隱私政策在企業數據合規實踐中的功能定位

摘要：互聯網企業往往通過隱私政策傳達對消費者數據隱私的尊重，但一來很少有人點開并完整地閱讀它，且面對給定的隱私政策無法討價還價，二來消費者也難以判斷隱私政策的合規性如何，三來政府監管機構能否以及如何對隱私政策進行執法尚不清晰，使得隱私政策并未發揮它應有的功能。實際上，隱私政策對內是企業治理規范，是企業積極主動地擁抱隱私、承擔社會責任的體現，對外則是溝通消費者與企業數據處理行為的橋梁，是政府監管的重要內容。隱私政策文本不僅要體現法律遵從性，更要落實到企業數據合規實踐中，在企業、政府、行業與消費者之間形成良性互動，搭建數字經濟時代隱私保護的共同體。

關鍵詞：隱私政策;數據合規;公司治理;社會責任

基金項目：河南省哲學社會科學規劃項目“大數據企業數據合規機制研究”（2020BFX005）;司法部國家法治與法學理論研究一般項目“個人數據的法律保護研究”（17SFB2005）

中圖分類號：D922.16 ? ?文獻標識碼：A ? ?文章編號：1003-854X（2020）10-0136-09

數據合規對互聯網企業影響甚巨：一是關乎主動還是被動面對法律風險。事先主動采取措施避免數據合規問題，通常比應對后續調查、負面輿論和訴訟風險低得多，且成本低廉;二是如果想成為行業領軍企業，那必須考慮對法律規定和商業需求做更全面的評估;三是在與政府職能部門關系方面，要考慮企業面對多大的政府執法風險;四是在不同法域，要考慮不同程度和不同模式的數據保護法律，如歐盟和美國之間的消費者數據傳輸和共享。① 在數據合規實踐中，隱私政策是一項特殊的存在。隱私政策是互聯網企業向消費者發布的關于個人信息收集、存儲、利用等行為的告知與解釋性聲明。除“隱私政策”外，“法律聲明及隱私政策”、“隱私保護指引”、“用戶服務協議及隱私保護政策”、“隱私權政策”、“個人信息保護政策”等皆代表相同涵義。隱私政策多以一個文本鏈接的形式存在，它像一把自帶免責屬性的尚方寶劍，為互聯網企業數據合規保駕護航。早在1997年互聯網發展初期，時任美國總統的克林頓就批準公布了《全球電子商務框架報告》，強調在保護互聯網隱私方面，私營企業應當起到主導作用。這既與美國保護消費者隱私的模式交相呼應，也深刻反映出法律的特色——徒法不足以自行。數據保護立法再完美，其實現也要落實到企業的數據合規實踐中，而這其中，隱私政策是重要一環。

一、隱私政策的屬性分析

我們常在互聯網企業網站或APP上發現“隱私政策”的鏈接。盡管少有人點開并完整的閱讀它，它卻在企業數據合規實踐中承擔越來越重要的角色，而這一“功能定位”要從其法律屬性談起。

（一）告知與社會承諾屬性

歐盟《一般數據保護條例》第5條第1款規定處理個人數據應遵循合法、合理和透明三原則，如果說合法性和合理性尚能做到有“跡”可循，那透明性如何實現？答曰：以法定義務形式實現。基于巨大的知識與資本鴻溝，數據主體不可能主動獲取詳細透明的企業數據處理行為，企業需承擔信息披露的法定義務。原因很簡單，“與買方占有相關信息的情況相比，當賣方占有相關信息時，社會對信息披露義務的需求更強烈。”② 唯有讓公眾知情，消費者才能放心地交由企業收集、處理其個人數據。不僅在歐洲，美國雖沒有統一的數據保護法，但聯邦貿易委員會卻創制規則，要求企業提供在消費者看來有價值的信息，而不僅僅是禁止誤導性說明。這種規則被稱作“強制告知”，即使企業并沒有被指控為虛假說明，它們仍有可能被要求執行強制告知。③ 在此意義上，隱私政策正是企業收集、利用個人數據“告知”義務的體現。

當然，告知并不僅僅是透明性原則的體現，它還與社會承諾相連。一方面，互聯網經濟是信任經濟。2012年，美國總統奧巴馬發表的《網絡環境下消費者數據隱私保護》工作報告指出：“信任對于維持網絡技術給美國和世界其他國家帶來的社會經濟效益至關重要。正是基于消費者對互聯網企業公平和負責任地處理個人信息的信任，消費者才選擇在互聯網上展示他們的活力、參與政治活動、建立和發展網絡友情和從事商業活動。”④ 企業只有獲取并維持市場上消費者的信任，才能繼續在數字經濟領域生存和發展。而經由隱私政策完成的“告知”正是獲取消費者“信任”的最佳途徑，同時，隱私政策也由“告知”形成“社會承諾”，因為只有承諾，才能贏得社會信任。另一方面，隱私政策的社會承諾屬性還是企業社會責任的體現。社會責任是企業管理的一個基本要素，“企業管理者不像從前那樣僅僅代表所有者的單方利益;他們越來越多地基于受托人角色行使職能，……今天，每家公司的高層主管不僅對股東負責，還對企業成員、消費者和公眾負責。”⑤ 當越來越多的公眾關注其數據隱私時，企業就必須對此作出回應，隱私政策也不再是純粹的閱讀文本，而是向功能文本轉變。換言之，隱私政策就是企業向消費者作出保障其數據權利的社會承諾。即便消費者不怎么閱讀隱私政策，隱私政策也成為監管機構、隱私權民權組織及社會媒體聚焦打量的重點。如果一個企業真心實意地遵守這些政策條款，那么可以得出結論：他們表現出了對公民隱私權的尊重。⑥

