內(nèi)容提要：披露隱私政策是網(wǎng)站運營者在個人信息保護領域進行自我規(guī)制的重要方式。分析披露情況及其內(nèi)容可以窺見網(wǎng)站運營者保護用戶個人信息的實際情況，進而為完善網(wǎng)站個人信息保護制度提供有益的參考。通過對訪問量排前500的中文網(wǎng)站隱私政策進行統(tǒng)計分析，可以發(fā)現(xiàn)我國網(wǎng)站隱私政策披露取得初步的進展，但遠未達到理想的狀態(tài)，網(wǎng)站自我規(guī)制不足以成為保障用戶個人信息安全的主要規(guī)制手段。當前我國網(wǎng)站隱私政策披露具有遵守法定保護規(guī)范不理想、與推薦性保護規(guī)范脫節(jié)、受域外規(guī)范的影響顯著等三大特點。隱私政策披露顯露的現(xiàn)狀顯示網(wǎng)站運營者自我規(guī)制狀況堪憂，而相關主管部門的監(jiān)管存在困境。網(wǎng)站運營者應逐步提高隱私政策的披露力度，接受外界的監(jiān)督，而監(jiān)管改革的突破口可以考慮選在適度集中監(jiān)管權、探索新型監(jiān)管手段和提高規(guī)則的威懾力等三個方面。

關鍵詞：隱私政策；披露；個人信息保護；自我規(guī)制；立法模式 

無法把握個人信息保護的實際狀況是世界各國實務界面臨的難題，也是學術研究的難題。[1]面對這一困境，隱私政策披露的重要性就得以凸顯。隱私政策是實現(xiàn)個人信息保護機制“告知-同意”效力的最重要手段。[2]通過隱私政策，網(wǎng)站運營者得以向用戶全面展示其個人信息保護的實踐，而用戶也得以就該問題向網(wǎng)站運營者提出申訴。隱私政策的有無及完善程度，決定了網(wǎng)站運營者和用戶之間是否能夠保持充分的互動。[3]將隱私政策的內(nèi)容同法定的個人信息保護規(guī)則進行對比，可以窺見企業(yè)遵守法定保護要求的程度。[4]剖析隱私政策納入推薦性保護要求和創(chuàng)新性保護規(guī)則的情況，可以窺見網(wǎng)站運營者在自我規(guī)制方面的努力。[5]隱私政策更多地是企業(yè)單方面的承諾，并不能當然地反映其個人信息保護的實際情況。但總結提煉這類承諾可以起到接近事實真相的效果，因為披露隱私政策的企業(yè)不一定完全按照其承諾的規(guī)則來行事，但是未作出承諾或者作出極為有限承諾的網(wǎng)站運營者，其個人信息保護的狀況必然是令人擔憂的。本文以訪問量排前500中文網(wǎng)站的隱私政策為樣本，通過統(tǒng)計分析，評析網(wǎng)站保護用戶個人信息的實際狀況，進而為我國相關制度的完善提出建議。

一、隱私政策披露、企業(yè)自我規(guī)制與立法模式選擇

隱私政策披露體現(xiàn)了企業(yè)在用戶個人信息保護方面的自我規(guī)制，而是否重視自我規(guī)制則反映了該國在個人信息保護立法模式選擇上的差異。圍繞自我規(guī)制的法律定位，歐盟和美國代表了兩種不同的立法模式。美國采取企業(yè)自我規(guī)制為主，政府規(guī)制為輔的模式。[6]1998年美國聯(lián)邦貿(mào)易委員會在呈遞給國會的報告中首次明確表示，企業(yè)自我規(guī)制應是實現(xiàn)個人隱私保護的首要規(guī)制工具，其重要程度超過技術解決、消費者教育和政府規(guī)制等工具。[7]盡管歐盟立法模式被世界越來越多的國家所采納，但是美國仍然堅持其自我規(guī)制為主的治理進路。2008年美國個人信息保護領域的代表學者保羅·斯瓦茨在耶魯法律學刊上撰文指出，美國應堅持分散立法，允許包括企業(yè)在內(nèi)的多個規(guī)制主體共同探索個人信息保護的最佳實踐。[8]

歐盟立法在個人信息保護方面采取政府規(guī)制為主、企業(yè)自我規(guī)制為輔的治理進路。歐盟秉持對社會權利進行全面保護的理念，認為公法是保障包括隱私權在內(nèi)的公民基本權利的基礎，國家權力應積極介入到權利保護的實踐中去。[9]基于這一理念，西歐各國從上世紀70年代初期便無一例外地采取制定綜合性的個人數(shù)據(jù)保護法。歐盟于2016年制定的《一般數(shù)據(jù)保護條例》也繼續(xù)秉持全面保護理念。參與《條例》起草的歐盟學者保羅·赫特聲稱《條例》是“保護個人隱私權的堅實法律基礎”，也是“歐盟人權保護領域值得慶賀的新篇章”。[10]歐盟個人數(shù)據(jù)保護立法的快速推進給當?shù)鼐W(wǎng)站運營者確立了越來越高的保護標準。在強調(diào)政府規(guī)制主導地位的同時，歐盟及其成員國政府也認為有效的個人信息保護有賴于政府規(guī)制和企業(yè)自我規(guī)制的互動。歐盟通過發(fā)布白皮書、行動計劃等政策性文件的形式鼓勵企業(yè)披露隱私政策，積極落實法定的保護要求。[11]

