我國網站個人信息保護的合規性考察
——基于九家網站隱私政策的文本分析*

杜永欣，周茂君

(1.北京大學 新聞與傳播學院，北京 100871；2.武漢大學 新聞與傳播學院，湖北 武漢 430072)

一、研究問題與緣起

隨著社會進步和信息技術的發展，個體的社會交往活動無不裹挾于信息洪流之中，用戶的各種在線行為變得有跡可循，其個人信息(1)個人信息、個人隱私、個人數據是當前較常混用的概念，美國習慣使用“個人隱私”，如1974年頒布的《隱私法案》(Privacy Act of 1974)；歐盟多使用“個人數據”，如最新頒布的《通用數據保護條例》(GDPR)；我國多采用“個人信息”的概念，如《信息安全技術 個人信息安全規范》，并且在學術研究中也出現用“個人信息”代替“個人隱私”的趨勢，本文亦采用這一概念內涵。成為可被追蹤記錄并加以利用的重要商業資源。如今，個人信息在助力行業創新與社會發展中的作用日益凸顯，數據價值開發不斷拓展信息收集和使用的邊界，以往被視為具有私人屬性的信息往往也被應用于商業目的，導致個人信息安全風險日益提升。不當的個人信息利用危及個人權益，容易造成人格尊嚴和自由、甚至是人身和財產安全損害，從Facebook連續多起大規模數據泄露風波到支付寶年度賬單的隱私爭議[1-2]，頻發的數據泄露事件將個人信息安全問題置于社會熱議的焦點，日益嚴峻的數據安全形勢使加強個人信息保護刻不容緩。

當前，個人信息的保護主要訴諸于技術、自律和法律三種途徑[3]。技術方法即通過加密、Cookies數據接收阻止等手段實現保護，自律則依賴于主體的責任承擔，而法律規制旨在尋求有效的立法方案以達到信息保護的目的，其中，以美國為代表的自律模式和以歐盟為代表的法律規制模式[4]在個人信息保護模式構建和經驗借鑒中頗受關注。在世界范圍內的個人信息保護立法潮流下，歐洲《通用數據保護條例》(GDPR)以及美國《加州消費者隱私法案》(CCPA)先后開始施行，我國也陸續出臺了個人信息保護的相關規定，以促進個人信息的規范使用和保障個人信息的安全。2012年全國人大常委會通過的《關于加強網絡信息保護的決定》開啟了我國個人信息保護的立法之路，隨即，個人信息保護成為《網絡安全法》《消費者權益保護法》和《信息安全技術 個人信息安全規范》(以下簡稱《規范》)等法律規范的重要內容。與此同時，為消除用戶隱私顧慮以建立信任機制、響應法律規范的要求，行業范圍也展開了相應的個人信息保護實踐，以貫徹法規要求中的“知情同意”等保護原則，實現合規經營。網絡隱私政策也稱為“點擊視為同意協議”[5]，是網絡服務提供者告知用戶在使用其所提供的網絡服務中涉及的信息安全問題，披露其收集、利用和保護用戶個人信息的目的、范圍和方式等內容的在線文件，網絡服務提供者通過公示其相關原則和措施，以達到與用戶之間的信息保護共識[6-7]。當前，制定隱私政策以明確對個人信息的規范使用，已成為國內外普遍采用的行業自律措施之一[8]，即使是推崇行業自律的美國和以嚴格的法律保護而著稱的歐盟，也并非依賴單一機制保護個人信息[9]，行業自律保護機制被視為個人信息保護中不可或缺的重要環節[10]。