（二）服務協議屬性

隨著隱私政策由單純的“內容介紹型”向復合的“告知承諾型”轉變，隱私政策的服務協議屬性日益被學者們認可，國外如Scott Killingsworth認為企業隱私政策是網站與用戶間的合同⑦，國內如談詠梅等認為隱私政策“是建立在雙方合意基礎上的協議，是網絡服務合同不可缺少的一部分”。⑧ 很多企業隱私政策文本上旗幟鮮明地表明了這一點，如《酷狗隱私政策》“本隱私政策為《酷狗用戶服務協議》的重要組成部分”，《58同城隱私政策》、《拼多多隱私權政策》證明文本中亦有相同或相似表述。司法實踐也基本認可合同屬性，如“盧星與小米科技有限責任公司網絡購物合同糾紛”案中，法院就將小米隱私政策視為合同。⑨

這個判斷在總體方向上沒什么問題，但須注意以下四點：第一，隱私政策文本用語必須清晰直白、簡潔易懂，充斥著法律術語且晦澀難懂的隱私政策文本不能簡單認定為服務協議。如2009年初，Facebook的律師團隊對網站的保密條款做了他們認為很細微的變動，這些文件充斥著大量法律術語，他們認為用戶幾乎不會去認真閱讀這些條款。但一些用戶還是注意到了這些修訂，并很快成立了一個“反對新服務條款者”的小組，成員達到12萬。扎克伯格被迫取消新版本，并保證以后在制定網站相關文件時使用大家都能理解的語言，確保條款反映出用戶的原則和價值⑩;第二，隱私政策不能泛泛而談、空洞無物，隱私政策至少應當闡明數據收集的種類與目的、數據利用的限制以及數據主體的各項權利，否則難以認定其協議屬性。如美國在一起涉及航空公司非法共享乘客信息的案件中，對其隱私政策的合同屬性不予認可，理由是過于寬泛的聲明并不構成合同條款;第三，對隱私政策表示“理解”并“同意”的方式不同，也影響著隱私政策的合同屬性認定。一般而言，網絡上表達同意的情形分兩種：點擊生效（明示）和瀏覽生效（默認）。 前者經由點擊“我同意”或“我接受”按鈕，而按鈕又在文本的最下方，往往需要滑動頁面，這個過程明確傳達了“知情同意”的味道。而后者無論在程序上還是在實質上，都無法體現真正的“知情同意”，法院也會認為隱私政策僅僅是一份聲明，而不具備協議屬性;第四，理想中的隱私政策與用戶服務協議并不沖突，但現實中有很多例外情形，如《小米商城隱私政策》就規定，“如果您同意了適用的用戶協議，并且此類用戶協議和本隱私政策之間存在不一致，將以此類用戶協議為準”。還有一些巨型網絡公司如百度、騰訊，往往有一個總的隱私政策和各產品/服務的單行隱私政策，此時，各產品的隱私政策多優先適用。當然，企業對隱私政策和用戶協議效力大小的自行認定并不一定就是最終結果，但從法理上講，“有利于數據主體保護的條款優先”。

（三）公司治理規范

成熟的大型公司有一個特點，它們有能力擁有“政治和專門制定政策的機構，使它們擺脫日常運營中的真實難題，從足夠長遠的角度看待問題，并考慮到組織與社會的關系。” 企業的隱私官員（或法律總顧問）必須參與到公司制定戰略決策的過程中去，如果沒有，那這個企業就是在自尋煩惱。沒有人會為隱私付費，這曾經是真的，但情況正在發生變化。2000年的一項研究發現，如果消費者覺得自己的隱私受到了保護，他們每年會增加60億美元的互聯網消費。 來自卡內基·梅隆大學的研究結果也表明，隱私很可能成為數字時代企業的一項重要競爭優勢：“與認為消費者不大可能為隱私付費的常規觀點相反，消費者可能會愿意支付額外費用來保護隱私。我們的研究結果還表明，那些運用技術手段展現其正面隱私政策態度的企業可能會由此獲得競爭優勢。” 可見，消費者面對日益嚴重的隱私危機，他們已經做好準備為隱私付費。“棱鏡門”爆發后，原先名不見經傳的網絡搜索引擎DuckDuckGo瞬間爆紅，搜索量增長達30%以上，其賣點正是“從不追蹤用戶”且“從不過濾信息”。雖然搜索結果針對性方面有所欠缺，卻贏得了諸多隱私敏感用戶的支持。

隱私政策對外是溝通消費者信任與達成協議的橋梁，對內則是公司治理的重要規范。首先，隱私政策是企業合規風險評估的重要指標。“成功的隱私保護不是通過證明他人享有統治權和同意權來衡量的，而是在實際生活中預防實質損害，例如，防止數據泄露，以讓人信賴的方式保護那些處于岌岌可危狀態的信息。……此外，此種做法已經將隱私從一個遵循法規的活動轉向風險評估的步驟，要求企業在做出有關產品設計、市場準入和政策發展的決策時嵌入隱私。” 在網絡與數字經濟情境中談隱私保護，必然要求企業擁有一個動態的、前瞻性的隱私展望：它不僅僅是法令和規章，而越來越成為企業發展風險管理實踐的一部分。其次，隱私政策督促企業自產品/服務設計之初就嵌入隱私。該理念最早由加拿大信息及隱私專員安·卡沃基安提出，并逐漸成為美國聯邦貿易委員會倡導的商業及政策制定框架的基礎。 企業層面的決策是避免隱私受到侵害的最佳途徑，就此而言，隱私保護是一段旅程而不是終點，隱私討論必須要從合規辦公室轉移至整個公司開發新產品和服務的過程中。 邁阿密大學邁克爾·弗魯姆金教授提出一個有趣的想法：要求政府和大數據依托企業仿照環境影響報告，擬定隱私影響條款。這既有助于告知公眾數據收集的內容和原因、數據存儲和使用的方式，也會鼓勵決策者在任何項目開發的早期階段就考慮隱私的問題。 再次，隱私政策還可能是企業進行數據跨境轉移、拓展國際業務的必備要件。2016年，歐美就個人數據跨境轉移達成“歐盟—美國隱私盾”協議，相比之前的安全港協議，其進步之處在于企業需承擔更強義務。美國企業一旦提交加入隱私盾的申請和確認書，就應當完全遵守其中的各項隱私原則，公開企業隱私政策，接受美國商務部、聯邦貿易委員會等有權部門的監督和執法。 可見，數據保護水平相對較低地區的大數據企業要想走出國門，離不開完善且合規的隱私政策。