網(wǎng)站隱私政策披露問題引起西方學術界的廣泛關注。約從2000年起，從不同視角和學科探討隱私政策的英文學術成果陸續(xù)問世。現(xiàn)有學術成果集中探討的問題包括隱私政策的形式^[12]、內(nèi)容的合法性^[13]、影響披露的因素^[14]、披露的效果^[15]等。現(xiàn)有的研究揭示了隱私政策披露的若干重點問題，但也存在明顯的局限：它們基本是在美國法的背景下展開，以美國網(wǎng)站或世界五百強企業(yè)網(wǎng)站為研究對象，缺乏針對其他國家和地區(qū)隱私政策披露的研究成果。當前無論是中文還是英文學術界，針對中文網(wǎng)站隱私政策披露的研究尚未引起足夠的重視。[16]2016年《網(wǎng)絡安全法》（以下簡稱《網(wǎng)安法》）納入了7項基本保護規(guī)則。國家標準委員會于2017年出臺的推薦性國家標準《《信息安全技術—個人信息安全規(guī)范》（以下簡稱《規(guī)范》）》則在法定規(guī)則基礎上，提出了5項較高要求。2018年9月第十三屆全國人大常委會將制定個人信息保護法列入第一類立法規(guī)劃。2019年4月修訂的《政府信息公開條例》在進一步保障公民獲得政府信息的同時，也間接地對政府處理和保護公民個人信息提出了更高的要求。[17]在相關立法工作逐步推進的關鍵時間節(jié)點上，本文通過分析網(wǎng)站運營者隱私政策披露的現(xiàn)狀，剖析其同現(xiàn)行兩類主要正式規(guī)范的契合度，進而探查我國個人信息保護的現(xiàn)狀，這對于個人信息保護立法工作的推進是有意義的。

二、樣本的選取與整體情況分析

本研究選取訪問量排前500位中國大陸網(wǎng)站的隱私政策作為研究樣本。樣本從Alexa網(wǎng)站上集中收集。Alexa是一家由美國亞馬遜公司開發(fā)的數(shù)據(jù)分析網(wǎng)站，該網(wǎng)站提供全球范圍內(nèi)網(wǎng)站訪問量排名信息。[18]由于Alexa網(wǎng)站上的信息每天更新，為了確保樣本數(shù)據(jù)的準確性和客觀性，我們于2018年12月1日集中搜集了所需的樣本信息。按照訪問量來收集樣本的原因在于訪問量越高的網(wǎng)站對網(wǎng)民的影響越大，收集的個人信息越多。以行業(yè)為標準來選取樣本也是一個可行的方法，但是筆者經(jīng)過考慮后放棄了這一方式，這是因為在許多行業(yè)中，某個或者某幾個企業(yè)具有顯著的市場支配地位，而剩余企業(yè)的市場份額極低，如果將某個行業(yè)的全部或者相當部分企業(yè)都納入到樣本中，反而會在實質(zhì)上降低樣本的廣泛性和代表性。搜集結果顯示，我國網(wǎng)站訪問量十分可觀。全球訪問量排名前10的網(wǎng)站中有5個是中國網(wǎng)站；而在全球訪問量前20網(wǎng)站的榜單里，中國有8個網(wǎng)站上榜。[19]運營網(wǎng)站的企業(yè)或個人如何保障這些信息的安全就構成了我國個人信息保護的重要一環(huán)，這凸顯了本研究的價值。

在訪問量排前500位的網(wǎng)站大樣本中，公開披露其隱私政策的網(wǎng)站數(shù)量為348個，占大樣本的比例是69.6%。在訪問量排前100位的網(wǎng)站中，有80個網(wǎng)站披露了隱私政策。以上數(shù)據(jù)表明我國訪問量排前列的網(wǎng)站運營者已經(jīng)有披露隱私政策的自覺。為了探究隱私披露同訪問量的關系，我們以“是否披露隱私政策”為因變量，以訪問量為自變量，通過Probit回歸分析方法進行檢驗，發(fā)現(xiàn)P值僅為0.0165，這表明隱私政策的披露同訪問量存在顯著正相關的關系。[20]換言之，檢驗結果顯示訪問量越高的網(wǎng)站，越傾向于披露隱私政策。

反過來看，大樣本中有152個網(wǎng)站未披露隱私政策，占網(wǎng)站總數(shù)的30.4%。根據(jù)《網(wǎng)安法》第41條的規(guī)定，網(wǎng)絡運營者應當公開收集、使用個人信息的規(guī)則，明示收集、使用信息的目的、方式和范圍。根據(jù)上述規(guī)定，網(wǎng)站運營者披露隱私政策已成為一項法定義務。近三分之一的未披露隱私政策的網(wǎng)站在事實上已處于違反《網(wǎng)安法》關于公開透明的要求。[21]隱私政策的缺失表明網(wǎng)站運營者在用戶個人信息保護方面持消極的態(tài)度。這些網(wǎng)站收集、使用個人信息的過程處于秘密的狀態(tài)，從而導致這些網(wǎng)站的用戶往往無法及時地知曉個人信息泄露和濫用的情況，即使發(fā)現(xiàn)這些情況也缺乏申訴的渠道。

三、隱私政策與現(xiàn)行保護規(guī)則的契合度分析

在解決了隱私政策“有”與“無”的問題后，接下來就要進入實質(zhì)內(nèi)容的討論。核心問題是大樣本中的348個隱私政策在多大程度上遵守《網(wǎng)安法》和《規(guī)范》的標準？這個問題可以分解為3個子問題。首先，這些隱私政策在多大程度上遵守《網(wǎng)安法》的基本要求？其次，這些隱私政策在多大程度上遵守《規(guī)范》的推薦性要求？最后，這些隱私政策是否有超越上述兩類正式規(guī)范的規(guī)定？

（一）    隱私政策在多大程度上遵守《網(wǎng)安法》的7項基本要求？

2000年12月全國人大常委會通過了《全國人大常委會關于維護互聯(lián)網(wǎng)安全的決定》，該決定的出臺標志著我國個人信息保護立法的起步。經(jīng)過十多年的立法推進，《刑法》、《消費者權益保護法》、《網(wǎng)安法》等若干現(xiàn)行國家法律已經(jīng)納入了個人信息保護的規(guī)定。在這些國家法律中，《網(wǎng)安法》對于網(wǎng)絡運營者信息保護義務的規(guī)定最為全面和細致。該法關于個人信息保護的規(guī)定中有7項是對網(wǎng)絡運營者提出的要求，列舉如下：