雖然當前許多企業都制定了隱私政策，但究竟在個人信息保護中發揮著怎樣的規范作用以及產生的約束效力如何，是當前我國行業信息保護實踐有待探討和反思的問題。有學者從宏觀視角分析了美國行業自律模式對我國個人信息保護的借鑒意義[11]，以及歐美法律體系中個人信息保護相關規定的本土化移植問題[12]，基于國家和社會層面探討了個人信息保護與監管的多元機制[10]；也有學者從實踐應用角度對網絡隱私政策展開調查，并基于考察結果提出了完善建議[13-17]，由此為行業中的個人信息保護實踐提供了諸多有益的參考。就隱私政策的規范程度以及自律效力而言，需要納入法律框架予以綜合考量，隨著我國個人信息保護法律框架的日趨完善，依據法律規范標準審視和反思其在實際應用中的響應情況，是發現我國個人信息保護中的問題以及尋求應對方法的有效路徑。根據2018年中國消費者協會發布的《100款App個人信息收集與隱私政策測評報告》發現，其中多達91款APP涉嫌數據權限“越界”[18]，用戶信息的過度收集和使用情況依然不容樂觀。2019年，我國在全國范圍內組織展開了App違法違規收集使用個人信息專項治理，并發布了《百款常用APP 強制開啟權限情況通報》《網絡安全實踐指南——移動互聯網應用基本業務功能必要信息規范》《APP 違法違規收集使用個人信息行為認定辦法》等多項成果文件，以治理個人信息保護中所存在的亂象、規范市場秩序。在商業利益驅動、經營理念差異以及管理水平差距等多種因素的影響下，依靠網絡服務提供者主動納入法定要求、承擔社會責任的自律規則，有待對其進行進一步的規范性考察和監督管理。對隱私政策內容條款的合規性審視，有助于了解當前我國行業實踐中網絡服務提供者的自律現狀、發現隱私政策制定和執行中的問題，從而在優化提升中推進我國個人信息安全的規范化進程。

二、個人信息保護的法律標準與自律規約要點梳理

(一)法律框架下的個人信息保護要求

隱私政策條款的制定需符合法律規范的要求，才具備合理運作的基礎。通過對《網絡安全法》《信息安全技術 個人信息安全規范》《消費者權益保護法》和《電子商務法》等相關個人信息保護法律法規內容的全面梳理，總結了包括限制權限、最少夠用、明確目的、敏感告知、最短時限、保證質量、確保安全、主體參與、安全評估、透明公開、責任明確在內的11項要求指標(見表1)，以此作為全面衡量網站隱私政策內容規范性、合理性的考察依據。

表1 個人信息保護規范要求標準

(二)網絡隱私政策的自律規則

隱私政策是具有公開屬性的自律規則，其所載內容反映了網絡服務提供者對個人信息保護的關注方面和重視程度，且與其保護理念及實踐密切相關。因而，對網站隱私政策內容的分析能夠了解網站在個人信息保護中的認知傾向和關注焦點[19]，是審視行業實踐中網站個人信息保護自我規約情況的有效方法。根據Alexa(2)Alexa排名是指網站的世界排名，主要分為綜合排名和分類排名，已有研究中多采用該排名作為較為權威的網站訪問量評價指標(參見Alexa 熱門中文網站排名：https://www.alexa.com/topsites/countries/CN)，本研究的網站排名和隱私政策內容獲取截止時間為2020年3月31日。中文網站訪問量排名，本文選取了網站排名前50名中的第1至5名、中間第26至30名以及第46至50名的網站，在排除無法訪問、未張貼隱私政策以及隱私政策重復的情況后，最終選取了天貓、百度、騰訊、搜狐、寶寶樹、金融界、嗶哩嗶哩、愛奇藝、四川在線共九家網站的隱私政策作為分析文本，并結合法律規范框架的要求對其條款內容進行了綜合考量，進而主要從以下四個方面對網站隱私政策內容展開考察分析：(1)一般及特殊規定；(2)信息收集與使用；(3)信息保存與管理；(4)信息共享、轉讓與公開披露。

三、法律規制與合規審視：我國網站個人信息保護的現狀考察

隱私政策是網站自行制定的行為準則及指引，其相較于法律規范標準而言具有較強的及時性和靈活性特征，并旨在通過內在約束效力規范網站個人信息處理行為，避免侵犯用戶正當權益。雖然網站隱私政策中具有某項指標條款并不意味著該項內容達到了規范標準的要求，但至少反映了網站在個人信息處理過程中意識到該項要求指標的必要性。因而，各網站隱私政策的內容披露則為了解其信息保護內在機制提供了可行的評估視角。