（四）行業自律規范

從發展歷程看，市場對消費者個人數據的態度呈現出一個由無視到尊重、由恣意到規制、由混亂到有序的過程，在這個過程中，行業自律占據重要地位。大數據時代，消費者數據資源的挖掘與利用成為數據經濟發展的“石油”，但這一過程不能以公民隱私為代價。面對法律越發嚴格限制的威脅時，各行業往往會承諾進行自我監管。原因有二：其一，市場的特殊地位。市場既是消費者數據隱私的潛在威脅者，又是數據保護的前沿實踐者。早有學者指出：“非官方手段在保護個人隱私方面往往更加高效、敏感。這一點在保護隱私權的具體例子中已得到證實——通過科技手段、市場、行業自律、企業競爭以及個人判斷，人們可以獲得相當周全的隱私權保護。” 其二，行業自律可降低企業生存與發展中的風險。企業決定自律可能會因為擔心消費者的抵制，更可能是出于擔心政府的規制比自我約束更加繁重。美國聯邦貿易委員會曾于1998年公布了一個調查報告，認為有必要進行正式立法以確保互聯網隱私得到保護，并提出了立法構想。但該意見遭到美國企業界的強烈反對，他們強調到2000年，美國制定隱私政策的網站已經增加到90%，這說明情況比聯邦貿易委員會進行調查時已得到極大的改善。當然，企業界也深知網站自我規范的實現是一個問題，可行的辦法就是成立自律組織，對網站隱私政策進行必要監督。2008年，世界上一些主要的網絡公司簽署了《全球網絡倡議》，它要求簽署公司和其他組織“遵守并保護用戶對言論自由和隱私的權利”。 2012年，我國百度、奇虎360、騰訊等12家搜索引擎企業在北京簽署了《互聯網搜索引擎服務自律公約》，聲明搜索企業有義務保護用戶隱私和個人信息安全。

制定隱私規則是行業自律的主要措施，而這些規則又要求互聯網企業發布并遵守隱私政策。如美國直銷協會、在線隱私聯盟和網絡廣告促進會等皆為其成員制定隱私規則或隱私指引，要求成員企業發布并遵守隱私政策。網站必須全面告知消費者關于個人數據處理的行為，包括數據收集的種類、用途、存儲期限以及是否與第三方共享、轉移等等。對這些團體而言，自律意味著有一個明確的隱私政策，并在企業進行初次或二次三次個人數據處理時，給消費者提供選擇性退出的機會。 通過對國內一些互聯網企業隱私政策文本的閱讀發現，隱私政策與產品/服務、場景的結合越來越緊密，如在線購物類的隱私政策比較接近、社交交友類的隱私政策也相對趨同，這一方面表明隱私政策呈現類型化、個性化、定制化的趨勢，也表明自律規范正在潛移默化地影響著企業數據處理行為。

二、隱私政策是企業數據合規從文本到實踐的連接點

隱私之于信息經濟，如同消費者權益保護和環境問題之于20世紀的工業社會。 可見，隱私正是信息社會“木桶理論”中的那塊“短板”，互聯網經濟的規模、效益，將最終取決于消費者的隱私保護水平。那么，作為普通消費者唯一能接觸到的隱私政策，在互聯網經濟中又處于什么地位，或者說，承擔何種功能呢？

（一）數據隱私法要貫徹到隱私政策文本中

網絡環境下，法律和技術對消費者數據保護都有著重要作用。但“與通過法律界定信息收集者與信息提供者權利義務關系的調整方式相比，在法律上強制性要求技術措施在設計上必須包含信息隱私保護的技術效果將是一個更直接、更有效的方法。”換句話說，法律塑造特定的隱私實踐，它們構成了隱私方法的“起點”，或者是隱私三角形的“底邊”。關注消費者隱私，首先應關注隱私實踐的法律遵從性問題。如果將隱私政策視為一種具體隱私實踐的話，那首先要做的，就是將數據保護法中的義務性規范貫徹到隱私政策文本中。通過對美國和歐盟的互聯網經濟政策和數據保護法進行梳理，也能發現這個趨勢。

先看美國。2010年奧巴馬政府發布《總統的隱私藍圖》和《消費者隱私權人權法案》，由商務部推動的互聯網政策任務組，負責協調各政府機構，全面審查其描述的“在隱私政策、版權、全球自由信息流動、網絡安全和互聯網經濟中的創新之間的關系”。 2011年《商業隱私權利法案》力圖“公平協調處理保護消費者免遭未經授權的跟蹤和允許企業機動靈活地提供新的服務和技術這二者之間的矛盾沖突。在該法案約束之下，公司必須依法對其收集和使用私人信息的途徑和方法做清晰表述，同時向消費者提供選擇性拒絕任何未經授權的信息收集行為之權限。” 2012年2月，奧巴馬又簽署白宮發布的工作報告《網絡環境下消費者數據隱私保護》，介紹消費者隱私權利法案七項原則的同時，敦促多方利益主體參與推動，盡快形成執行細則。《兒童網絡隱私保護法》更進一步，明確規定了面向家長的網站隱私聲明中必須具備的要素，其目的在于避免出現那種不容討價還價的隱私聲明和用戶同意。通過指出可接受的隱私聲明的主要框架，該法踏出了解決信息不對稱問題的第一步。 2018年美國《加州消費者隱私法案》不僅規定企業在線收集加州消費者數據前，必須先發布網站隱私聲明，而且詳列了企業應當主動披露的事項和應消費者要求應當披露的事項。

