若转发本公众号文章,谨请标明“混合研究”
摘要:
本文以我国6类49家网站公布的隐私保护政策为对象,运用内容分析法,从“一般项目规定”、“信息的收集与存储”、“信息的使用与共享”等三个方面考察了我国网站隐私保护政策的现状与不足。研究发现,当前我国网站有关隐私保护相关规定的命名不统一,较为混乱;用户无法较为便捷地找到相关隐私保护政策。网站隐私保护政策均声明会收集用户信息,但对收集用户何种信息,以及使用Cookie、Beacon等工具搜集信息说明不清;同时,方差分析显示,各个网站在信息收集方面存在较为显著的差异。绝大部分网站都会与第三方共享用户信息隐私;较少网站明确表明不会出售用户个人信息;且大部分网站没能明确告知用户不使用有关服务时的退出机制。网站隐私保护政策普遍缺少对未成年人网络信息隐私的保护。
关键词:
地网站;隐私保护政策;内容分析
2015年初,国内互联网安全公司360发布的《2014年中国网站安全报告》指出,2014年中国网站网络安全问题呈现网站漏洞大规模爆发、大量用户隐私泄露等重大安全事件高发的态势。事实上,网站安全危机事件已成为国际上普遍关心的事关国家安全的重大问题(360安全播报,2015)。网站通过制定网络信息隐私保护政策,告知如何采集、使用和保护网络用户的个人信息,是一种保护用户信息安全的自律措施。制定和发布网络信息隐私保护政策,一方面是网站具有良好信誉的标志,另一方面,也将逐渐成为网络企业具备网络服务的重要资质之一(张平,2014)。本研究将选取我国社交类网站、电子购物网站等6类网站,运用内容分析法,实证地分析我国各类网站网络隐私保护政策在“一般项目规定”、“信息的收集与存储”、“信息的使用与共享”等方面的实际情况,以了解当前我国网络企业隐私保护政策的现状,为网络企业更好地与国际接轨,保护网民隐私安全提供经验参考。
一、文献回顾与研究问题
(一)网络信息隐私保护的两种模式
网络新媒体时代,隐私从“个人独处的权利”逐渐演化成“个人对自己信息控制自由与权利的”一种信息隐私权。学者认为这种信息隐私权,是指他人所享有的对其信息予以公开的权利;“是指个人、群体或者机构所享有的决定何时、用什么样的方式以及在何种程度上将其信息对别人公开的权利”(Alan F. Westin,1967)。信息隐私权的核心是“私人信息”(personal information)。私人并不是特指敏感的、隐私的或令人尴尬的个人信息,而是表示信息与其所有人之间的关系,即无论该信息是敏感还是无关紧要,只要它具有专属于他人的可识别性,就应当被视为私人信息(Jerry Kang,1998,转引自张民安,2014)。在规范网络企业保护网络信息隐私方面,目前主要呈现出以欧盟为代表的立法保护模式和以美国为代表的网络企业自律模式。
1.欧盟的立法模式
欧盟网络信息隐私保护视个人信息隐私为基本的人权问题,主张通过严格的立法方式保护个人信息。欧盟各国认为个人数据是个人权益,有着极强的保护价值;对信息隐私保护的方式,倡导订立较为严格与统一的标准。它通过设立的特别委员会,敦促各国以立法的形式来保护网络隐私权,以促成各国互相认可的信息隐私保护规范,达到保护信息在各国之间的自由流通(周汉华,2006)。由于欧盟的指令是采用综合立法的模式(如,1995年制定的《欧盟数据保护指令》),网络信息隐私保护的内容包含在个人信息里面,没有另行法律规定(齐爱民,2009;徐敬宏,2010)。