表1：《網(wǎng)安法》關于網(wǎng)絡運營者個人信息保護義務的規(guī)定（41條-49條）

從內(nèi)容上看，上述《網(wǎng)安法》的7項保護要求符合上世紀70年代初起源于美國的“公正信息處理原則”。[22]此外，上述7項原則與經(jīng)合組織于1980年出臺的《隱私保護與個人數(shù)據(jù)跨境指引》保持大體的一致，保護力度稍弱于后者。[23]鑒于“公正信息處理原則”和《指引》都已成為世界普遍承認的個人信息保護基本標準，《網(wǎng)安法》的出臺表明我國的個人信息保護規(guī)則與世界通行規(guī)則保持一致，也體現(xiàn)了我國愿意在經(jīng)合組織的框架下參與全球數(shù)據(jù)治理的積極姿態(tài)。大樣本中的隱私政策內(nèi)容總是包含部分或者全部符合《網(wǎng)安法》7項的要求。因此本研究按照《網(wǎng)安法》的7項要求將樣本中的隱私政策的內(nèi)容進行分解和歸類。樣本中348個隱私政策所囊括單項保護要求的理論最大值是348個（即所有隱私政策都納入了此項保護要求），因此符合每項要求的條款總數(shù)應是等于或者小于348，由此我們可以繪制出下表。

表2：大樣本中網(wǎng)站隱私政策符合《網(wǎng)安法》7項基本要求的情況

通過表2，我們可以發(fā)現(xiàn)樣本隱私政策覆蓋法定基本要求方面較不完善，不同的法定要求被遵守的程度存在很大差異，其中只有第四項法定標準得到普遍的遵循（93.4%）。在348個隱私政策中，約有三分之一是以簡短的聲明形式出現(xiàn)，其中往往包括第四項標準，一般表述為“對于用戶的個人信息，本網(wǎng)站予以嚴格保密”或者“本網(wǎng)站不會向任何第三方披露、轉(zhuǎn)讓或者出售用戶個人信息”。其它六項標準的遵循比例在48%（個人申訴）到63.5%（安全保護）之間�？梢姌颖局须[私政策的內(nèi)容很不全面，覆蓋的保護要求數(shù)量有限且存在很大差異。需要引起注意的是相當部分的隱私政策是在《網(wǎng)安法》通過以前（2016年11月7日）制定或者最后修訂。而在此之前，我國法律對于網(wǎng)絡運營者的個人信息保護僅有原則性規(guī)定。[24]許多網(wǎng)站納入的若干個人信息保護規(guī)定在當時屬于高于實在法的創(chuàng)新性要求，但是當《網(wǎng)安法》出臺后卻又陷入無法完全滿足法定要求的困境。該困境表明網(wǎng)站運營者在個人信息保護方面進行自我規(guī)制的主動性不足，也表明網(wǎng)站運營者回應立法要求十分遲緩。

（二）    隱私政策在多大程度上遵守《規(guī)范》的5項較高要求？

國家標準委員會于2017年12月發(fā)布的國家標準《規(guī)范》對個人信息控制者的個人信息保護義務進行了較為全面和詳細的規(guī)定�！兑�(guī)范》包含兩個方面的主要內(nèi)容。一方面《規(guī)范》納入了實施性的規(guī)則，目的是細化《網(wǎng)安法》關于個人信息保護的規(guī)定。例如《規(guī)范》5.3和5.4對什么是個人授權同意及其例外情形進行了列舉，又如《規(guī)范》7.11對信息控制者回應個人申訴的期限、程序等問題進行了較為細致的規(guī)定。另一方面《規(guī)范》強化和新增了個人信息保護的要求。這體現(xiàn)在如下5項較高要求上：

表3：《規(guī)范》關于個人信息保護義務的較高要求

盡管《規(guī)范》從性質(zhì)上看屬于非強制性的國家標準，但是該標準具有較強的規(guī)范意義，對于執(zhí)法、司法機構和企業(yè)而言具有重要的參照價值。《規(guī)范》對于我國網(wǎng)絡運營者個人信息保護的積極影響可以從以下兩個方面來認識。首先，《規(guī)范》有助于推動企業(yè)加強對客戶個人信息的保護力度。《規(guī)范》的起草單位包括主管部門下屬的研究院、高校、科技企業(yè)等諸多主體，盡管不具有法律上的約束力，《規(guī)范》仍具有很強的指導意義，市場中的企業(yè)不能對其視而不見�！兑�(guī)范》的較高要求更接近公眾對其個人信息保護的預期，這同企業(yè)探索最佳商業(yè)實踐是一致的，這有助于增強企業(yè)保護個人信息的動力。其次，《規(guī)范》具有制度探索上的重大意義�！兑�(guī)范》納入的超實定法的若干要求可以先由企業(yè)自愿實施，待時機成熟后，再通過立法加以確認。因此，《規(guī)范》的出臺和實施可以起到“試驗田”的作用。[25]綜合以上論述，《規(guī)范》的規(guī)定為我們審視網(wǎng)站隱私政策提供了可靠的第二類標準。下表體現(xiàn)了樣本隱私政策響應《規(guī)范》較高要求的情況。

表4：樣本中的網(wǎng)站隱私政策符合《規(guī)范》5項較高要求的情況

根據(jù)上表，總體而言樣本中隱私政策遵守《規(guī)范》較高要求的程度偏低。在這5項要求中，遵守程度相對較高的是第四項“確保個人訪問”。共有142個隱私政策遵守該要求，占隱私政策總數(shù)的40.8%。值得注意的是，從比較法的角度而言“確保個人訪問”并非是較高的保護要求。該要求早在1980年就被經(jīng)合組織確認為個人信息保護的八項基本要求之一。樣本網(wǎng)站遵守《規(guī)范》其它四項要求的情況更能說明問題。這四項要求被遵守的程度要遠低于“確保個人訪問”的要求，其中共有84個隱私政策承諾在合理期限內(nèi)保存用戶個人信息，占隱私政策總數(shù)的24.1%。而承諾給予敏感信息特殊保護的隱私政策共有53個，占隱私政策總數(shù)的15.2%。僅有10個隱私政策遵循第五項標準，即建立安全影響評估制度。而第一項標準“最小化收集”被遵守程度就更低了。沒有任何隱私政策承諾按照《規(guī)則》的最小化標準來收集用戶個人信息。這些網(wǎng)站更傾向于使用只收集與提供的服務“相關的”或者“必要的”個人信息等模糊表述。

