2009)。
隐私政策是网站所有者或服务提供者在经营服务过程中,对用户资料合法收集、使用的一种承诺。现有隐私政策基本可以分为两种类型。一种是单一的隐私保护承诺,提供单一隐私条款承诺的网站一般是内容介绍型的,几乎不存在具体的网上服务,所收集用户资料的范围也较小。这类网站隐私保护政策的性质是一种单方声明,即不需要用户的同意,因而不能视为一种具有契约关系的合同(谈咏梅和钱小平,2006)。齐爱民(2009)认为,这是一种宣示性政策网站或者免责性隐私政策网站。另一种是伴随着一定的网络服务的承诺,大部分网站都将隐私政策作为服务条款的一部分,即用户必须要同意隐私政策才能接受相应的服务。此时,隐私政策属于网站与网络用户之间协议的一部分。用户有提交个人资料的义务,同时也有要求条款提供者提供网络服务的权利,而条款提供者有按照条款规定保护用户隐私、提供服务的义务,同时也享有合理使用个人隐私资料的权利(谈咏梅和钱小平,2006)。
有关网站隐私保护声明的相关研究,中国主要集中在图书情报学科、法学与传播学领域。研究多采取对中国主要网站的隐私保护政策或隐私保护声明的内容分析,考察各类网站在网民网络信息隐私保护内容、保护方式,登录隐私保护政策的方便程度等方面的差异,以探究中国网站隐私保护政策的现状与不足,寻求相应的解决办法。
张秀兰(2006)对100家域名为“.com”的中文网站的隐私政策文本进行了研究,发现在隐私政策表述方面,中国网站主要有相对比较简单的问答式文本和较为完备详尽的契约式文本两种方式。国外网站、中国港澳台网站的隐私保护政策要好于中国大陆,中国商业类网站制定的隐私保护政策要远远好于政府网站。
谈咏梅和钱小平(2006)从法学角度,解读网站隐私保护政策性质以及相关的法律效力等问题。研究发现,中国各类网站隐私保护政策制定的标准参差不齐;隐私保护政策上存在显著缺陷,没有网站对违反隐私政策将要承担的法律责任作出约定。在尚无隐私立法的情况下,由于缺少外部制约,中国隐私政策的制约功能不能得到发挥,隐私保护政策的告知功能易流于形式。
徐敬宏(2008)从措辞、句型、句法特点和文本结构等方面对新浪、雅虎等5家中外网站进行考察,研究发现,英文网站的隐私声明的内容更为全面,较多地使用超链接,内容更易理解,有专门的未成年人隐私保护内容,而中文网站在这方面做得相对较差。
周涛(2009)采用内容分析法,从一般情况说明、用户个人信息的收集与存储、用户个人信息的使用与共享等网站隐私声明的三个方面,考察中国门户网站、旅游预订、网上招聘、网上购物、网上支付等五类共51个网站的隐私声明,发现中国网站的隐私声明存在很大差异。其中,五类网站在“收集信息说明”“使用Cookie”“同附属机构共享信息”三个方面,存在显著差异。相对其他网站,门户网站、购物网站的隐私声明较为全面。
上述研究,较为详细地考察了中国各类网站隐私声明的情况,并指出中国网站的隐私保护政策存在保护范围不完善、内容粗糙等问题。然而,已有研究时间较早,并且可能是受传统隐私保护研究的影响,考察对象多为电子商务类网站,没有研究关注社交类网站。与电子商务中的个人信息交换行为不同,社交类网站中的个人信息除了个人身份信息之外,还有涉及人们情感、心理,以及更为私密活动的信息隐私(Debatin, B. et al., 2009)。因此,对社交类网站隐私保护中隐私政策的研究尤为必要。同时,已有研究的研究方法也不够科学,仅有周涛(2009)采用内容分析法对门户和电商类为主的网站进行了分析,然而缺乏社交类网站的相关数据分析。
本研究采用内容分析法,考察搜索引擎、社交类网站、团购类网站、门户类网站、论坛类网站、电商类网站中网络隐私保护政策的基本情况,以及各类网站隐私保护政策的差异,以期在此基础上为网站经营者制定更为合理、规范的隐私保护政策、为中国有关部门相关管理工作,提供经验参考。
研究问题一:中国各类网站隐私保护政策中一般项目的制定如何?
研究问题二:中国各类网站隐私保护政策中对搜集用户信息的规定如何?