(一)一般及特殊規定的考察

隱私政策的一般情況說明往往并不直接指向個人信息保護的核心標準和權利義務，而是為實現隱私政策約束效力所需的輔助性指標要求[20]。如表2所示，從隱私政策制定依據、相關概念界定、更新通知、聯系方式四個方面的分析發現：首先，隱私政策制定的依據來源是判斷其可信賴程度的重要因素，天貓等網站表明其主要依據現行法律法規要求制定和更新相應的條款內容，其中，嗶哩嗶哩明確表示其主要依據《網絡安全法》和《規范》等相關法律法規；其次，在個人信息概念及范圍界定方面，包括天貓、百度在內的六家網站對隱私政策中所涉及的關鍵性概念進行了說明，且嗶哩嗶哩、愛奇藝則聲明其定義出自《規范》；再次，隱私政策更新則反映了網站對個人信息保護的關注度和及時性，天貓、騰訊等都標明了更新時間，表示會對重大變更予以顯著通知，僅有部分網站告知了具體的更新內容，主要集中于未成年人信息規定、用戶權利方面；最后，聯系與反饋是用戶和網絡服務提供者有效溝通、維護自身權益的途徑，九家網站都公布了用戶針對隱私政策疑問的聯絡方式，其中，天貓明確告知了投訴舉報方式，愛奇藝則設立了專門的個人信息保護專員處理相關事宜，在反饋途徑方面表現出更為負責的態度。由此可見，該類隱私條款的制定主要出于“守法合規”目的，相關法律法規對其內容制定具有促進作用，網站信息保護制度初步呈現出尊重用戶權利、日益與時俱進的特征。

表2 網站個人信息處理一般及特殊條款的合規情況

與一般性規定指標不同，隱私政策中的特殊項目則主要是對個人信息處理行為中所涉及的特定技術應用、特定主體以及個人信息的特殊處理做出的規定性說明。從Cookies及同類技術使用、未成年人及兒童隱私條款和數據跨境傳輸情況三個方面的考察表明：網站對Cookies及同類技術的使用，主要是出于個性化服務提供目的，如安全認證、分析用戶偏好、廣告宣傳改善等，且九家網站均表明用戶可自行管理或刪除Cookies數據信息；未成年人作為網站服務使用的特殊群體，除金融界以外的八家網站均針對未成年人的服務使用和信息處理做出了特別說明，表示未成年人網絡服務使用需經過父母或其他監護人同意。愛奇藝表示，如發現未經監護人同意的情況，會盡最大努力與監護人取得聯系，并在監護人要求下盡快刪除相關未成年人個人信息，相較之下更為具體。此外，天貓、騰訊等網站進一步對兒童信息安全及法律責任承擔作了具體規定。考慮到個人信息跨境流轉更易造成信息主體利益損害[21]，天貓、百度等針對個人信息的跨境傳輸情形進行了說明，主要涉及遵循法律規定、個人同意授權以及個人主動的跨境交易等前提。

(二)個人信息的收集與使用

對個人信息收集和使用是網站圍繞用戶個人信息提供相關服務的關鍵環節，對其合規性考察可從如下幾方面進行：網站是否遵循“合法、正當、必要”的法律規范要求，承諾按照隱私協議進行既有約定下的信息收集和使用活動；網站是否明確披露收集個人信息的目的、范圍和方式，滿足用戶知情需要；網站收集和使用活動是否基于功能實現的必要，符合最少夠用原則；網站對與個人權益關聯密切的敏感信息有無特殊提示和功能關聯性說明，符合必要性規定。考察結果情況如表3所示。

表3 網站個人信息收集和使用條款的合規情況

個人信息收集和使用不應肆意進行，而應受到合法、合理的限制約束，產品或服務提供所需以及用戶合法授權，是其信息收集和使用的主要權限約束條件。九家網站均表示個人信息收集和使用是基于產品或服務提供的目的，且實現各項功能所需信息的收集和使用要在用戶合法授權的范圍內進行，其中，騰訊、嗶哩嗶哩表示依法遵循“正當、合法、必要”的原則收集和使用個人信息。

告知用戶數據收集和使用目的旨在滿足用戶知情權利，也是個人進行授權選擇的基礎。九家網站的隱私政策均包含如何進行數據收集和使用的相關條款，向用戶具體闡釋所收集的不同類型信息、用途以及方式。具體來看，網站的信息收集主要是基于實現核心和附加兩大業務功能的需要，如天貓、寶寶樹作為電商平臺，其信息收集和使用主要涉及會員服務、商品或服務信息展示、訂單管理等，嗶哩嗶哩、愛奇藝兩大視頻網站表示主要基于賬號注冊、搜索、視頻展示和播放等業務功能需求。另外，包括天貓、百度、嗶哩嗶哩和愛奇藝在內的四家網站均表明會將信息用于其他未載用途，但會事先征求用戶同意。