近年来,针对社交网站中网络信息隐私侵权行为的增多,欧盟出台了系列指导原则与管理办法,明确要求网站规范其搜集、使用以及与第三方分享用户个人网络信息隐私的行为,并采取了较为严厉的制裁办法。如,2010年11月,欧洲用户投诉在欧盟范围内访问包括谷歌和脸谱等网站时,被网站要求分享其个人信息数据。欧盟经过严格调查后,推出《欧盟范围内个人信息数据全面保护实施办法》(A comprehensive approach on personal data protection in theEuropean Union ,简称“实施办法”)。这份长达20页的《实施办法》指责互联网公司目前的隐私保护政策极不透明;指出:“目前通过互联网搜集个人信息数据的方法变得越来越隐蔽,且极不易被发现”(马乔,2010;刘长安、顾舟峰,2013)。
2.美国的行业自律模式
与欧盟大规模、成体系且较为严格的立法保护不同,美国对电子商务领域中的网络信息隐私保护采取了网络企业行业自律模式,而对其他特殊领域的信息隐私采用了较为严格的立法,例如,1970年国会通过的《公平信用报告法案》(FCRA);1878年的《财务隐私权法案》等。
行业自律模式采取政府引导、鼓励网络企业通过行业自律,规范对网络使用者个人信息的处理;同时通过分散立法,监督行业自律的实施。自律模式对网络服务商与网络企业,采取较为宽松的政策,通过网络机构的自我规范、自我约束与行业协会的监督,保护个人信息的流动与使用安全(吴寒,2011;徐敬宏,2010)。
美国行业自律模式主要包括三个方面:一是,制定建议性行业指导。鼓励行业自发成立相关的行业组织或联盟,为行业内成员提供广为接受的网络隐私保护指导建议和原则。这些自律原则以美国隐私原则为核心,要求其成员必须采纳、张贴和执行的行为规范。其目的仅是指导,不监督行业成员的遵守情况,也不制裁违反行业指导的行为(张秀兰,2006)。二是,制定网络隐私认证计划(Online Privacy Seal Program)。这是一种私人行业机构和实体(认证组织),致力于实现网络隐私保护的自律形式,要求那些被许可张贴其隐私认证标志的网站必须遵守在线资料收集的行为规则,并且服从多种形式的监督管理,其中最为有名的是电子信任组织(TRUSTe)和商业促进局在线组织(BBBonline,Better Business Bureau Online)。这一源于民间自发组织的第三方独立的监督执行机制,包含了申诉机制、评估机制、争端解决机制、制裁机制等,以保障行业自律的公信度和执行力度(周欣月,2013;吴寒,2011)。三是,技术保护方式,或者称为隐私保护技术架构。例如,最著名的隐私偏好平台项目(Platform for Privacy Preferences Project),由万维网联盟(W3C)开发。P3P 通过为隐私策略提供一个标准的可机读格式,以及一个能使Web 浏 览器自动读取和处理策略的协议,为隐私保护问题提供了一个良好的技术方案。借助P3P 技术 Web 客户可以通过P3P 技术从Web 服务器获取隐私策略,并做出适当地响应(袁志斌,2008)。
(二)网络隐私保护声明
与美国专门的隐私验证机构不同,中国没有第三方隐私验证机构。为了消除公众对隐私可能泄露的担心,网络企业往往会制订隐私权保护政策(或者隐私条款、隐私保护协议、隐私声明),以证明登陆与使用该网站是安全的,用户的个人信息隐私不会被泄露。网络隐私保护政策,是指网站通过告知用户其个人信息可能被搜集、使用、与第三方共享的情况,以及网站使用个人信息时的免责条款,来告知网络用户在使用本网站时的信息安全问题,达到与用户之间隐私保护的共识(Irene Pollach,2006)。