研究问题三:中国各类网站隐私保护政策中对使用与共享用户信息的规定如何?
二、研究方法
1.数据来源
为回答上述研究问题,参考周涛(2009)与(Irene Pollach, 2006)的研究成果,并根据“Alexa排名”[1],本研究采用内容分析法,于2015年3月到5月期间考察了6类共49家中文网站,“搜索引擎”(8个)、“社交类”网站(9个)、“门户类”网站(9个)、“论坛综合类”网站(8个)、“电商类”网站(8个)、“团购类”网站(7个)中的隐私保护政策。
我们采用目的抽样法,选取了上述6类网站中排名较前、有代表性的49家网站。具体为:“搜索引擎”有百度、搜狗、知乎、有道、搜库、搜搜、必应、一淘网,“社交类”网站有腾讯QQ、新浪微博、微信、人人网、豆瓣、世纪佳缘、知乎、开心网、腾讯微博,“门户类”网站有人民网、新华网、新浪、搜狐、网易、凤凰、腾讯、中国网、央视网,“论坛综合类”网站有天涯社区、百度贴吧、凯迪网络、猫扑网、西祠胡同、城市中国、铁血之家、汽车之家论坛,“电商类”网站有淘宝网、京东、亚马逊中国、天猫、当当网、一号店、苏宁易购、慧聪网,“团购类”有糯米网、美团网、拉手网、大众点评网、聚美优品、聚划算、去哪儿团购。
根据CNNIC近三年(2013年、2014年、2015年)的调查显示,信息搜索、社交沟通、电子商务等一直是中国网民使用频次较高的网站,且这类使用行为在不断增长。这些网站需要通过收集、使用甚至分享用户的个人信息来保持运营,因此应该具备相应的隐私保护能力,也更应该重视隐私保护方面的工作。因此,我们认为选择上述类别的网站具有一定的代表性。
最后,研究下载了49个网站的静态页面,获取这些网站上的网络隐私保护政策并生成到Excel表格中进行内容分析。
2.测量
我们采用了内容分析法(content analysis),对上述网站中出现的隐私保护政策的文本信息特征进行分析。
根据前期对各类网站隐私保护政策的考察,我们发现,一般而言,网站网络隐私保护政策可以分为三个部分:①一般情况的说明;②信息的收集与存储情况;③信息如何使用与共享。据此,我们选定新浪微博、天猫、百度等3家网站的隐私保护政策进行前测,根据测试结果对调查项目进行了调整,形成了最终内容分析的类目(见表4-2)。两位编码者进行了编码,检测信度一致性在95%以上。
表4-2 内容分析的类目
| 分类 | 序号 | 项 目 |
| 一般项目 | 1 | 网站有没有专门的用户隐私保护政策或者隐私保护声明? |
| 2 | 如果没有的话,有关用户隐私保护的具体内容出现在哪里?有几条内容? | |
| 3 | 如果有专门的用户隐私保护政策,文档的题目是什么(如是隐私保护政策还是隐私保护说明等)? | |
| 4 | 隐私政策/保护声明位于主页上什么位置? | |
| 5 | 隐私政策需要从主页开始经过几次点击才能到达? | |
| 6 | 隐私政策提供了何种联系方式? | |
| 7 | 隐私政策最近一次更新是什么时候? | |
| 8 | 网站的隐私政策会变化么? | |
| 9 | 隐私政策中有免责声明么? | |
| 10 | 网站是否列明保护隐私的具体手段或方法? | |
| 11 | 网站列出什么情况下会公开用户个人信息么? | |
| 信息的收集与存储 | 12 | 网站收集了用户的哪些信息? |
| 13 | 用户能否查看、更新、更正、删除他们的信息? | |
| 14 | 网站使用了Cookies么? | |
| 15 | Cookies能否被禁用? | |
| 16 | 网站说明了禁用Cookies带来的后果了么? | |
| 17 | 网站使用了网络信标(Web Beacons)么? | |
| 18 | 网站是否说明了确保信息安全? | |
| 19 | 网站是否说明了对未成年人隐私的保护? | |
| 20 | 第三方是否使用Cookies或Beacons来收集用户数据? | |
| 信息的使用与共享 | 21 | 网站是否与附属机构共享数据? |
| 22 | 网站是否同第三方共享数据? | |
| 23 | 网站会和谁分享用户个人信息? | |
| 24 | 网站是否说明它们将不会出售数据? | |