在信息收集數量的限度與原則方面，天貓表示“盡力避免收集無關的個人信息”，且在兒童信息處理中明確表示采取“最少夠用授權原則”；百度、騰訊明確表示僅會出于隱私政策所述的產品或服務提供功能需要而收集、使用個人信息；除金融界和四川在線以外的七家公司，均對不同類型的個人信息所滿足的特定功能進行了說明，并提醒用戶對于部分附加功能實現所需信息的拒絕授權不會影響基礎功能使用。在明確信息與產品關聯的情況下，用戶可根據自身需要而授權相應的個人信息，由此實現了用戶選擇范疇的最少夠用要求。網站的信息收集既涉及用戶的基礎信息(如姓名、手機號、郵箱等)，也包括行為活動信息(搜索、瀏覽、評論、轉發等)，且部分功能涉及個人敏感信息。天貓等六家網站對隱私政策中涉及的敏感信息進行了提醒，其中，愛奇藝、嗶哩嗶哩具體說明了此類信息與特定功能的關聯性，體現了網站對個人敏感信息的關注與重視。

(三)個人信息的保存與管理

網站對已收集的個人信息進行合理保存和有效管理，既是其保障個人信息安全的責任所在，也是保障用戶權益的要求。其規范要求主要涉及以下方面：網站是否以實現目的所需的最短時間為標準保存個人信息，合理限定保存時限；網站是否聲明不會泄露、竄改、毀損所收集的個人信息，尊重信息主體的信息權益；網站是否采取必要措施保障個人信息安全，對信息予以脫敏處理；網站是否明確告知用戶信息訪問、修改和授權撤回等權限，為用戶提供自主管理信息的途徑。對九家網站隱私政策的相應考察情況如表4所示。

表4 網站個人信息保存和管理的合規情況

以騰訊為代表的四家網站均表示僅會在實現產品和服務提供目的所需的最短期限內保留個人信息，天貓等三家網站表明以產品或服務需要為限，但未明確承諾時間最短。除此以外，法律規定留存、法定義務履行以及個人主動刪除也是影響網站信息留存期限的因素，多數網站表示會對超出隱私政策所述留存期限的信息進行刪除或匿名化處理。值得注意的是，百度表明會對相關逾期信息進行匿名化處理，不會用于商業化使用但仍然會依法保留；騰訊表示會在合理期限內刪除或匿名化處理個人信息，但并未對“合理期限”予以具體說明；四川在線則是依照個人信息的不同等級確定存儲期限，按照法律法規要求最低期限不少于6個月，顯然只透露了最低留存時限而無從知曉其留存時間上限。由此可以看出，網站關于個人信息留存的時限界定較為模糊，存在違規操作的空間。

對個人信息質量的保障要求，旨在防止因信息扭曲或泄露而致使個人權益遭到損害。包括天貓在內的八家網站均表示采取了相應的信息安全保障措施，以防止個人信息遭到未經授權訪問、公開披露、使用、修改等。各網站對信息質量保障的承諾標準和措施存在明顯差異，百度、愛奇藝等五家網站承諾其保護水平符合業界安全標準要求，且愛奇藝表明其保障措施涉及技術、組織架構和管理體系等多層面，將最大程度降低信息安全風險。在安全保障標準方面，天貓提供網絡安全等級保護認證，搜狐進行了國家信息安全等級測評和備案，相較之下更具有直接性的說服力和權威性；嗶哩嗶哩則設立安全應急響應中心以及時響應信息安全漏洞和突發事件，在安全保障提供方面更為及時；搜狐的權限管理制度進行數據權限拆分、最小授權，實行數據分級管理和保護制度，對敏感信息加密保護，在網站的數據安全保障方面表現出創新性和完備性。網站的信息保護措施為保證個人信息質量提供了支持保障，但標準參差不齊、保護效力存疑的弊端也較為明顯。