网络隐私政策是国内外网站普遍采用的保护用户隐私的自律措施之一。现有隐私政策基本可以分为两类:一类是单一的隐私保护承诺。一般是内容介绍型网站所采用,并且几乎不存在具体的网上服务,所收集用户资料的范围也较小。这类网站隐私保护政策的性质是一种单方声明,即不需要用户的同意,不能视为合同。采用此种网络隐私保护政策的网站数量很少。另一类是伴随着一定的网络服务内容的承诺。此时隐私政策的性质属于网站与网络用户双方之间的协议。用户有提交个人资料的义务,同时也有要求条款提供者提供网络服务的权利;而条款提供者有按照条款规定保护用户隐私、提供服务的义务,同时也享有合理使用个人隐私资料的权利(谈咏梅、钱小平,2006)。
有关网站隐私保护声明的相关研究,国内主要集中在图书情报学科、法学与传播学领域。研究多采取对国内主要网站的隐私保护政策或隐私保护声明的内容分析,考察各类网站在网民网络信息隐私保护内容、保护方式,登陆隐私保护政策的方便程度等方面的差异,以探究我国网站隐私保护政策的现状与不足,寻求相应的解决办法。
张秀兰(2006)对100 家域名为“ .com”的中文网站的隐私政策文本进行了研究;发现,在隐私政策表述方面,我国网站主要有相对比较简单的问答式文本和较为完备详尽的契约式文本两种方式。国外网站、中国港澳台网站的隐私保护政策要好于中国大陆;中国商业类网站制定的隐私保护政策要远远好于政府网站。
谈咏梅、钱小平(2006)从法学角度,解读网站隐私保护政策性质以及相关的法律效力等问题;研究发现,我国各类网站隐私保护政策制定的标准参差不齐;隐私保护政策上存在显著缺陷,没有网站对违反隐私政策将要承担的法律责任作出约定。在尚无隐私立法的情况下,由于缺少外部制约,中国隐私政策的制约功能不能得到发挥,隐私保护政策的告之功能易流于形式。
徐敬宏(2008)从措辞、句型、句法特点和文本结构等方面对新浪、yahoo等5家中外网站进行考察,研究发现,英文网站的隐私声明的内容更为全面,较多地使用超链接,内容更易理解,有专门的未成年人隐私保护内容;而中文网站在这方面做得相对较差。
周涛(2009)采用内容分析法,从一般情况说明、用户个人信息的收集与存储、用户个人信息的使用与共享等网站隐私声明的三个方面,考察我国门户网站、旅游预订、网上招聘、网上购物、网上支付等五类51 个网站的隐私声明,发现国内网站的隐私声明存在很大差异。其中,五类网站在“收集信息说明”、“使用Cookie”、“同附属机构共享信息”三个方面,存在显著差异。相对其他网站,门户网站、购物网站的隐私声明较为全面。
上述研究较为详细的考察了我国各类网站隐私声明的情况,并指出我国网站的隐私保护政策存在保护范围不完善、内容粗糙等问题。然而,已有研究时间较早,并且可能是受传统隐私保护研究的影响,考察对象多为电子商务类网站,没有研究关注社交网类网站。与电子商务中的个人信息交换行为不同,社交类网站中的个人信息除了个人身份信息之外,还有涉及人们情感、心理,以及更为私密活动的信息隐私(Debatin,B.,et al.,2009)。因此,对社交类网站隐私保护中隐私政策的研究尤为必要。同时,已有研究在研究方法方面也存在不够科学的问题,仅有周涛(2009)采用内容分析法对门户和电商类为主的网站进行了分析,然而缺乏社交类网站的相关数据分析。
本研究将采用内容分析法,考察搜索引擎、社交类网站、门户类网站、论坛类网站、电商类网站、团购类网站中网络隐私保护政策的基本情况
,以及各类网站隐私保护政策的差异,以期为网站经营者制定更为合理、规范的隐私保护政策、为我国有关部门相关管理工作,提供经验参考。
研究问题一:
我国各类网站隐私保护政策中的一般项目的制定情况如何?
研究问题二:
我国各类网站隐私保护政策中对搜集用户信息的规定如何?
研究问题三:
我国各类网站隐私保护政策中对使用与共享用户信息的规定如何?