再看歐盟。《一般數據保護條例》兩個條款與企業隱私政策息息相關：第12條是基于數據處理的透明性原則，要求企業用“簡潔、透明、易懂和易于獲取”的書面形式，以清晰和直白的語言，向數據主體提供詳細的隱私通知，披露數據控制者的身份和聯系方式、數據保護官的聯系方式、數據處理目的、數據處理法律依據、數據控制者或第三方的正當利益、數據接收者的類型、數據存儲期限、數據主體權利等;第47條則指向有約束力的公司規則，其性質與公司隱私政策等同，可視為有效服務協議的組成部分。除明確賦予數據主體可執行的數據權利外，有約束力的公司規則應當至少明確：企業集團或其他經濟主體及其聯系方式、有關數據轉移的規定、規則的法律約束效力、對一般數據保護原則的適用、責任承擔及免除情形、如何將公司規則提供給數據主體、數據保護官的任務、申訴程序、公司內部如何實現對規則的遵守等等。

除互聯網經濟政策和數據保護法試圖將其精神和義務性規范貫徹到企業隱私政策外，數據保護或執法機構也不斷推進隱私政策的完善。如美國聯邦貿易委員會很早就根據反不正當競爭法理論敦促企業發布網站隱私聲明，而如果企業未能遵守自身的通知、規程和聲明，在大多數情況下會因為違反包括反不正當競爭法和侵權法（虛假陳述）在內的多種法律而遭受處罰。 美國商務部也不甘落后，在1998年發布的《隱私權保護的有效自律規范》草案中，強調為保證自律規范的實施效果，監管部門有權驗證企業在實踐方面是否遵守隱私政策。如果企業不執行隱私政策，則應承擔相應后果。 2010年又發布了題為“網絡經濟中的商業數據隱私與創新：一個動態的政策框架”的隱私報告，該框架的可取之處包括：重構“公平市場信息實踐原則”，行業隱私政策的標準化，成立直接與聯邦貿易委員會展開合作的隱私政策辦公室，……等等。

問題探討到這里，不禁要問：即使將對政策和法律的遵從性內化進企業的隱私政策中，隱私政策真的能發揮其規制企業數據處理行為的功效嗎？畢竟，幾乎沒有人有時間、精力或者決心瀏覽一遍各不相同的隱私政策。更尖刻的評論指出：“只有在臆想的世界中用戶才真正閱讀這些通知的內容并在表明其同意之前真的理解其含義。‘通知和同意在服務者和用戶之間形成了一個不平等的有關隱私的談判平臺。……這是一種市場失效。” 的確，隱私政策在發揮其“告知與同意”的功能上效果大打折扣，但萬不可忘記，企業隱私政策還有其“規范”功能，還能因其承諾屬性和合同屬性成為監管機構的執法對象——“除了法律可能具有的規定之外，它們還設定了商業使用數據的界限，根據消費者保護法規確定了可實施的法律責任。它們對信息披露的要求可以迫使公司對它們的隱私實踐進行評估，并在其對消費者信息的處理中強調紀律。” 換言之，企業絕不會因發布隱私政策就自動獲得了數據處理的正當性，這僅僅是一個開始，隱私政策也絕不是一份束之高閣的宣示性材料，而是企業數據合規從文本到實踐的連接點。

（二）隱私政策終要落實到企業隱私實踐中

“從設計著手隱私”理論“把隱私看作一個商業問題而不是依從性問題，達到隱私保護和承諾功能的雙贏”。 互聯網企業擁抱大數據時代的正確姿勢絕非眼中只有數據收集和挖掘利用，而是要把隱私看作默認需求，主動而非被動地將隱私嵌入到產品/服務設計中，實現數字經濟和隱私保護的正和博弈。而在此過程中，出臺并將隱私政策落實到企業隱私實踐中去是至關重要的一步。

1. 隱私官員職業化

隱私官員職業化是企業數據合規實踐的第一步，稱呼或職能部門設置上可能有所不同，有的直接由法務部或其他部門人員兼任。世界范圍內，德國是首個引入數據保護官概念的國家，旨在通過企業自我任命的隱私保護者來推進企業的自我監督，從20世紀70年代起，企業就負有法定義務任命數據保護官。在國內而言，360公司是國內首家設置首席隱私官（CPO）的大型互聯網企業，CPO負責處理360軟件產品可能涉及到用戶個人信息的各項事務，包括規劃和制定公司的隱私政策、審核各產品的用戶使用協議、監督各產品的工作原理和信息處理機制等。