（三）    隱私政策是否有超越《網(wǎng)安法》和《規(guī)范》的規(guī)定？

雖然《網(wǎng)安法》和《規(guī)范》的要求覆蓋面較廣，但是鑒于隱私政策在內(nèi)容上的多樣性，這些隱私政策可能包含未被上述兩類規(guī)范所囊括的新規(guī)定。筆者逐個分析了隱私政策文本，驗證了這一設想。通過文本分析，從中提煉出三項較為普遍的用戶個人信息保護要求，分別是（1）明示cookie技術的使用，^[26]（2）對未成年人個人信息的特別保護，（3）對個人數(shù)據(jù)跨境傳輸?shù)南拗啤１?/span>5顯示了這三類新要求的數(shù)量和占比。

表5：隱私政策較為普遍納入的三項新要求

第一項較為普遍納入的規(guī)定是明示cookie技術的使用。樣本中有190個隱私政策對cookie技術的使用進行了規(guī)定，占隱私政策數(shù)量的54.6%。這些規(guī)定的內(nèi)容主要包括闡釋cookie的功能和目的、該技術收集用戶信息的范圍以及用戶的權利等。這些隱私政策一般明確表示cookie的功能在于識別用戶身份、收集用戶的偏好和習慣，利用cookie的這些功能的目的在于更好地刻畫用戶的特征，進而為用戶提供個性化的服務和廣告。明示收集的信息包括注冊信息、通訊信息、位置信息等。此外這些隱私政策普遍承諾用戶有權禁用或者清除cookie。

第二項較為普遍納入的規(guī)定是對未成年人個人信息的特別保護。共有144個隱私政策規(guī)定了對未成年人個人信息的保護，占隱私政策總數(shù)的41.4%。這些隱私政策普遍要求未滿18周歲的未成年人注冊賬號和使用網(wǎng)站服務前應獲得其法定監(jiān)護人的同意。部分隱私政策還要求網(wǎng)站收集、共享、轉(zhuǎn)讓和披露未成年人的個人信息前應獲得其法定監(jiān)護人的明示同意。個別網(wǎng)站還納入了更為嚴格的規(guī)定。如微信（網(wǎng)頁版）的隱私政策規(guī)定，13歲以下的兒童不得使用微信，該網(wǎng)站也不會收集13歲以下兒童的個人信息。[27]

第三項普遍納入的規(guī)定是關于個人數(shù)據(jù)跨境傳輸?shù)南拗�。對個人數(shù)據(jù)跨境傳輸進行限制的合理性在于數(shù)據(jù)具有無限復制、瞬時傳輸和轉(zhuǎn)移成本極低的特性，傳統(tǒng)的海關等出入境管理無法對數(shù)據(jù)出境進行有效的監(jiān)管。如果放任個人數(shù)據(jù)出境，將使境外不法分子利用所在第三國個人信息保護力度較弱的“優(yōu)勢”，惡意利用本國公民的個人信息，最終損害信息主體的利益，也將使本國個人信息保護的努力大打折扣。[28]樣本中共有53個隱私政策規(guī)定了個人數(shù)據(jù)的跨境傳輸問題，占隱私政策總數(shù)的15.2%。這些隱私政策普遍要求在中國境內(nèi)產(chǎn)生的個人數(shù)據(jù)應在境內(nèi)存儲為原則，當有必要傳輸至其他國家時，應遵循一系列規(guī)則，這包括（1）獲得用戶的同意，（2）采取去標識化和匿名化等安全措施，（3）按照法律法規(guī)的要求進行安全評估，（4）承諾將按照隱私政策的要求為出境后的個人數(shù)據(jù)提供同等的或者足夠的保護等�？紤]到并不是所有網(wǎng)站有數(shù)據(jù)跨境傳輸?shù)男枨�，占比達15.2%也屬于不低的比例。

四、隱私政策披露顯露的問題

基于前文的統(tǒng)計描述與分析并結合我國個人信息保護制度，筆者認為我國中文網(wǎng)站隱私政策披露已取得一定程度的進展。超過半數(shù)的樣本網(wǎng)站選擇披露隱私政策，這說明對于這些訪問量排前列的網(wǎng)站而言，隱私政策披露已成為較為普遍的自覺行為。但總體來看，樣本網(wǎng)站隱私政策披露仍處于初級發(fā)展階段，同我國法定要求、推薦性要求以及世界個人信息保護制度的新發(fā)展有相當大的差距。過低的保護現(xiàn)狀同較高保護要求的差距如果不能彌合，將對現(xiàn)今我國《個人信息保護法》的制定和實施產(chǎn)生直接的負面影響�？傮w而言，我國隱私政策披露顯示的個人信息保護問題可以從兩個方面進行觀察，即，網(wǎng)站運營者自我規(guī)制的實踐以及主管機構的監(jiān)管實踐。本部分將圍繞這兩個方面進行論述。

（一）    網(wǎng)站運營者自我規(guī)制現(xiàn)狀堪憂

從自我規(guī)制的角度來看，可以發(fā)現(xiàn)盡管隱私政策披露取得了一定的發(fā)展，但是僅66%的披露比例說明，目前的網(wǎng)站隱私政策披露還有較大的提升空間。網(wǎng)站運營者收集和處理用戶個人信息的實踐無法通過隱私政策進行充分披露，這意味著企業(yè)的信息處理實踐在很大程度上處于不為外人所知的“黑箱”狀態(tài)，包括監(jiān)管機構在內(nèi)的外部主體很難了解“黑箱”的原理和運行流程，從而給監(jiān)管帶來很大的困難。網(wǎng)站運營者的個人信息處理實踐“出不來”在一定程度上表明網(wǎng)站保護用戶個人信息的情況不容樂觀。這個問題可以從以下幾個方面進行論述。