二、研究方法
(一)数据来源
为回答上述研究问题,参考周涛(2009)与Irene Pollach(2006)的研究成果,并根据Alexa排名[1],本研究采用内容分析法,于2015年3月到5月期间考察了 “搜索引擎”(8个)、“社交类”网站(9个)、“门户类”网站(9个)、“论坛综合类网站(8个)、“电商类”网站(8个)、“团购类”网站(7个)6类49家中文网站的隐私保护政策。我们采用目的抽样法,选取了上述6类网站中排名较前、有代表性的49家网站。具体为,“搜索引擎”有百度、搜狗、知乎、有道、搜库、搜搜、必应、一淘网;“社交类”网站有腾讯QQ、新浪微博、微信、人人网、豆瓣、世纪佳缘、知乎、开心网、腾讯微博;“门户类”网站有人民网、新华网、新浪、搜狐、网易、凤凰、腾讯、中国网、央视网;“论坛综合类”网站有天涯社区、百度贴吧、凯迪网络、猫扑网、西祠胡同、城市中国、铁血之家、汽车之家论坛;“电商类”网站有淘宝网、京东、亚马逊中国、天猫、当当网、一号店、苏宁易购、慧聪网;“团购类”有糯米网、美团网、拉手网、大众点评网、聚美优品、聚划算、去哪儿团购。
根据C N N I C 近三年(2013、2014、2015)的调查显示,信息搜索、社交沟通、电子商务等一直是中国网民使用频次较高的网站,且这类使用行为在不断增长。这些网站需要通过收集、使用甚至分享用户的个人信息来保持运营,因此应该具备相应的隐私保护能力,也更应该重视隐私保护方面的工作。因此,我们认为选择上述类别的网站具有一定的代表性。
研究采用Python爬虫框架scrapy抓取了49个网站的静态页面,获取这些网站上的网络隐私保护政策并生成到Excel表格中以进行内容分析。
(二)测量
我们采用了内容分析法(content analysis),对上述网站中出现的隐私保护政策的文本信息特征进行分析。根据前期对各类网站隐私保护政策的考察,我们发现,一般而言,网站网络隐私保护政策可以分为三个部分:(1)一般情况的说明;(2)信息的收集与存储情况;(3)信息如何使用与共享。据此,我们选定新浪微博、天猫、百度等3家网站的隐私保护政策进行前测,根据测试结果对调查项目进行了调整,形成了最终内容分析的类目(见表1)。两位编码者进行了编码,检测信度一致性在95%以上。
三、研究发现
(一)我国各类网站隐私保护政策中一般条例的基本情况
结果显示(见表2),我国各类网站网络隐私保护采用的名称多为“隐私声明”(占比35%);其次为“隐私政策”(占比33%);第三为“隐私保护条例”(占比26%);最后为“隐私保护协议”(占比6%)。
从用户找到网络隐私保护政策的次数来看,用户平均要点击1.7次(均值为1.68,标准差为0.74)才能找到相关的隐私保护政策。半数以上(占比52%)的网站需要用户点击2次,才能找到相关的隐私保护政策页面或者内容;还有不足一成(占比8%)的需要点击“3次及以上”。
近六成(占比57%)的网站隐私保护政策中,公布了免责声明;四成多一点(占比43%)的网站没有公布未能保护用户信息隐私时的免责声明。五成多一点(占比54%)的网站隐私保护政策的有效期更新到最近的2015年;还有近五(占比46%)网站隐私保护政策的时效已过。
近五成(占比45%)的网站未在隐私保护政策中注明相关的联系信息,三成多一点(占比31%)的网站留下了客服电话,近两成(占比16%)的网站用电子邮箱与用户联系,还有不足一成(占比8%)的网站留下网址与用户联系
(二)我国各类网站隐私保护政策中收集、共享用户个人信息的基本情况
结果显示(见表3),绝大部分(占比98%)网站都会在隐私保护政策中声明收集用户个人信息;近九成(占比87%)的网站声明会收集“用户提供的信息”,近七成(占比65%)的网站声明收集“Cookie信息”,四成多一点(占比43%)的网站声明收集浏览器和服务器日志上的信息,一成多一点(占比11%)的网站声明收集“用户位置信息”。
七成以上(占比71%)的网站告知用户“能够查看、更新、更正、删除自己的信息”;近三成(占比29%)的网站告知用户“能够查看、更新自己的信息,未告知能删除和更正、删除自己的个人信息”。