| 25 | 用户能否选择退出(opt-out)网站定制的服务(如促销邮件等)? |
三、研究发现
1.中国各类网站隐私保护政策中一般条例的基本情况
结果显示(见表4-3),中国各类网站网络隐私保护采用的名称多为“隐私声明”(占比35%),其次为“隐私政策”(占比33%),第三为“隐私保护条例”(占比26%),最后为“隐私保护协议”(占比6%)。
表4-3 各类网站隐私保护政策一般条款的制定情况(n=49)
从用户找到网络隐私保护政策的次数来看,用户平均要点击1.7次(均值为1.68,标准差为0.74)才能找到相关的隐私保护政策。半数以上(占比52%)的网站需要用户点击2次,才能找到相关的隐私保护政策页面或者内容;还有不足一成(占比8%)的需要点“3次及以上”。
近六成(占比57%)的网站隐私保护政策中,公布了免责声明,四成多(占比43%)的网站没有公布未能保护用户信息隐私时的免责声明。五成多(占比54%)的网站隐私保护政策的有效期更新到最近的2015年,还有近五成(占比46%)的网站隐私保护政策的时效已过。
近五成(占比45%)的网站未在隐私保护政策中注明相关的联系信息,三成多一点(占比31%)的网站留下了客服电话,近两成(占比16%)的网站用电子邮箱与用户联系,还有不足一成(占比8%)的网站留下网址与用户联系。
2.中国各类网站隐私保护政策中收集、共享用户个人信息的基本情况
结果显示(见表4-4),绝大部分(占比98%)网站都会在隐私保护政策中声明收集用户个人信息,近九成(占比87%)的网站声明会收集“用户提供的信息”,近七成(占比65%)的网站声明收集“Cookie信息”,四成多(占比43%)的网站声明收集浏览器和服务器日志上的信息,一成多(占比11%)的网站声明收集“用户位置信息”。
七成以上(占比71%)的网站告知用户“能够查看、更新、更正、删除自己的信息”,近三成(占比29%)的网站告知用户“能够查看、更新自己的信息,未告知能删除和更正、删除自己的个人信息”。
近七成(占比67%)的网站在网络隐私保护政策中告知用户“使用Cookie”,其中,三成多(占比32%)的网站告知用户“cookie可以被禁用”以及禁用的后果。不足一成(占比8%)的网站声称,会使用Beacon收集用户个人隐私信息。这些网站主要是以腾讯QQ、新浪微博、微信为代表的社交类网站。
八成以上(占比82%)的网站声称,会采用一定的技术手段保证所搜集用户信息的安全,但对于采取什么样的技术手段、如何保证,规定语焉不详。
仅有两成多一点(占比23%)的网站隐私保护政策中声明会保护未成年人的信息隐私安全。
在与第三方共享用户个人信息方面,结果显示(见表4-4),四成多(占比43%)的网站表示将同其附属机构、子公司、旗下公司等共享用户数据,近六成(占比59%)的网站表示将同关联公司、第三方服务供应商、承包商共享数据,四成(占比40%)的网站表示未经用户允许将不会出售用户个人数据,四成(占比41%)的网站表示用户可选择退出(opt-out)定制服务,如拒绝促销E-mail信息的发送。
表4-4 各类网站隐私保护政策中对用户个人信息的收集与共享的情况
| 收集用户信息的基本情况 | |
| 收集用户各类信息(n=46) | 98% |
| 收集用户提供的信息 | 87% |
| 收集Cookie信息 | 65% |
| 收集浏览器和服务器日志上的信息 | 43% |
| 收集用户位置信息 | 11% |
| 用户对个人信息的控制(n=44) | |
| 声明用户能够查看、更新、更正、删除自己的信息 | 71% |
| 声明用户能查看、更新,未告知能更正、删除自己的信息 | 29% |
| Cookie、Beacon的使用(n=44) | |
| 使用Cookie | 67% |
| Cookie可以被禁用 | 32% |
| 使用Beacon | 8% |
| 对收集信息安全的保证(n=43) | |
| 保证所收集信息的安全 | 82% |
| 对未成年人信息的保证(n=40) | |
| 声明保护未成年人的隐私 | 23% |
| 共享用户信息的基本情况(n=47) | |
| 和附属机构分享用户信息 | 43% |
| 和第三方分享用户信息 | 59% |