首先，仍有相當比例的網(wǎng)站未披露隱私政策。但根據(jù)上文統(tǒng)計，僅約有三分之二的樣本網(wǎng)站披露了隱私政策。與西方同類研究進行對比可以發(fā)現(xiàn)我國網(wǎng)站隱私政策披露的比例偏低。[29]未披露隱私政策也許并不必然表明網(wǎng)站運營者有濫用用戶個人信息的故意，但是至少可以說明這些網(wǎng)站運營者缺乏對用戶個人信息保護的重視。從樣本選擇角度來看，本研究所揭露的低披露比例很可能只是中文網(wǎng)站個人信息保護的諸多問題中的冰山一角。上文通過Probit回歸分析指出，網(wǎng)站訪問量同隱私政策披露呈顯著正相關的關系，即，訪問量越高，隱私政策的披露比例越高，反之亦然。目前我國中文網(wǎng)站總數(shù)已超過500萬個。這些海量中文網(wǎng)站總體披露比例必然遠低于訪問量排前500位的中文網(wǎng)站。從這一角度而言，中文網(wǎng)站整體上的用戶個人信息保護狀況不容樂觀。

其次，落實法定基本要求的程度不高。上文統(tǒng)計顯示，《網(wǎng)安法》第4項法定要求“使用限制”被93.4% 的隱私政策所納入外，其它6項法定要求的納入率均在半數(shù)左右。這一守法狀態(tài)顯然是難以令人滿意的。較低的納入率并非源于我國法定規(guī)則不合理或標準過高。上文指出《網(wǎng)安法》7項法定要求與上世紀80年代初所確立的第一代國際普遍規(guī)則保持大體的一致。上世紀90年代中期以后，西歐國家積極探索個人信息保護的規(guī)則，大幅提高了保護的標準，由此形成以歐盟1995年《數(shù)據(jù)保護指令》為代表的第二代國際普遍規(guī)則。因此我國法定保護標準不是過高，而是偏低。鑒于偏低的現(xiàn)行法定要求，我國未來《個人信息保護法》在保護的范圍和力度上都將有較大的發(fā)展。那么如果體現(xiàn)較低保護要求的現(xiàn)行法定基本規(guī)則都無法得到良好的遵守，那么即使未來《個人信息保護法》能夠出臺，該法將因為法定要求與實踐的巨大鴻溝而出現(xiàn)實施的困難。

再次，響應推薦性規(guī)范要求的比例偏低。從上文的統(tǒng)計來看，《規(guī)范》的較高要求在樣本隱私政策中有一定程度的體現(xiàn)，但體現(xiàn)的總體情況不佳。除“確保個人訪問”被約四成的隱私政策納入外，其它四項較高要求的納入率不足三成，這其中“最小化收集”沒有被任何一家網(wǎng)站的隱私政策所納入。隱私政策相應《規(guī)范》的情況不如人意是因為《規(guī)范》的要求過于超前嗎？將《規(guī)范》同域外規(guī)則進行比較，就可以發(fā)現(xiàn)事實并非如此。“確保個人訪問”的要求其實并不“高”，早在1980年經(jīng)合組織的《隱私保護與個人數(shù)據(jù)跨境指引》就納入了這一要求，屬于第一代世界普遍規(guī)則�！兑�(guī)范》的其它要求部分地借鑒了歐盟1995《指令》的規(guī)定，因此《規(guī)范》的出臺可被視為我國個人信息保護規(guī)則同全球第二代保護規(guī)則接軌的嘗試。[30] 但從上文統(tǒng)計的結果來看，這次嘗試并不太成功，網(wǎng)站隱私政策的內(nèi)容同《規(guī)范》的要求契合度過低，兩者之間存在較大程度的脫節(jié)問題，這也說明當前我國網(wǎng)站個人信息保護的力度同當前全球普遍保護水準還有相當大的差距。

最后，缺乏基于本土實踐的規(guī)則創(chuàng)新。上文統(tǒng)計的超越《網(wǎng)安法》和《規(guī)范》的三項普遍要求，尤其是明示cookie的適用和對未成年人的特別保護，被較多的隱私政策所納入。從來源來看，上述新要求并非是樣本中的網(wǎng)站運營者根據(jù)本土個人信息保護實踐而創(chuàng)造的規(guī)則，而是借鑒國際上普遍承認規(guī)則的結果。誠然我國未來個人信息保護立法應廣泛借鑒域外具有普遍性質(zhì)的保護規(guī)則，但也應積極探索和確認具有本國特色的規(guī)則。盡管歐盟和美國都將隱私權作為憲法上的基本權利，但由于保護理念與權利位階等方面的差異，這兩個地區(qū)在個人信息保護立法形式、具體規(guī)則設計、司法審查的強度等方面呈現(xiàn)出顯著且不可彌合的差異。[31]歐盟和美國在文化和政治制度上同根同源，即便這樣，兩者在個人信息保護制度構建方面尚且有如此大的不同，那么異質(zhì)性更強的中國更應構建具有本國特色的個人信息保護制度。

（二）    主管部門的監(jiān)管困境

網(wǎng)站運營者未披露或未完全披露隱私政策，都屬于同《網(wǎng)安法》“公開透明”規(guī)則相抵觸的行為。而未披露或未完全披露現(xiàn)象的普遍、持續(xù)存在表明我國網(wǎng)站用戶個人信息安全狀況堪憂。通過本文的分析，我們有理由相信網(wǎng)站運營者未履行用戶個人信息安全義務甚至惡意濫用用戶個人信息的現(xiàn)象并不少見，目前窺見的僅是冰山一角而已。[32]根據(jù)《消費者權益保護法》和《網(wǎng)安法》的規(guī)定，對于侵害個人信息的行為，相關主管部門應責令改正，并可以根據(jù)情節(jié)處以從警告、罰款直至吊銷營業(yè)執(zhí)照的行政處罰。但在實踐中較為常見的是對自然人非法獲取、出售個人信息等嚴重侵犯公民個人信息的行為實施刑事制裁，但相關主管部門極少對企業(yè)收集、利用用戶個人信息失范的行為處以行政處罰。這一現(xiàn)象的出現(xiàn)主要有如下兩個原因。