歐盟《一般數據保護條例》第37條規定了數據控制者或處理者“應當”或“可以”委任數據保護官的情形，并在第38條規定了數據保護官的職位保障。隱私官員職業化的重要性在于，他們可以向不同的外部利益相關者傳輸消費者隱私期待的力量，并且作為企業和外部利益相關者“最佳實踐方式”的聯系橋梁，這一點可以通過《一般數據保護條例》第39條“數據保護官的任務”體現出來。數據保護官不僅對企業數據處理行為進行隱私風險評估、職員隱私保護意識和崗位培訓、制定并監督遵守隱私政策，還要與監管機構進行合作，充當監管機構的聯系人。可見，數據保護官職位雖為企業所設，其職責或者說利益指向并不是“一切為了企業”，而是充當監管機構、企業以及消費者三方的協調、聯絡角色。當然，企業最初設立隱私官員的初衷是復雜的，有的是為了遵守法律，有的是為了樹立標桿形象，但不管怎樣，“結構決定功能”，“如果能夠從結構上構筑信息控制者積極主動作為的組織體系，就完全有可能改變其行為方式，使個人信息保護成為其內生機制的一部分。” 隱私官員的職業化會逐漸釋放其“結構性”紅利，隨著設置隱私官員的企業數量的增加，我們看到用戶隱私在企業的生存和發展中占據日益重要的地位。隱私官員也開始有了自己的組織，即國際隱私專家協會。

2. 隱私政策標準化和技術化

面對形形色色的各類企業隱私政策，有心人會思考有沒有“標準版”的隱私政策呢？如果有，那消費者就不必擔心因無心看冗長的隱私政策而錯過了自己的最佳選擇。原因很簡單，“消費者一般都歡迎標準：他們不必面對本想選擇勝利者卻選擇了失敗者的風險。在單一的網絡或無縫互聯的網絡中，他們可以享受最大的網絡效應。” 隱私政策是否可以標準化呢？答案是能也不能。說“不能”是因為互聯網企業所提供的產品/服務千差萬別，所需收集和使用的數據類型也各有不同，自然做不到隱私政策的標準化;而說“能”則基于數據保護原則的同質以及隱私政策文本結構的趨同，這更多地體現為一個技術問題。

還有另外一種理解隱私政策標準化的思路，是與隱私政策貫徹落實的技術化聯系在一起的。原理如下：政府要求企業張貼隱私政策，但是，并不是每位用戶都會閱讀這些隱私政策，即使閱讀了，用戶又能記住多少企業的隱私政策呢？你能清楚地分辨提供不同產品/服務的企業所提供的隱私政策有何區別嗎？在這里，政府忽略了一件事，它沒有要求隱私政策應當為計算機所識別。而一旦隱私政策可以被計算機所識別，那發展P3P的前景就光明了。P3P（Platform of Privacy Preferences Project）又稱為隱私偏好平臺項目，由萬維網聯盟開發，能將用戶偏好與網站隱私政策進行比對。P3P協議包括引導瀏覽器的規則，引導瀏覽器讀取和解析網站的隱私政策，同時，用戶的偏好將被嵌入瀏覽器，這樣，P3P只允許用戶在與其偏好一致的網站上提供個人數據。當用戶進入數據收集范圍超出其意愿提供的信息范圍的網站時，或進入擁有讓用戶感到不適的隱私政策的網站時，瀏覽器將會向用戶提供警告。 換句話講，網站通過P3P協議提交一個請求，我們將其視為有約束力的要約。如果用戶接受了該要約，則合同成立。 可見，P3P最大的好處就是推動隱私政策的簡化和標準化，因為隱私政策必須以機器可讀格式存儲，而不能用晦澀難懂的法律術語來表達。 當然，P3P也不是萬能鑰匙，它無法保證隱私政策的執行，也無權追查那些故意違背隱私政策的企業。但不管怎樣，P3P代表了一代試圖通過技術手段讓用戶披露自己個人信息的控制能力與網站隱私政策共生的努力，隨著P3P這樣的互聯網技術架構進一步成熟，更有可能在消費者隱私保護和經濟效率之間達致平衡。

3. 隱私政策問責制

當前，整個數據保護法或者說隱私規范的重心正在轉向問責，“知情與同意”模式僅有助于數據初次收集的“合法化”，但數據資源的價值多體現在二級用途上。所以，我們需要設立一個不一樣的隱私保護模式，這個模式應該更著重于數據使用者為其行為承擔責任，而不是將重心放在收集數據之初取得個人同意上。 再則，將責任從民眾轉移到數據控制者也存在充足的理由，因為數據控制者比民眾更明白如何利用數據以及從中受益。

在企業數據合規的問責體系中，隱私政策地位凸顯。政府“懷疑”與“巡視”的目光常聚焦于企業隱私政策，企業數據處理行為的合規性論證也“求助”于隱私政策，消費者數據安全與隱私保護的訴求也仰賴于隱私政策，如此，政府、企業與消費者不約而同地將視線轉向隱私政策。以數據安全為例，之前企業可能不太會斥巨資、花大力氣來研發、改進數據安全防護技術、認證安全保護等級、制定安全事件應急預案，但一旦讓企業為數據泄露負責，結果可能會向好的方向發展。企業在大規模信息泄露事件中固然是受害者，但絕不是無辜的受害者，真正無辜受害的是消費者。2017年Uber數據泄露事件中，5000萬乘客的姓名、電郵和電話被盜;同年美國知名信用機構Equifax遭到黑客攻擊，大約1.43億用戶敏感信息泄露;2018年Facebook發生數據泄露丑聞，超8700萬用戶信息外泄。一系列安全事件中，企業存在過錯（至少是重大過失）的情形比比皆是，比如Uber曾經花10萬美元向黑客買封口費，Facebook授權政治數據分析公司Cambridge Analytica收集用戶信息。2017年國內暗網市場知名供應商雙旗拋售10億條從中國互聯網巨頭盜取的大量數據（包括網易、騰訊控股、TOM集團、新浪、搜狐公司等），有些數據是明文呈現，有些是很容易就能破解的MD5散列值。可見，企業并沒有重視數據安全保護，而這就是企業承擔責任的原罪。之前，大規模數據泄露所需要付出的代價，都由數據被泄露的人承擔了，在經濟學上，這被稱為外在性（Externality）：某個決定的后果不由決策人承擔。外在性限制了公司提升自身安全性的動力。 現在，是時候通過提高數據泄露的成本，讓企業花費更多力氣去保護消費者的數據隱私了。