近七成(占比67%)的网站在网络隐私保护政策中告知用户“使用Cookie”,其中,三成多一点(占比32%)的网站告知用户“cookie可以被禁用”以及禁用的后果。不足一成(占比8%)的网站声称,会使用Beacon收集用户个人隐私信息。这些网站主要是以腾讯QQ、新浪微博、微信为代表的社交类网站。
八成以上(占比82%)的网站声称,会采用一定的技术手段保证所搜集用户信息的安全,但对于采取什么样的技术手段,如何保证规定语焉不详。
仅有两成多一点(占比23%)的网站隐私保护政策中声明会保护未成年人的信息隐私安全。
在与第三方共享用户个人信息方面,结果见表3,四成多一点(占比43%)的网站表示将同其附属机构、子公司、旗下公司等共享用户数据, 近六成(占比59%)的网站表示其将同关联公司、第三方服务供应商、承包商共享数据,四成(占比40%)的网站表示未经用户允许将不会出售用户个人数据;四成(占比41%)的网站表示用户可选择退出(opt-out)定制服务,如拒绝促销E-mail信息的发送。
(三)我国各类网站隐私保护政策中收集、共享用户个人信息的差异分析
声明如何以及收集哪些用户信息,如何分享用户信息是网站隐私保护政策中的重要内容(IrenePollach,2006)。已有研究发现,由于网站的性质不同,我国各类网站之间的隐私保护政策存在差异(周涛,2009)。本研究通过方差分析进一步分析了,6类网站在这 “收集信息说明”、“使用Cookie”、“同附属机构共享信息”3个因素存在显著差别(见表4)。其中,通过进一步分析(Post HocAnalysis)显示,在“收集信息说明”方面,门户网站比社交类网站、电商类网站、搜索引擎类网站等声明的更多,更详细。对于“使用Cookie”, 搜索引擎类比电商务类网站的说明更多,社交类网站比论坛里网站隐私政策中说明更多。对于“同附属机构
共享信息”,社交类网站、电子商务类网站比其他网站的说明更多。统计结果表明,社交类网站、电子商务类网站与门户网站的隐私政策相对比较全面。
四、结论和讨论
隐私保护政策,是网络企业为消除用户隐私担忧的一种行业自律行为。相对于政府制定法律规范等外力的强制性约束,企业可以自主选择是否制定,以及如何制定网络隐私保护政策。因此,早期的网络企业制定隐私保护政策,更多的是一种礼节性行为。近年来随着网络市场的繁荣,大量网站涌现、相互竞争,为更好地吸引用户,证明网络企业信誉,适应国际市场竞争,制定与发布越来越详尽的网络隐私保护政策,成为网络企业运营的必备条件之一。
本研究发现,当前我国各类网站制定的网络隐私保护政策,无论从名称、内容详细程度、搜集用户信息的范围、共享用户信息的范围等方面都存在较大差异,与国际企业相比差距较大。
首先,网站有关隐私保护相关规定的命名不统一,较为混乱;并且用户无法较为便捷地找到相关隐私保护政策。例如,有称为“隐私政策”,也有命名“隐私声明”、“隐私保护条例”、“隐私保护协议”等;而且,大部分(42%)隶属于网络用户协议或用户手册(如,京东等),有些虽然单列出来(51%)但也是用户在使用网站相关服务之前必须接受的交易条款中的一部分(如,当当网等)。这些情况,与美国网站的隐私保护政策不同。Irene Pollach(2006)的研究指出,美国大部分网站采取单独制定网络隐私保护政策,并统一命名为隐私政策“(privacy policy)”或“隐私声明”(privacy statement),具有较高的识别度,便于用户发现相关隐私保护条款。
同时,本研究发现,用户在查找网络隐私保护政策时不够便利,通常要点击2次(60%)及以上,才可以找到相关的隐私保护政策;仅有四成(40%)的网站点击1次可以找到。这一结果与周涛(2009)的研究结果不一致,其研究发现,大部分网站的隐私政策都在主页的下方有链接(61%),用户点击1次后即可看到隐私政策的内容。我们认为,出现这一不一致结果的原因主要在于,周涛(2009)研究的对象多为网络购物、电子支付等网站,该类网站涉及财产安全,因而会较为严格地对与之相关的个人信息进行保护。这一结果也与Irene Pollach(2006)的研究结果不一致,Irene Pollach针对零售类网站、新闻类网站、旅行类网站以及门户类网站等4类49个网站的研究发现,90%的网站仅需在主页面上点击1次,即可以找到相关的隐私保护政策。这表明,目前我国网站对制定和公布网络隐私保护政策重视不足,不排除有些网站为了维护其利益而故意淡化隐私保护责任(张平,2014)。