第一，我國個人信息保護監(jiān)管機構的設置尚待完善。從機構配置來看，我國現(xiàn)行體制是將監(jiān)管權分散賦予現(xiàn)有的各類政府監(jiān)管機構。與我國分散式執(zhí)法不同，歐盟的《數(shù)據(jù)保護指令》和《一般數(shù)據(jù)條例》設置了專門的數(shù)據(jù)監(jiān)管機構，并將機構的設置與職權的構建作為保障法律實施的最為重要環(huán)節(jié)。應該承認分散式執(zhí)法和集中式執(zhí)法各有其內(nèi)在的優(yōu)勢與劣勢，不能一概而論。對于分散式執(zhí)法而言，其最大的優(yōu)勢在于能夠發(fā)揮各主管部門的專業(yè)優(yōu)勢，能夠更有針對性地對本領域個人信息保護問題進行監(jiān)管。但遺憾的是，該優(yōu)勢功能未能在我國個人信息保護的實踐中得以發(fā)揮。由于我國的監(jiān)管機構已有各自的傳統(tǒng)監(jiān)管任務，使得多數(shù)部門未將個人信息保護作為自己的主要工作。

第二，我國監(jiān)管機構尚未發(fā)展出常態(tài)化、積極的執(zhí)法手段。實踐中往往是在大規(guī)模個人信息濫用和泄露等丑聞出現(xiàn)且引發(fā)輿情后，監(jiān)管機構才啟動針對涉事企業(yè)的審查和處罰程序。如此操作不僅是滯后的，而且存在掛一漏萬的情形。2018年初的支付寶賬單事件是一個典型的事例。支付寶推出的查詢賬單功能在收集用戶信息時存在誤導用戶的情況。在該事件引發(fā)全國范圍的強烈反響之后，中國人民銀行杭州支行才對該公司開出了罰單。[33]

第三，我國監(jiān)管機構普遍缺乏相應的技術力量對企業(yè)個人信息保護狀況進行有效的監(jiān)督。隨著互聯(lián)網(wǎng)經(jīng)濟和互聯(lián)網(wǎng)平臺企業(yè)的興起，由于自身技術力量的不足，監(jiān)管機構已開始要求互聯(lián)網(wǎng)平臺機構利用其技術優(yōu)勢承擔一定的監(jiān)管職能。國家網(wǎng)信辦于2018年頒布的《即時通訊工具公眾信息服務發(fā)展管理暫行規(guī)定》第8條要求即時通訊工具服務提供者應承擔審核公眾賬號開設的義務。筆者于2019年6月赴若干互聯(lián)網(wǎng)企業(yè)調(diào)研發(fā)現(xiàn)，監(jiān)管機構越來越頻繁地要求互聯(lián)網(wǎng)企業(yè)提供結構化程度很高的數(shù)據(jù)，該數(shù)據(jù)是對平臺內(nèi)商戶進行常規(guī)執(zhí)法的重要參考。技術上的差距必然會影響監(jiān)管機構對互聯(lián)網(wǎng)企業(yè)個人信息保護的實踐展開有效的執(zhí)法檢查。

上述我國主管部門的監(jiān)管困境不僅不利于保障網(wǎng)站用戶的個人信息安全，從長期來看也將導致企業(yè)怠于履行隱私政策披露和個人信息保護的法定義務，這一狀態(tài)不利于企業(yè)的長遠發(fā)展，尤其不利于開拓海外市場。在個人信息保護領域，本國執(zhí)法機構尚未作為，并不意味著該違法行為能夠規(guī)避處罰。外國執(zhí)法機構“先行”或“代為”處罰的現(xiàn)象已開始出現(xiàn)。最近的抖音國際版被美國監(jiān)管機構處罰便是典型事例。2019年2月美國聯(lián)邦貿(mào)易委員會作出裁決，以違反《兒童隱私保護法》為由，對抖音國際版處以高達570萬美元的罰款。[34]歐盟《一般數(shù)據(jù)保護條例》的處罰以涉事企業(yè)全球營業(yè)總額為基礎，最高可達該總額的4%。[35]這意味著一家中國企業(yè)，盡管其大部分業(yè)務在國內(nèi)，歐盟業(yè)務僅占其總業(yè)務的一小部分，但在歐盟境內(nèi)違反個人信息保護法的商業(yè)行為也有可能引發(fā)針對該企業(yè)整體上的巨額罰款，從而對其生存和海外業(yè)務的開拓產(chǎn)生重大影響。

五、結語

文本的實證研究所揭示的問題可以從兩個方面進行總結。一方面，網(wǎng)站隱私政策或多或少地納入了法定要求、推薦性要求和若干域外要求，部分要求的納入率較高，這表明我國網(wǎng)站運營者的自我規(guī)制已取得了初步的發(fā)展�？紤]到《網(wǎng)安法》和《規(guī)范》的實施時間不長，相關規(guī)定的實施還在探索中，目前隱私政策披露所取得的進展更多地應歸結為網(wǎng)站運營者在自我規(guī)制上的努力。企業(yè)自我規(guī)制已成為我國個人信息保護體系不可忽視的一環(huán)。另一方面，網(wǎng)站運營者的自我規(guī)制遠未達到理想的狀態(tài)。在法定要求和推薦性要求都較大程度低于世界第二代普遍保護標準的情況下，我國網(wǎng)站隱私政策無論是披露的比例還是內(nèi)容的完整度仍然不高，其實際的保護狀況令人疑慮和擔憂，這同時也表明當前網(wǎng)站自我規(guī)制不足以成為保障個人信息安全的主要規(guī)制手段。

筆者相信未來以隱私政策披露為外在表現(xiàn)形式的自我規(guī)制將繼續(xù)發(fā)展，在個人信息保護領域?qū)⑵鸬皆絹碓街匾�的作用。但是也應該承認這一過程盡管值得期待，卻是頗為緩慢的，無法在短期內(nèi)提升我國個人信息保護的整體水平。因此美國以自我規(guī)制為主的數(shù)據(jù)隱私保護模式在我國的可行性不高�！秱�人信息保護法》提上全國人大常委會的立法議程表明我國立法者傾向于對個人信息實行全面的立法保護。完善網(wǎng)站隱私政策的首要工作是提高其合規(guī)程度，未來的制度構建應圍繞網(wǎng)站保護實踐和主管部門的監(jiān)管實踐展開。