三、面向企業隱私政策的執法

通過隱私政策實現數據合規離不開“面向企業隱私政策的執法”，因為市場的天性是逐利，你不可能讓一個“利潤至上”的企業自縛手腳。

（一）對隱私政策進行執法的必要性

互聯網企業可能會引用“買者自負”原則，聲明用戶自愿簽署這種浮士德式交易。隱私政策文本中也存在諸多免責條款，如《酷狗隱私政策》7.5條就列明四種情形下酷狗不承擔任何責任。但問題在于，不管隱私政策文本中列明的免責條款合法性及合理性有多少，企業對自身處理消費者個人數據的行為要負起責任來。換句話講，企業主一直強調的“知情同意”并不是所有數據處理行為的免責金牌。一直被詬病的用戶服務協議之“格式合同”屬性在消費者與企業資源與能力上的巨大差異面前盡覽無疑。梅迪庫斯講過，“私法自治作為一種形式上的人人平等的自由，沒有顧及到實際上并非人人平等的事實。人與人之間在財產、體能和精神能力，在市場地位和掌握信息以及在其他許多方面，到處都存在著差異。” 人與人之間尚且如此，更何況人與企業。無論對隱私政策賦予何種屬性以規范企業的數據處理行為，消費者點擊同意隱私政策的過程都是在一個雙方地位不對等的平臺上。

隱私已經成為數字經濟良性、健康發展的重大挑戰，隱私問題得不到解決，數字經濟的高樓大廈終歸建基于砂礫之上。對隱私政策進行執法，是當前可行的重要數據保護實踐路徑。一方面，數據（個人信息）保護法遲遲未能出臺，個人面對無處不在的數據收集與處理又無能為力，只有將希冀的目光轉向企業及其隱私政策。即使相關法律出臺，其最終落實還是要看企業的數據合規實踐。再者，有遠見的企業高管也愿意將數據合規打造成品牌或榮譽，成為新的客戶增長點。在這其中，隱私政策作為溝通企業與消費者的隱私橋梁，對雙方都有特別的意義。對消費者而言，隱私政策是目前可見的、能接觸到的數據保護的最重要一根稻草，淳樸的消費者認為隱私政策體現出了企業對消費者的尊重;對企業而言，隱私政策不僅是數據合規的需要，更是戰略發展的需要，消費者所需即企業改進的方向。另一方面，隱私政策公布后，企業會認真遵循嗎？企業的天性是逐利，而消費者數據將是決定未來誰能成為贏家的決定性因素，所以企業絕不會放過任何能獲取到的數據。事實也確實如此，斯坦福大學主持的一項研究發現，“在64家作為研究對象的擁有線上廣告業務的公司（包括谷歌、雅虎、美國在線和微軟）中，有一半在持續開展數字跟蹤活動，即便對象用戶已經點選了不被跟蹤選項。因此，即使用戶已經就隱私問題積極主動地采取了前攝性措施，也不代表那些收集者們針對用戶的信息收集行為就將被真正阻止。” 原因很簡單，單純依靠自由市場機制來扭轉隱私侵害的趨勢是不太可能的，“在控制掠奪性收集信息的問題上，信息商品交易的回報和營銷利潤太高，單純依靠市場的力量難以實現這種控制。” 所以，必須在自由市場之外，有強有力的政府監管介入，以糾正當前隱私保護市場的失靈。

萊斯格教授認為，真正有效社會規范的前提條件是，“社會規范的實施群體必須包括那些被規制行為的成本負擔者。換句話說，建立社會規范進行自我規制的行業并不承擔使用所獲信息的成本。成本——消費者的隱私是由個體而非公司來承擔的，而消費者并不是社會規范的制定者。” 斯皮內洛也指出，企業間的“數據銷售或交換給數據主體強加了一個成本：出售他或她的信息導致隱私的喪失。這一成本不是由交易雙方來承擔，而是由數據主體不情愿地承擔了。” 如何改變這種默認規則，讓企業真正擔負起數據處理行為的責任來，唯有依靠隱私政策從文本到實踐功能的轉變。隱私政策絕不是企業逃避合規義務的盾牌，而是企業承擔數據保護社會承諾、社會責任的體現，是消費者尋求隱私保護的信賴規范，從而，隱私政策毫無疑問應成為數據合規實踐中監管機構的重要執法對象。