信息主體參與其個人信息管理是實現信息自控、尊重主體信息自決權利的要求，當前，同意授權模式已成為隱私政策中普遍采用的信息自控方式，除此之外，法定的用戶權利涉及信息處理的多個環節。天貓等七家網站均明確告知用戶可通過訪問、更正或補充、刪除等方式管理個人信息；搜狐為用戶提供了獲取部分個人信息副本的權限，表現出較高的信息透明度。至于對個人信息管理請求的響應，天貓承諾在15天內做出答復，對處理結果不滿意可以通過天貓客服發起投訴，對用戶信息需求回應較為高效；騰訊則表示在“合理的期限”予以回復；四川在線則未給出回復時限。因而，用戶對個人信息管理參與既存在透明性局限，也呈現出反饋滯后、效力不足的問題。

(四)個人信息的共享、轉讓與公開披露

網站對既有個人信息的使用不僅限于自身平臺，還涉及數據共享、轉讓以及公開披露的情形，這就涉及第三方甚至多方平臺的信息安全問題。清晰而有效的信息流轉或公開規則，有助于消除用戶對其個人信息“下游”應用的擔憂，促進網站個人信息保護框架的完善。對信息流轉規范的考察主要包括：網站是否按要求事先開展信息安全影響評估，采取有效的保護措施；網站是否明確告知信息主體個人信息共享、轉讓或公開披露的目的、類型等具體情況，以必要的透明公開保障用戶對個人信息流轉的知情權；網站是否明確個人信息共享、轉讓以及公開披露而造成用戶合法權益損害的責任承擔。相應的考察情況如表5所示。

表5 網站個人信息共享、轉讓與公開披露的合規情況

九家網站對個人信息安全影響評估規定的響應甚少，僅愛奇藝聲明“我們的安全團隊將對信息數據的輸出形式、流轉、使用等做安全評估與處理等”，各網站對安全影響評估的規范要求顯然重視不足。從信息共享情況來看，天貓、百度、搜狐等表示，除特定情況(如個人授權、法律要求、合作共享等)以外，不會向任何第三方共享用戶個人信息；部分網站對第三方的信息權限進行了限制，承諾信息共享在合法、正當范圍之內，且授權合作伙伴無權將信息用于任何其他用途；騰訊則采取“默認分享”但加以條件限制的形式進行信息分享，并表明會要求第三方平臺按照相關保密和安全措施進行處理；百度表示會采用加密、匿名化處理等手段保障個人信息流轉的安全。在信息流轉和披露方面，搜狐表示會對公開披露的信息采取符合業界標準的安全防護措施，并就披露信息方式、范圍征得用戶同意，也會對相關機構法定的披露要求進行核實，表現出較為完善的信息保護程序。關于第三方平臺的保護標準，多數網站表示自身平臺現有的保護條款同樣適用于第三方平臺，搜狐、愛奇藝承諾只分享去標識信息，并將簽署嚴格的保密協議；騰訊、愛奇藝承諾將要求第三方平臺按照不低于原有的標準進行個人信息保護。總而言之，各網站在信息流轉方面的安全評估意識匱乏，雖承諾將為個人信息提供安全保障，但并未明確信息公開及流轉的情形和具體信息內容。

由于信息共享和轉讓涉及多方主體，明確權責即厘清數據參與主體的權限范圍以及責任尤為重要。對此，愛奇藝針對用戶個人、合作伙伴以及自身平臺分別做了責任承擔說明，表明其將嚴格按照其隱私政策的約定及相關法律法規的要求開展相關活動，并承諾愿意就其過錯承擔法律范圍內的損害賠償責任，除此以外，對其他任何主體的行為后果不承擔法律規定范圍外的任何責任；寶寶樹聲明在處理用戶與他人的糾紛時，其僅會在法律有明確規定的情況下承擔相應的法律責任；金融界、四川在線僅提及第三方、用戶個人的責任承擔。由此可見，個人信息共享與流轉過程中的責任承擔機制薄弱、信息安全難以保障。

四、我國網站個人信息保護的規范進程及問題透視

制定清晰而明確的隱私政策是個人信息保護法律規制背景下市場的普遍調適行為，日益成為數據驅動時代網絡服務運行的必備條件。當前，我國網站個人信息保護雖趨于規范，但自主規約匱乏和法制依賴問題依然堪憂，亟待尋求突破保護實效困境的方案。