其次,我国网站隐私保护政策均声明会收集用户信息,但对收集用户何种信息,以及如何使用Cookie、Beacon等工具搜集信息说明不清。大部分网站(67%)在隐私保护政策中声明会使用Cookie收集用户的个人信息,但仅有三成(32%)的网站告知用户可以自行禁用Cookie。我们认为,有别于网站自己搜集用户提供的信息,Cookie属于第三方信息搜集工具,如果事先不告知用户使用Cookie的后果,以及如何禁用,实际上属于欺诈,有失交易公平。正如Phelps, J.,Nowak, G., & Ferrell,E.(2000)的研究指出,网站有义务告知消费者其个人信息将如何被网站收集,正如有些网站要求用户必须提供真实信息以确保其交易得以进行一样。同时,本研究发现,各类网站的属性不同,在收集用户隐私信息内容与范围方面存在较大差异。例如,社交网站大部分需要用户在提供基本个人信息之外,提供其位置信息,尽管也有的声明用户可以通过关闭位置服务来禁止网站对其位置信息的搜集,但搜集位置信息作为一种默示,在用户使用网站时已自动生成,除非你主动去关闭。因此,用户一旦提交个人信息后,较难再对其实施控制。
第三,我国绝大部分网站都会与第三方共享用户信息隐私;较少网站明确表明不会出售用户个人信息;大部分网站没能明确告知用户不使用该服务时的退出机制。92%的网站表示会与第三方共享用户信息,但在信息共享声明中对将会与具体哪些机构共享用户个人信息语焉不详。仅有40%的网站明确表明不会出售用户个人信息。也有网站声明不会与第三方共享用户的个人信息,但附带有相关的豁免条件,如豆瓣网规定:“豆瓣会在法律要求或符合豆瓣的相关服务条款、软件许可使用协议约定的情况下透露您的个人信息”。近六成(占比59%)的网站未能告知用户在使用网站服务时有“opt-out”拒绝的选择权,例如,提示用户可以主动取消使用Cookie。而国际上将“opt-out”视作一种重要的网络消费者权益。
最后,我国网站隐私保护政策中普遍缺少对未成年人网络信息隐私的保护。近八成(77%)的网站隐私保护政策中未声明会保护未成年人的信息隐私安全。这可能因为我国缺少对未成年人的网络信息隐私的立法保护,因而各类网站疏于对未成年人个人信息的保护。以美国为例,1998年美国国会制定并由总统签署通过《儿童网络隐私保护法》,对于商业网站在线收集13岁以下儿童的个人信息的行为进行了限制和规范;其中规定要求与儿童有关的商业网站经营者,或有意向儿童收集个人数据的网站经营者禁止以不公平或欺诈方式收集、使用及披露十三岁以下儿童网络个人数据等等。因此美国网站在制定隐私保护政策时均会参照这一法律规定。
综上分析可以知道,近年来我国各类网站的隐私保护政策呈不断完善、不断进步的趋势,但仍存在诸多缺陷。各类网站隐私保护政策的许多条例尚类似于霸王条款,例如,网站声明的收集与共享用户个人信息的条款,实际上属于单方约定,用户没有选择权和任何议价能力。信息不对称,议价能力不均衡,以及集体行动难题,影响着人们的隐私保护能力与实际行为(Shuan B.Spencer,2002,转引自张民安,2014)。我们建议,制定隐私保护政策时,我们应参照国际网站的做法,以更为规范的、专业的方式来阐释对用户隐私保护的具体方法,使用户能更为清楚、直接地了解个人信息收集、使用和分享的流程,减少网民的隐私担忧,提高对网站的信任度和使用效率。同时,网民也要增强自己隐私保护意识,多关注网站的隐私保护政策,敢于主张自己的合法权益,明确自己对隐私权的合理期待,提升自己的议价能力,获取更为安全的网络服务。政府更应引导网络企业自律,规范用户隐私保护政策的落实。
同时,本研究发现,对个人信息要求不同,各类网站制定的隐私保护政策内容的详略不同,但保护手段基本一致。我们认为可以出台一个在基本原则指导下的,有针对性和区分度的隐私保护行业规范,来指导不同行业网站的隐私保护行为。
本研究主要采用的是便利抽样,样本的代表性不足,在进一步的研究中需采用随机抽样,获取更具代表性的样本,全面考察中国网站网络隐私保护政策的状况,为网络企业制定更为规范、专业的隐私保护政策提供经验参考。
(参考文献省略)
作者:申 琦 华东师范大学 传播学院
文章来源:新闻大学 2015年第4期总第132期