（二）對隱私政策進行執法的類型

對隱私政策進行執法的類型主要有兩種：一是對企業的數據處理行為是否符合企業發布的隱私政策進行執法;二是對企業發布的隱私政策是否合乎數據（隱私）保護法進行執法。

先看第一種。美國Toysmart公司是一家從事網上銷售幼教玩具的公司，其隱私政策曾承諾：“您可以放心，您的信息永遠不會與第三方共享”。然而天有不測風云，公司倒閉了。在破產清算程序中，Toysmart公司打算出售它的消費者信息。該事件引發了隱私倡導者的強烈批評，美國聯邦貿易委員會也起訴該公司違背隱私承諾，是一種不公平、欺詐行為。 后來，Toysmart公司與聯邦貿易委員會達成和解協議：禁止Toysmart公司將消費者個人信息作為資產單獨出售;Toysmart只能將公司與消費者信息打包出售給有資格的買家;有資格的買家必須遵守Toysmart之前制定的隱私聲明，如果要改變信息收集和使用方式的話必須事先征求消費者的明示同意。谷歌和Facebook也先后遭遇過類似的執法。2010年2月，谷歌推出一項社交服務（Google Buzz），Buzz推出的當天，Gmail用戶就收到郵件勸說他們使用新服務，并給予兩個選項“看看Buzz”和“不，去我的收件箱”。然而，即便選擇了后者的用戶仍然被納入了其社交網絡之中，選擇了“看看Buzz”的用戶也并未被明確告知：他們郵件中的常用聯系人名單將會默認公開出現在Buzz社交網絡中。該服務引發了谷歌用戶的大量投訴，而當時谷歌的隱私政策聲稱：“當您使用一項需要注冊的服務時，我們會要求您提供個人信息。如果我們以不同于收集時的目的使用這些信息，我們會在使用之前征求您的同意”。Facebook也曾因未能遵守隱私政策而遭到聯邦貿易委員會的起訴，聯邦貿易委員會列舉了一些Facebook違背其隱私政策的事例，如Facebook曾更改網站設置，將原本設置為私人信息的內容改為公開，卻未曾告知消費者，也沒有事先獲得授權。對上述事件分析可見，美國聯邦貿易委員會執法的依據正是互聯網企業自身發布的隱私政策。根據《聯邦貿易委員會法》第五條，聯邦貿易委員會有禁止不公平和欺詐性商業行為的職權，聯邦貿易委員會正是通過對該條的充分解釋和援引，對企業隱私政策進行執法。在具體案件中，“被認為是具有誤導性或欺騙性的行為包括錯誤的口頭或書面表述，誤導性的報價，未經充分披露而出售有風險或系統缺陷的產品，未披露傳銷信息，使用引誘和轉換的方法，未履行所承諾的服務，未實現擔保義務”，都被認為是對第五條的違反。

再看第二種。如果將第一種視為企業遵循所承諾規范的話，那第二種就是對所遵循的規范的合法性進行審查。歐美基于不同的數據保護模式，對這兩種執法類型各有側重。美國以分散立法和行業自律為主的消費者隱私保護模式更側重于第一種類型的執法，因為來自同業成員和市場的巨大競爭壓力使得企業大多數情況下信守承諾;相比之下，采取統一立法模式的歐盟更側重于第二種執法。如西班牙與法國的企業很大程度上將隱私職能作為遵守確定的法律命令，哪怕自己懷疑做不到也要嚴格執行。 在此理念下，企業遵守隱私政策是企業數據合規實踐的應有之意，而在此之前，隱私政策首先要合規。所以，面對谷歌2012年更新隱私政策，將60余種產品/服務的隱私政策打通之事件，歐盟和美國表現極為不同。美國聯邦貿易委員會不僅未對谷歌的新隱私政策作出處罰，加利福尼亞州的聯邦地方法院甚至在隱私組織EPIC對聯邦貿易委員會的不作為告上法庭的案件中作出裁決：雖然法院承認谷歌改變隱私政策給消費者隱私帶來的問題的嚴重性，但法院沒有權力強制聯邦貿易委員會進行執法。 但在歐洲，情況卻截然不同，西班牙、英國、德國、意大利、法國、荷蘭等國都對谷歌新隱私政策展開調查。據英國《衛報》網站2013年12月20日報道，西班牙隱私監察委員會對谷歌在未提前告知用戶、未給出合理理由、未取得用戶同意的前提下，將不同在線服務的隱私政策進行整合從而獲取用戶個人信息的行為作出90萬歐元的處罰。據英國路透社2014年1月8日報道，法國國家信息自由委員會對谷歌罰款15萬歐元，其理由是：谷歌將60款隱私政策打通的行為，并未給用戶提供退出此方案的選項，并且谷歌也沒有向法國用戶充分告知個人數據被處理的情況，也未明確告知處理這些數據的目的。更嚴重的處罰發生在《一般數據保護條例》生效后的2019年1月21日，法國國家信息自由委員會向谷歌開出了5000萬歐元的罰款。其理由是：谷歌在兩個方面違反了《一般數據保護條例》，一是未滿足透明度和信息相關要求（數據最小化），二是沒有為其數據處理流程獲得法律依據。在涉及隱私政策部分，法國國家信息自由委員會指出，用戶許可不夠具體，因為谷歌要求必須完全同意隱私政策中的服務條款和數據處理條款，而非區分各種不同目的（如個性化廣告或語音識別等）來同意各項條款。

需要指出的是，歐盟與美國關于前述兩種類型的執法側重只是相對而言，隨著數據國際傳輸和保護的趨勢增強，兩種執法模式可能都會出現。比如歐盟與美國達成的隱私盾項目，美國商務部會審核申請加入該項目企業提交的加入申請和隱私聲明，包括隱私聲明是否與隱私盾原則相悖，歐洲數據保護機關可以要求企業履行合規義務，民事原告可以把企業告到法院。 盡管隱私盾協議已于2020年7月16日被歐盟法院認定無效（用于保護數據隱私的標準格式條款仍合法），但相信在美國與歐盟開啟討論、籌備的新制度中，隱私政策仍是數據監管的重要對象。從本質上講，對企業隱私政策的執法與數據（隱私）保護的政府監管是一脈相承的，前者是后者的重要組成部分。在數據合規實踐中，我們必須對企業經營有明確的態度，制定一套被廣泛接受的標準讓企業遵守，不能讓企業將自己視為自身社會責任的唯一裁決人。

注釋：

① 參見[美]狄樂達：《數據隱私法實務指南——以跨國公司合規為視角》，何廣越譯，法律出版社2018年版，第14—15、21、29頁。

② [美]斯蒂文·沙維爾：《法律經濟分析的基礎理論》，趙海怡等譯，中國人民大學出版社2012年版，第302頁。

③ [美]理查德·A. 波斯納：《法律的經濟分析》，蔣兆康譯，法律出版社2012年版，第546頁。

④ 周輝等：《網絡環境下消費者數據的隱私保護——在全球數字經濟背景下保護隱私和促進創新的政策框架》，《網絡法律評論》2013年第1期。

⑤ [美]霍華德·R.鮑恩：《商人的社會責任》，肖紅軍等譯，經濟管理出版社2015年版，第53、53頁。

⑥ [美]理查德·斯皮內洛：《鐵籠，還是烏托邦——網絡空間的道德與法律》，李倫等譯，北京大學出版社2007年版，第148、145、145、145頁。

⑦ Scott Killingsworth， Minding Your Own Business： Privacy Policies in Principle and in Practice， Journal of Intellectual Property Law， 1999， 7（57）.