(一)從自律到自覺：網站個人信息保護的自我規約進程

個人信息保護的法律框架對網站自律形成了有效的推動，市場競爭調節也促進了行業中個人信息保護機制的構建。一方面，網站對個人信息的“自覺”保護初見成效，各網站隱私政策條款在更新中逐漸納入相應的要求指標，隱私政策日漸完善。一些網站的條款內容專業而明晰，較法定規范標準更為詳細，表現出良好的規范意識與負責態度。在一些自律規范條款項目中，部分網站做出了積極有益的嘗試，如百度、愛奇藝采用圖文結合的方式更為人性化地告知用戶；愛奇藝的未成年人保護條款在征求監護人同意原則的基礎上，還承諾會主動向監護人反饋未成年人在未經許可時的使用情況；搜狐則實施了較為專業化的數據分級管理與數據權限拆分制度，在此方面的諸多探索與創新，有利于推進行業實踐中網站自律的規范化發展。另一方面，各網站隱私政策自律規范標準的行業化特征初顯，隱私政策條款內容與網站的功能服務關聯密切，呈現出自律規約定制化趨勢。天貓與寶寶樹作為電商平臺，主要圍繞其平臺功能進行個人信息收集與使用，涉及諸多商品提供與交易支付的內容條款；愛奇藝、嗶哩嗶哩作為網絡視頻平臺，其隱私政策條款則旨在說明視頻服務提供中的個人信息處理情況，與產品及用戶使用場景聯系較為緊密，由此反映出當前網站自律實踐中個人信息保護趨于標準化的特征。

(二)自主匱乏與法制依賴：網站個人信息保護自律規約的合規性困境

隨著我國個人信息保護規定的相繼發布，網站對個人信息的保護意識和實踐也日益完善，但基于網站隱私政策內容條款的分析來看，當前依然顯示出諸多亟待解決的問題。其一，隱私保護存在較強的主體差異性，標準不一造成信息透明度不足，從而導致行業中個人信息處理“黑箱”現象。目前，距2017年6月《網絡安全法》、2018年5月《規范》的實施時隔已久，而網站隱私政策仍呈現出內容詳略不一、完善程度參差不齊的局面，部分網站隱私政策的更新時間仍不明確，更有甚者仍未張貼隱私政策，從而無從知曉其個人信息處理情況，信息保護更無從談起；部分網站隱私政策(如愛奇藝、天貓)內容文本字數達萬字以上，而也有網站(如金融界)的條款說明僅寥寥數條且無實質性規定，趨于完備還是流于形式差距顯著，這也反映出自律規約尚缺乏統一的規范標準和有效的執行監督機制。其二，自律規范框架下信息主體議價能力薄弱，不平等協商造成網絡服務提供者與用戶之間權利失衡。知情同意原則在實際應用中呈現諸多弊端，征求用戶同意的方式某種程度上已成為行業實現合規與合理化的“避風港”，用戶并無實際選擇權。例如寶寶樹聲明，“如果您不同意本政策任何內容，您應立即停止使用寶寶樹平臺服務”，在這種“是”或“否”的規則面前，用戶幾乎無協商空間和議價能力，不利于形成合理而規范的市場秩序。為維護網站自身利益和發展需要，網站的隱私條款更傾向于強調平臺自身對個人信息的收集和使用權利，而對隱私保護的責任重視不足，主要表現為以“協約組合”的方式弱化用戶權利、拓展自身權限范圍，實際上則是對個人權益的侵蝕。其三，行業實踐中的自律保護呈現出法律框架下的依賴效應，缺乏主動的探索創新。從各項指標的符合程度來看，法定的基本規范要求尚未全面落實，推薦性規范標準更是未獲得有效響應，各網站對強制性指標執行程度較高，而對引導性標準的滿足程度較低，由此反映出行業實踐中網站自律保護的滯后性，依賴法律推動而缺乏自主探索。此外，網站對自身權益的規定更為詳盡而靈活，而對用戶權益的相關描述則往往采用“合理期限”“可能”“盡力”等模糊詞匯，為其淡化責任、權利“越界”留存了空間，容易造成對用戶信任的破壞。因此，我國網站的自律意識與自律管理能力仍有待提升，個人信息自律保護的規范化依然任重而道遠。

五、法律規制與自律協同：我國網站個人信息保護問題應對策略

大數據時代信息流動無處不在，個人信息保護既是個體發展的必要保障，也關乎行業生態構建以及社會的健康發展。法律的功能在于以限制性標準達到使各種行為活動趨于合理的目的[22],法律規范只有對個人信息保護產生實際效果，才能有效推進行業中個人信息保護實踐，積極引入行業自律機制，構建以法律規制為主導、行業自律有效協同的綜合治理體系，是我國應對個人信息保護問題的可行之策。