| 声明不会出售用户个人数据 | 40% |
| 告知用户的退出机制 | 41% |
3.中国各类网站隐私保护政策中收集、共享用户个人信息的差异分析
声明如何以及收集哪些用户信息,如何分享用户信息,是网站隐私保护政策中的重要内容(Irene Pollach, 2006)。已有研究发现,由于网站的性质不同,中国各类网站之间的隐私保护政策存在差异(周涛,2009)。本研究通过方差分析,进一步分析了6类网站在“收集信息说明”“使用Cookie”“同附属机构共享信息”3个因素存在显著差别(见表4-5)。其中,通过进一步分析(Post HocAnalysis)显示,在“收集信息说明”方面,门户网站比社交类网站、电商类网站、搜索引擎类网站等声明得更多、更详细。对于“使用Cookie”,搜索引擎类比电商务类网站的说明更多,社交类网站比论坛里网站隐私政策中说明更多。对于“同附属机构共享信息”,社交类网站、电子商务类网站比其他网站的说明更多。统计结果表明,与门户网站相比,社交类网站、电子商务类网站的隐私政策更为全面。
表4-5 各类网站隐私保护政策中使用与共享用户信息的方差分析(n=49)
四、结论与讨论
隐私保护政策,是网络企业为消除用户隐私担忧的一种行业自律行为。相对于政府制定法律规范等外力的强制性约束,企业可以自主选择是否制定,以及如何制定网络隐私保护政策。因此,早期的网络企业制定隐私保护政策,更多的是一种礼节性行为(Irene Pollach, 2006)。近年来随着网络市场的繁荣,大量网站涌现、相互竞争,为更好地吸引用户,证明网络企业信誉,适应国际市场竞争,制定与发布越来越详尽的网络隐私保护政策,成为网络企业运营的必备条件之一。
本研究发现,当前中国各类网站制定的网络隐私保护政策,无论从名称、内容详细程度、搜集用户信息的范围、共享用户信息的范围等方面都存在较大差异,与国际企业相比差距较大。
首先,网站有关隐私保护相关规定的命名不统一,较为混乱,并且用户无法较为便捷地找到相关隐私保护政策。例如,有称为“隐私政策”,也有命名“隐私声明”“隐私保护条例”“隐私保护协议”等;而且,大部分(42%)隶属于网络用户协议或用户手册(如京东等),有些(51%)虽然单列出来,但也是用户在使用网站相关服务之前必须接受的交易条款中的一部分(如当当网等)。这些情况,与美国网站的隐私保护政策不同。艾琳·波拉赫(Irene Pollach, 2006)的研究指出,美国大部分网站采取单独制定网络隐私保护政策,并统一命名为“隐私政策(privacy policy)”或“隐私声明(privacy statement)”,具有较高的识别度,便于用户发现相关隐私保护条款。
同时,本研究发现,用户在查找网络隐私保护政策时不够便利,通常要点击2次(占比60%)及以上,才可以找到相关的隐私保护政策,仅有四成(40%)的网站点击1次可以找到。这一结果与周涛(2009)的研究结果不一致,周涛的研究发现,大部分(61%)网站的隐私政策都在主页的下方有个链接,用户点击1次后即可看到隐私政策的内容。我们认为,出现不一致结果的原因主要在于,周涛(2009)研究的对象多为网络购物、电子支付等网站,该类网站涉及财产安全,因而会较为严格地对与之相关的个人信息进行保护。这一结果也与艾琳·波拉赫(2006)的研究结果不一致,艾琳·波拉赫针对零售类网站、新闻类网站、旅行类网站以及门户类网站等4类共49个网站的研究发现,90%的网站仅需在主页面上点击1次,即可找到相关的隐私保护政策。这表明,目前中国网站对制定和公布网络隐私保护政策重视不足,不排除有些网站为了维护其利益而故意淡化隐私保护责任(张平,2014)。
其次,中国网站隐私保护政策均声明会收集用户信息,但对收集用户何种信息,以及如何使用Cookie、Beacon等工具搜集信息说明不清。大部分网站(67%)在隐私保护政策中声明会使用Cookie收集用户的个人信息,但仅有三成(32%)的网站告知用户可以自行禁用Cookie。我们认为,有别于网站自己搜集用户提供的信息,Cookie属于第三方信息搜集工具,如果事先不告知用户使用Cookie的后果,以及如何禁用,实际上属于欺诈,有失交易公平。正如菲尔普斯等(Phelps, J. et al. 2000)的研究指出,网站有义务告知消费者其个人信息将如何被网站收集,正如有些网站要求用户必须提供真实信息以确保其交易得以进行一样。同时,本研究发现,各类网站的属性不同,在收集用户隐私信息内容与范围方面存在较大差异。例如,社交网站大部分需要用户在提供个人基本信息之外,提供其位置信息,尽管有声明用户可以通过关闭位置服务来禁止网站对其位置信息的搜集,但搜集位置信息作为一种默示,在用户使用网站时已自动生成,除非你主动去关闭。因此,用户一旦提交个人信息后,较难再对其实施控制。