⑧ 談詠梅、錢小平：《我國網站隱私保護政策完善之建議》，《現代情報》2006年第1期。

⑨ 參見甘肅省天水市中級人民法院（2016）甘05民終第427號民事判決書。

⑩ [美]拉里·唐斯：《顛覆定律：指數級增長時代的新規則》，劉睿譯，浙江人民出版社2014年版，第18、101頁。

See Dyer v. Nw. Airlines Corps.， 334 F. Supp. 2d 1196， 1200 （D. N. D. 2004）.

See Deborah Davis Boykin， Survey of E-Contracting Cases： Browsewrap， Clickwrap， and Modified Clickwrap Agreements， Business Lawyer （ABA）， 2012， 257（68）.

高秦偉：《個人信息保護中的企業隱私政策及政府規制》，《法商研究》2019年第2期。

王融：《大數據時代：數據保護與流動規則》，人民郵電出版社2017年版，第73頁。

轉引自[美]布魯斯·施奈爾：《數據與監控——信息安全的隱形之戰》，李先奇、黎秋玲譯，金城出版社2018年版，第187—188頁。

Janice Y. Tsai， Serge Egelamn， Lorrie Cranor， Alessandro Acquisti， the Effect of Online Privacy Information on Purchasing Behavior： An Experimental Study， Information Systems Research， 2011， 2（22）.

[美]肯尼斯·A.班貝格、迪爾德麗·K.穆麗根：《書本上的隱私和實踐中的隱私》，魏凌譯，載張民安主編《隱私權的性質和功能》，中山大學出版社2018年版，第253、269頁。

See Stuart L. Pardau&Blake Edwards， The FTC，

the Unfairness Doctrine， and Privacy by Design： New Legal Frontiers in Cybersecurity， Journal of Business and Technology Law， 2017， 227（12）.

Michael Froomkin， Regulating Mass Surveillance As Privacy Pollution： Learning From Environmental Impact St-atements， University of Illinois Law Review， 2015， 1713.

參見中國信息通信研究院互聯網法律研究中心、騰信研究院法律研究中心：《網絡空間法治化的全球視野與中國實踐》，法律出版社2016年版，第279頁。

張民安：《公開他人私人事務的隱私侵權》，中山大學出版社2012年版，第527頁。

Quoted in James Gleick， Big Brother Is Us， New York Times， September 29， 1996.

Julie E. Cohen， DRM and Privacy， Berkeley Technology Law Journal， 2003， 609（18）.

轉引自[美]達爾·尼夫：《數字經濟2.0：引爆大數據生態紅利》，大數據文摘翻譯組譯，中國人民大學出版社2018年版，第206頁。

Gautham Nagesh， Kerry and McCain Throw Their Weight Behind Privacy Bill of Rights， Hillicon Valley， April 12， 2011.

[美]保羅·M·施瓦茨：《網絡隱私權和國家》，廖嘉嫻譯，載張民安主編《公開他人私人事務的隱私侵權》，中山大學出版社2012年版，第506—508頁。

參見汪靖：《不被洞察的權利——互聯網精準廣告與消費者隱私保護研究》，復旦大學出版社2016年版，第143、19、175、185—186頁。

參見[美]特倫斯·克雷格等：《大數據與隱私——利益博弈者、監管者和利益相關者》，趙亮、武青譯，東北大學出版社2016年版，第33、55—56頁。

參見吳偉光：《大數據技術下個人數據信息私權保護論批判》，《政治與法律》2016年第7期。

[美]馬克·羅滕伯格等主編：《無處安放的互聯網隱私》，苗淼譯，中國人民大學出版社2017年版，第170—171頁。

劉雅輝等：《大數據時代的個人隱私保護》，《計算機研究與發展》2015年第1期。

周漢華：《探索激勵相容的個人數據治理之道——中國個人信息保護法的立法方向》，《法學研究》2018年第2期。

[美]卡爾·夏皮羅、[美]哈爾·R.范里安：《信息規則：網絡經濟的策略指導》，孟昭莉、牛露晴譯，中國人民大學出版社2017年版，第190頁。

Simpson， G.R.， the Battle Over Web Privacy， The Wall Street Journal， March 21， 2001.

William McGeveran， Programmed Privacy Promises： P3P and Web Privacy Law， New York University Law Review， 2001， 76.

[德]Christopher Kuner：《歐洲數據保護法——公司遵守與管制》，曠野、楊會永等譯，法律出版社2008年版，第42頁。

[英]維克托·邁爾—舍恩伯格、肯尼思·庫克耶：《大數據時代：生活、工作與思維的大變革》，盛楊燕、周濤譯，浙江人民出版社2013年版，第220頁。

[美]布魯斯·施奈爾：《數據與監控——信息安全的隱形之戰》，李先奇、黎秋玲譯，金城出版社2018年版，第288頁。

[德]迪特爾·梅迪庫斯：《德國民法總論》，邵建東譯，法律出版社2013年版，第144頁。

Daniel. J. Solove & Woodrow Hartzog， The FTC and the New Common Law of Privacy， Columbia Law Review， 2014， 583（114）.

作者簡介：李延舜，河南大學法學院副教授，河南開封，475001。

（責任編輯 ?李 ?濤）