第一，制定出臺專門的個人信息保護法，完善個人信息保護的法制體系，切實保障個人信息權益。在20世紀70年代，科技進步與社會發展促使歐美國家興起了個人信息保護立法熱潮，而如今大數據時代的沖擊使個人信息保護問題日益成為國際廣泛關注的焦點，個人信息專門立法的呼聲日益高漲，世界各國也紛紛加入個人信息立法保護行列。我國對個人信息的法律保護經歷了從無到有、漸趨豐富的過程，但從既有的法律法規現狀梳理情況來看，我國當前對個人信息保護的規定散見于各類法律條文之中，呈現出零散化、碎片化特征，相互之間協同性不足。由于我國尚未制定施行專門的《個人信息保護法》，個人信息保護缺乏獨立、權威的法律依據。立法上的不明確，直接導致了個人信息保護范圍的不確定，是當前個人信息保護面臨諸多困境的重要原因，這也更加凸顯了大數據時代我國個人信息保護專門立法的必要性和緊迫性。因此，當前需要通過法律規制為個人信息的有序使用與自由流通提供堅實基礎，具體應強調以下方面內容：其一，明確個人信息屬性及范圍，保障個人信息權益。我國對“個人信息”的保護主要出于對“人格尊嚴”“個人隱私”等相關范疇的引申保護[23]，這種訴諸于侵權救濟的被動保護模式已難以滿足當前個人信息保護的需要，法律應賦予個人積極能動的信息自決權，如訪問權、更正權、刪除權(被遺忘權)以及GDPR中所規定的可攜帶權，以有效保障個人對信息的自控與自決。其二，強化各類網絡應用的個人信息保護功能，以法律條款規定企業將個人信息保護要求納入其產品或服務的設計之中，借鑒GDPR中“通過設計和默認方式保護數據”(data protection by design and by default)的規定，要求企業采取必要的安全措施(如匿名化、數據加密等)，并向用戶提供清晰、易懂、可獲得的信息處理規范準則，提升信息處理的透明公開程度，推動企業運作中個人信息保護責任體系的構建。其三，完善對未成年人等特殊群體的個人信息保護，規定企業對該類特殊群體提供相關產品或服務時，應將對其信息收集和使用的特殊性納入考量，主動承擔相應的社會責任，避免單一依賴監護人同意授權，同時應強化對特殊群體信息權益損害的懲罰力度。其四，引入數據評估與數據泄露通知制度，明確要求企業定期開展數據安全評估，并向相關監督管理部門提交評估報告，一旦發生未經授權的數據泄露及其他可能導致個人信息權益受損的情形，應及時采取應對補救措施，并向相關部門以及受損主體通知問題處理進度。其五，加強對個人信息的跨境流動監管，針對企業的信息跨境流轉活動，應向個人明確披露信息流轉用途及方式，并取得個人的明確同意，在經由監管部門對其信息安全影響認定通過后，方可獲得個人信息轉移許可。隨著2019年10月我國《兒童個人信息網絡保護規定》的正式實施，2020年10月《個人信息保護法(草案)》公布并公開征求意見，我國的個人信息保護將進入專門的、精細化的法律保護階段，這也進一步表明個人信息立法保護的必要性和時代趨勢。

第二，頒布行業個人信息保護法，構建個人信息保護特別法規體系。統一的個人信息保護法具有系統性、權威性優勢，但綜合性保護立法也面臨不同行業的適應性問題，過于概括性和抽象性的內容，往往難以適應不同行業領域的具體情況，面臨實際應用中的局限性。為更好地滿足特殊行業、特殊領域個人信息保護的需要，應制定有針對性的行業個人信息保護法，例如，歐盟的《電子通信數據保護指令》、美國的《電子通信隱私權法》和《家庭教育權利與隱私法》[24]等，都是針對特殊領域而專門定制的法律，這對于不同行業的個人信息保護而言，更具專業性和可操作性。我國針對行業個人信息保護的分散立法可借鑒美國經驗，采取統一立法基礎上輔以行業特別法的個人信息保護模式，針對不同行業(如通信、醫療、金融等)所呈現問題的特殊性，制定相應的法律予以規范，從而有效推進法律要求有效轉化為行業自治規則，發揮行業在個人信息保護中的積極作用。