再次,中国绝大部分网站都会与第三方共享用户信息隐私,较少网站明确表明不会出售用户个人信息,大部分网站没能明确告知用户不使用该服务时的退出机制。92%的网站表示会与第三方共享用户信息,但在信息共享声明中对将会与具体哪些机构共享用户个人信息语焉不详,仅有40%的网站明确表明不会出售用户个人信息。也有网站声明不会与第三方共享用户的个人信息,但附带有相关的豁免条件,如豆瓣网规定:“豆瓣会在法律要求或符合豆瓣的相关服务条款、软件许可使用协议约定的情况下透露您的个人信息。”近六成(占比59%)的网站未能告知用户在使用网站服务时有“opt-out”拒绝的选择权,例如,提示用户可以主动取消使用Cookie。而国际上将“opt-out”视作一种重要的网络消费者权益。
最后,中国网站隐私保护政策中普遍缺少对未成年人网络信息隐私的保护。近八成(占比77%)的网站隐私保护政策中未声明会保护未成年人的信息隐私安全。这可能因为中国缺少对未成年人的网络信息隐私的立法保护,因而各类网站疏于对未成年人个人信息的保护。以美国为例,1998年美国国会制定并由总统签署通过《儿童网络隐私保护法》(The Children's Online Privacy Protection Act of 1998,简称COPPA),对于商业网站在线收集13岁以下儿童的个人信息的行为进行了限制和规范,其中规定:与儿童有关的商业网站经营者,或有意向收集儿童个人数据的网站经营者,不得以不公平或欺诈方式收集、使用及披露13岁以下儿童网络个人数据,等等。美国网站在制定隐私保护政策时均会参照这一法律规定。
我们的研究发现,虽然也有网站明确声明不与未成年人产生交易行为,但未声明会不会不向他们收集个人信息。例如,亚马逊中国网的隐私声明中规定,“我们不向儿童销售产品,但我们向成年人销售儿童用品。如果您不满18岁,只有在父母或监护人参与的情况下您才能使用本网站”。
综上分析可以知道,近年来中国各类网站的隐私保护政策呈不断完善、不断进步的趋势,但仍存在诸多缺陷。各类网站隐私保护政策的许多条例尚类似于霸王条款,例如,网站声明的收集与共享用户个人信息的条款,实际上属于单方约定,用户没有选择权和任何议价能力。信息不对称、议价能力不均衡,以及集体行动难题,影响着人们的隐私保护能力(Shuan B. Spencer, 2002,转引自张民安,2014)。我们建议,制定隐私保护政策时,我们应参照国际网站的做法,以更为规范的、专业的方式来阐释对用户隐私保护的具体方法,使用户能更为清楚、直接地了解个人信息收集、使用和分享的流程,减少网民的隐私担忧,提高对网站的信任度和使用效率。同时,网民也要增强自我隐私保护意识,多关注网站的隐私保护政策,敢于主张自己的合法权益,明确自己对隐私权的合理期待,提升自己的议价能力,获取更为安全的网络服务。政府更应引导网络企业自律,规范用户隐私保护政策的落实。
同时,本研究发现,对个人信息要求不同,各类网站制定的隐私保护政策内容的详略不同,但保护手段基本一致,这一点与周涛(2009)的研究结果一致。我们认为是否可以出台一个在基本原则指导下的,有针对性和有区别的隐私保护行业规范,来指导不同行业网站的隐私保护行为。
本研究尚存在以下不足:由于是便利抽样,样本的代表性不足。在进一步的研究中需采用随机抽样,获取更具代表性的样本,全面考察中国网站网络隐私保护政策的状况,为网络企业制定更为规范、专业的隐私保护政策提供经验参考。
[1]Alexa排名是指网站的世界排名,主要分为综合排名和分类排名,Alexa提供了包括综合排名、到访量排名、页面访问量排名等多个评价指标信息,大多数人把它当作当前较为权威的网站访问量评价指标。