2024年3月15日发(作者:)

(精)心得体会:个人信息保护中的企业隐私政策及政府规制(最新)

一、问题的提出

全球个人信息泄露的情况不容乐观。美国著名社交媒体脸书外泄个人信息的报道

在全球引发热议,我国支付宝年度账单引发的个人隐私争议也备受公众关注,相关企

业先后被行政机关约谈。这里涉及个人信息安全、企业隐私政策(privacypolicy)

及其政府规制的问题。事实上,从2017年下半年起,为推动互联网企业提高对个人

信息保护的重视程度,提升行业个人信息保护的整体水准,由中央网络信息办公室、

工业和信息化信部、公安部、国家标准化委员会等4部门组成的专家工作组对一些

企业网络产品和服务的隐私政策展开了评审。为此,隐私政策也愈来愈受到互联网企

业的重视,他们纷纷在其网站显著位置公布隐私政策,以便用户知情和同意。众所周

知,网络与信息技术的发展给个人信息保护带来了严峻的挑战,如移动互联网可以随

时随地收集和处理个人信息、云计算使个人信息远离了个人终端、社交网络使个人信

息的公开成为用户自愿且日常化的行为、大数据分析可以轻易地将非个人信息转化为

个人可识别信息,等等。企业隐私政策是用户了解企业个人信息处理活动的重要渠道,

但据粗略估算,若要用户真正去阅读他们每年所访问网站的隐私政策,每年人均将花

费约250小时,既耗时又不便。我国学者认为,企业隐私政策主要目的在于消除公

众的顾虑,具有告知功能和制约功能。然而,从实践情况来看,两项功能均未发挥积

极的作用。原因或许在于,企业隐私政策冗长又充斥着大量的专业术语,用户并没有

被充分告知,许多个人信息都是在用户不知不觉之间被企业共享或者出售给第三方主

体;同时,企业隐私政策的性质也并不清晰,发生纠纷时难以约束企业。企业隐私政

策究意能够发挥多大作用,政府可否规制以及如何规制等问题,目前的研究还不够深

入。特别是在欧盟实施《通用数据保护条例》、美国加州议会通过《消费者隐私法案》

的全球大背景下,中国的个人信息保护立法应当如何展开,企业和政府如何各司其职,

均需要从学理上加以研讨。

二、企业隐私政策的性质及实践

自个人信息保护法或者隐私法肇始,“告知与选择”(也称为告知与同意)一直

是立法中最为重要和普适的机制。“告知”是公开透明要求的体现,目的在于克服信

息不对称而产生的市场失灵现象;而“选择”的内涵为同意,即用户在知情的前提下

理性作出选择。《经济合作与发展组织隐私保护指导纲领》《亚太经济合作组织隐私

保护纲领》、欧盟《数据保护指令》和《通用数据保护条例》、美国《公正信息实践

原则》、我国《全国人民代表大会常务委员会关于加强网络信息保护的决定》(2012

年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过)和《中华

人民共和国网络安全法》(以下简称《网络安全法》)等个人信息保护立法,均强调

对于个人信息的收集、处理必须经过信息主体的同意。在这一机制之下,用户被企业

告知产品服务信息及其相关的隐私政策;进而,用户选择是否使用该在线产品或服务,

并期望企业充分保障自己的个人信息或隐私安全。有必要说明的是,之所以称为“隐

私政策”而不是个人信息政策,主要是沿袭和尊重境内外行业约定俗成的术语,其针

对的对象仍然个人信息。限于篇幅,本文并不对个人信息和个人隐私作进一步实质性

的区分。

(一)概念与形态

隐私政策是指互联网企业以在线文件的方式自愿披露企业对用户个人信息保护

的原则和措施,实践中,互联网企业一般都会在网站主页上公布自己的隐私政策,以

确保告知与选择机制顺利实现。此种自愿性声明,允许用户自主选择且对市场运作不

予干预,业已成为世界各个国家和地区的通行作法。目前,我国绝大多数的互联网企

业均在网站主页下端设有隐私政策方面的规定,如腾讯网、新浪微博的隐私政策主要

包括企业如何收集、使用、分享转让个人信息,用户如何分享个人敏感信息以及如何