第三，設立統一的個人信息保護機構，健全個人信息保護的協調管理機制。通過專業化的個人信息保護機構，為法律規范應用實踐提供必要支持，已成為各國推進個人信息保護有效開展而廣泛采取的做法，如德國信息保護委員會、法國政府信息獲取委員會、新加坡個人信息保護委員會等[25]，其在落實個人信息保護條款、保障個人信息權益中發揮了重要作用。當前，我國對個人信息保護問題的監管主要是通過傳統的監管機構職責延伸至各行各業[26]，而對于大數據時代兼具專業性和復雜性的個人信息保護問題而言，更需要特定的信息保護機構履行監督管理職責，對企業的個人信息保護機制進行科學鑒定，提供標準化的信息安全認證，并針對行業中可能存在的個人信息安全問題提供專業化的應對方案，對行業中的個人信息保護情況予以全面監督。與此同時，為個人提供系統而完善的維權路徑、為企業提供非法信息處理行為的舉報平臺，有利于監督行業個人信息保護實踐對法律要求的落實情況，調動多方主體參與到監督管理之中，切實保障個人信息權益。因而，我國可借鑒國際經驗(如法國、新加披、日本等)，成立專門的信息管理與協調機構，由專業人員組成“信息委員會”，實施專業性的信息監督管理措施，為相關主體提供科學、權威的評判。由此，個人可充分知情自身的信息安全風險情況，以及時采取必要安全措施，企業則可將專業化的鑒定結果作為其信息公開與決策制定的依據，從而實現行業中個人信息保護的動態平衡。

第四，構建行業個人信息保護自律規范體系，提升行業自主規約能力。自律規約機制與行業的個人信息保護實踐密切相關，只有實現個人信息保護的法制框架與行業自律機制有效協同，才能擺脫法制依賴的被動局面，激發行業個人信息保護的自主創新。因此，就企業微觀層面而言，應樹立信息安全理念、提升信息處理規范意識，主動將信息安全要求納入其組織管理與發展戰略之中，建立企業內部的信息安全評估制度，以有效識別和防范可能的信息安全風險，及時采取補救或預防措施，在自我規約實踐中踐行個人信息保護責任，其政策制定應從長遠視角看待問題，考慮到社會與組織的關系。當前，個人信息保護已不僅僅是執行操作的問題，而是關乎市場競爭以及企業未來發展的戰略性決策，只有符合信息化時代的規則秩序和發展潮流，才能在行業競爭中脫穎而出。所以，企業應重視自身數據管理與信息處理能力的提升，積極推進個人信息保護的自主創新，以前瞻性的發展規劃謀求行業競爭優勢。從行業宏觀層面來看，應加快完善個人信息保護行業自律規范體系的構建，打造標準化的自律規范秩序。2001年，由中國互聯網協會發布的《中國互聯網自律公約》，對我國個人信息保護行業自律機制的建立具有重要意義，隨著大數據時代個人信息應用的日益成熟，應針對不同行業特性及其信息處理活動特征，建立完善的行業自律規約準則，為行業中信息處理活動的有序開展提供詳細的、可操作的規范指引。同時，行業協會應對行業自律條款的執行情況進行監督，定期公布嚴重違背個人信息保護自律準則的黑名單，發揮市場調節中的優勝劣汰機制，與法律規范要求形成良好呼應。

六、結 語

技術的進步日益提升信息價值的挖掘和應用能力，傳播的智能化對個人信息安全不斷發出挑戰。在信息資源價值日益凸顯的時代背景下，個人信息成為兼具個體性和公共性的戰略資源，對個人信息的保護不僅關涉個人利益，也關乎社會整體利益，如何在信息利用和保護個人信息權益之間實現合理權衡，是個人信息保護法律規制和行業自律所面臨、且有待持續探討的命題。隱私政策作為網絡服務提供者對個人信息處理的公開承諾，反映了企業在利用個人信息獲取收益與承擔社會責任之間的價值平衡，是行業個人信息保護實踐的重要環節。面對席卷而來的信息化潮流，個人信息保護問題的治理涉及多元復雜的利益格局，合理、規范化秩序的構建，還有待于法律框架與行業自律的有機結合與良性互動，通過多元主體合作參與，共同推進個人信息保護的規范化進程。