從網(wǎng)站自我規(guī)制來看，應大幅提高網(wǎng)站運營者披露隱私政策的水平。只有將網(wǎng)站運營者的用戶個人信息收集和處理實踐較為頻繁地公開，才能在一定程度上打破其技術黑箱，從源頭上防治個人信息的濫用。[36]具體的改革可以從兩個方面著手。

第一，構建更為全面的保護規(guī)則體系。網(wǎng)站運營者應嚴格遵循法定保護規(guī)則的要求，同時根據(jù)自身情況，積極納入推薦性規(guī)則。為了更好地起到引導的作用，應在充分考慮當前企業(yè)隱私政策披露發(fā)展現(xiàn)狀的基礎上對《規(guī)范》進行修訂，全面納入符合實際需要的體現(xiàn)較高保護水平的規(guī)則。一方面應有選擇地借鑒西方個人信息保護立法的經(jīng)驗。歐盟和美國是世界范圍內(nèi)最有價值的科技產(chǎn)品和服務市場，借鑒其有益的立法經(jīng)驗也能降低我國企業(yè)遭遇執(zhí)法機構處罰的可能性，從而有助于打開歐美市場。另一方面應總結提煉我國本土的個人信息保護實踐。在大數(shù)據(jù)技術和產(chǎn)品不斷涌現(xiàn)的情況下，我國個人信息保護規(guī)則的創(chuàng)新也應得到加強，從而打破歐盟和美國在構建全球個人信息治理體系上的壟斷。

第二，實施個人信息安全報告強制披露制度。網(wǎng)站運營者應根據(jù)法定的要求和隱私政策的承諾展開個人信息安全保障工作，定期形成書面報告提交給監(jiān)管機構并向公眾公開。該類報告除了應披露保障措施的落實情況外，還應重點披露個人信息安全事件，包括事件的數(shù)量、規(guī)模、易遭受侵害的個人信息類型、造成的實際損失等。發(fā)生重大個人信息安全事件后，網(wǎng)站運營者在事前盡到安全防范責任且及時上報的，可以減輕或者免除處罰；如果隱瞞不報或者謊報的，應從重處罰。

從監(jiān)管角度來看，應構建行之有效的監(jiān)管機制，使得主管部門能夠有效地對網(wǎng)站進行監(jiān)督檢查，在必要時能夠及時介入，避免損害的擴大。具體的改革可以從三個方面著手。

第一，適度集中監(jiān)管權。應考慮將監(jiān)管權適度集中。當前承擔主要監(jiān)管權的較為適宜的機構是網(wǎng)信部門。具體而言，對于傳統(tǒng)行業(yè)，可以考慮實行網(wǎng)信部門牽頭，各職能部門參與的聯(lián)合監(jiān)管的方式；對于交叉行業(yè)和新興行業(yè)，可以考慮實行網(wǎng)信部門主導的監(jiān)管方式。數(shù)字經(jīng)濟的快速發(fā)展給個人信息保護的監(jiān)管帶來很大的挑戰(zhàn)，這在客觀上要求監(jiān)管機構應具有與之相匹配的監(jiān)管權。網(wǎng)信部門，尤其是國家和省一級網(wǎng)信部門，應大力加強機構建設。在人員方面，應重點配置即懂法學等社會科學又懂大數(shù)據(jù)、互聯(lián)網(wǎng)+和人工智能等自然科學的復合型監(jiān)管人才。在職權建設方面，應擴展監(jiān)管權的類型和范圍。為了有效應對個人信息安全領域的挑戰(zhàn)，國家和省一級網(wǎng)信部門的性質(zhì)應從行使執(zhí)法權的機構，擴展為兼具實施性規(guī)則制定權、法律和行政法規(guī)解釋權、一定范圍內(nèi)糾紛裁決權的新興監(jiān)管機構。

第二，探索新型監(jiān)管手段。應持續(xù)探索新型的監(jiān)管手段。實踐證明對涉事網(wǎng)站采取事后約談的方式是有效的。未來應繼續(xù)完善約談制度，明確約談的法律定位及其同其他規(guī)制手段的銜接問題。同時可以考慮將監(jiān)管手段介入的時機從事后推進至事中乃至事前，例如可以采取定期對網(wǎng)站的隱私披露狀況和用戶個人信息安全保障情況進行檢查的執(zhí)法方式。

第三，提高法律規(guī)則的威懾力。目前《網(wǎng)安法》對于侵犯個人信息依法受保護權利的行為，處違法所得1倍以上，10倍以下罰款；沒有違法所得的，最高處以100萬元的罰款。與歐盟和美國執(zhí)法機構以涉事企業(yè)全球營業(yè)額為基準的處罰相比，目前我國的處罰威懾力十分有限。當前各國數(shù)據(jù)經(jīng)濟的競爭日趨激烈，我國監(jiān)管機構的給予較輕處罰的目的在于扶持、呵護互聯(lián)網(wǎng)企業(yè)。但是需要指出的是，隨著中國互聯(lián)網(wǎng)企業(yè)海外市場的不斷開拓，它們所面臨的合規(guī)風險不僅來自于本國，也來自于其他多個國家。長遠來看，為了加強互聯(lián)網(wǎng)企業(yè)的安全保障意識和合規(guī)意識，相關處罰規(guī)定應得到有效的施行。如果確實要將罰款作為有力的威懾手段的話，應考慮提高處罰的金額。

* 浙江大學光華法學院互聯(lián)網(wǎng)與法學方向博士后。本文系2019年中國法學會法治研究基地浙江公法研究中心項目和2018年浙江大學光華法學院人工智能與法學專項的研究成果�？堤m平博士、傅宇、胡寅等同學參與了數(shù)據(jù)收集的工作。周江洪教授、胡敏潔教授、范良聰副教授、蔣成旭博士、胡斌博士、李芹博士、林淡秋博士等師友對本文初稿提出了修改意見，在此一并致謝。感謝匿名評審專家的修改意見。

[1] See Stuart F.H. Allison, Amie M. Schuck and Kim M. Lersch, “Exploring the Crime of Identity Theft: Prevalence, Clearance Rates, and Victim/Offender Characteristics”, 33 Journal of Criminal Justice 20-21 (2005).

[2] 參見高秦偉：《個人信息保護中的企業(yè)隱私政策及政府規(guī)制》，《法商研究》2019年第2期，第20-22頁。

[3] Alessandro Mantelero, “The Future of Consumer Data Protection in the E.U., Rethinking the ‘Notice and Consent’ Paradigm in the New Era of Predictive Analytics”, 30 Computer Law & Security Review 614 (2014). 

[4] Chris Jay Hoofnagle, “Identity Theft: Making the Known Unknowns Known”, 2 Harvard journal of Law & Technology 104-107 (2007).

[5] Tanina Rostain, “Self-regulatory Authority, Markets and the Ideology of Professionalism”, in Robert Baldwin, al (ed.) Oxford Handbook of Regulation, Oxford: Oxford University Press, 2010, p. 123.

[6] 馮洋，《論個人數(shù)據(jù)保護全球規(guī)則的形成路徑—以歐盟充分保護原則為中心的探討》，《浙江學刊》2018年第4期，第68-70頁。

[7] Federal Trade Commission U.S., “Privacy Online: A Report to Congress”, June 1998.

[8] See Paul Schwartz, “Preemption and Privacy”, 118 The Yale Law Journal 904-939 (2008).

[9] Joel R. Reidenberg, “Resolving Conflicting International Data Privacy Rules in Cyberspace”, 52 Stanford Law Review 1347 (2000).

[10] Paul de Hert and Vagelis Papakonstantinou, “The New General Data Protection Regulation: Still a Sound System for the Protection of Individuals?, 32 Computer Law & Security Review 193-194 (2016).

[11] Bert-Jaap Koops, Miriam Lips, Sjaak Nouwt, Corien Prins and Maurice Schellekens, “Should Self-regulation be the Starting Point?”, in Bert-Jaap Koops et al. (ed.) Starting Points for ICT Regulation, TMC Asser Press, 2006, pp. 110-115.

[12] See Joel R Reidenberg, et al, “Disagreeable Privacy Policies: Mismatches between Meaning and Users’ Understanding”, 30 Berkeley Technology Law Journal 39-42 (2014).

[13] See Carl J. Case, et al, “Online Privacy and Security at the Fortune 500: An Empirical Examination of Practices”, 11 ASBBSE e-Journal 59-67 (2015).

[14] See Florencia M. Wurgler, “Self-regulation and Competition in Privacy Policies”, 45 Journal of Legal Studies 1-17 (2016)

[15] See Xinguang Sheng and Lorrie F. Cranor, “An Evaluation of the Effect of US Financial Privacy Legislation though the Analysis of Privacy Policies”, 2 A Journal of Law and Policy 227-236 (2006).

[16] 前引 2，高秦偉文，第16-27頁。

[17] 宋華琳：《中國政府數(shù)據(jù)開放法制的發(fā)展與建構》，《行政法學研究》2018年第2期，第35-38頁。

[18] Alexa的官網(wǎng): https://www.alexa.com/，2018年12月1日訪問。

[19] 進入全球訪問量前20的8個中國網(wǎng)站分別是：百度(baidu.com)、QQ(qq.com)、淘寶(taobao.com)、天貓(tmall.com)、搜狐(sohu.com)、京東(jd.com)、新浪微博(weibo.com)和新浪網(wǎng)(sina.com.cn)。

[20] Probit 回歸分析常用于“是否”類型的二元取值變量回歸。

[21] 《網(wǎng)絡安全法》第41條。

[22] See Paul M. Schwartz, “Privacy and Democracy in Cyberspace”, 52 Vanderbilt Law Review 1614 (1999).

[23] 參見 Graham Greenleaf and Scott Livingston, “China’s Cybersecurity Law – Also a Data Privacy Law?” 144 Privacy Law & Business International Report 1-7 (2017).

[24] 如2013年修訂的《消費者權益保護法》第14條規(guī)定：“消費者享有個人信息依法得到保護的權利”。

[25] 實際上開展立法實驗是我國改革開放以來法制建設的重要探索方式，see Yang Feng, “Examining the Legislation in China’s Special Economic Zones: Framework, Practice and Prospects”, 47 Hong Kong Law Journal 612-614 (2017).

[26] Cookie 是網(wǎng)站為了識別用戶身份和收集用戶信息而儲存在用戶瀏覽器上的小型數(shù)據(jù)文件。

[27] 參見微信（網(wǎng)頁版）隱私政策 https://login.weixin.qq.com/qrcode?lang=zh_CN, 2019年4月29日訪問。

[28] McMahon R. Bradley, “After Billions Spent to Comply with HIPAA and GLBA Privacy Provisions, Why is Identity Theft the Most Prevalent Crime in America?” 49 Villanova Law Review 625-627 (2004).

[29] See Chang Liu, and Kirk P. Arnett, “An Examination of Privacy Policies in Fortune 500 Web Sites” 17 American Journal of Business 13-22 (2002).

[30] 2012年共有89個國家仿效歐盟模式制定了個人數(shù)據(jù)保護法，到2017年末，歐盟的統(tǒng)一立法模式被120個國家所接受, 參見 Graham Greenleaf, “The Influence of European Data Privacy Standards Outside Europe: Implications for Globalization of Convention 108”, 2 International Data Privacy Law 68 (2012); Graham Greenleaf, “Global Data Privacy Laws 2017: 120 National Data Privacy Laws Now Include Indonesia and Turkey”, 146 Privacy Laws & Business International Report 14-17 (2017).

[31] See Paul M. Schwartz, The EU-US Privacy Collision: A Turn to Institutions and Procedures, 126 Harvard Law Review 2003-2009 (2013).

[32] 前引 7, Federal Trade Commission U.S., 31-39.

[33] 《支付寶近日被中國人民銀行杭州中心支行做出行政處罰》，2018年4月8日，北京日報。

[34] 《抖音在美遭570萬美元罰款，創(chuàng)同類案件紀錄》，《新京報》2019年2月29日。

[35] The European Parliament and the European Council, The General Data Protection Law, 27 April 2016, Article 83 (6).

[36] (英) 科林·斯科特：《規(guī)制、治理與法律》，安永康譯，清華大學出版社2018年版，第205頁。