《网络安全法》执法情况讨论分析

   我国首部保障网络空间安全的基本法——《网络安全法》正式施行三月有余，期间，各地网信办及公安部门以此为依据加强对相关案件的执法，全国各地纷纷涌现行政执法“第一案”。本期内容旨在对执法情况和相关案例进行分析、解读，从中发现共性，对《网络安全法》与现行法律法规之间的有效衔接以及在实际执法过程中的适用性问题进行讨论。

   7月末中央网信办、工信部、公安部、国家标准委等四部门联合启动“个人信息保护提升行动”，行动的首期确定为“隐私条款专项工作”。8月24日，四部门组成的专家工作组结束对首批10款网络产品和服务的隐私条款评审。首批被评审的网络产品和服务为：京东商城、航旅纵横、滴滴出行、携程网、淘宝、高德地图、新浪微博、支付宝、腾讯微信、百度地图。评审重点包括三方面：“隐私条款内容、展示方式和征得用户同意方式”。

   在评审之后，多家媒体和不少专家关注到了这10款产品和服务在隐私条款方面的改变，发表了中肯的评论和观点，说明四部门在《网络安全法》生效后开展的“隐私条款专项工作”引发了社会方方面面对个人信息保护的关注，也从侧面体现了6月1日以后民众对国家机关保护个人信息有了更高的期待和需求。借着“隐私条款专项工作”的开展，笔者与大家分享一些个人思考。

一、隐私条款的内涵

   从最广泛的意义上来说，隐私条款是网络运营者对其所开展的收集、保存、使用、共享、转让等个人信息处理行为的说明。因此，隐私条款完成的是“告知”（notice）这个动作。

   在中外实践中，产品和服务主要是通过隐私政策（privacy policy）或者在服务协议中加入关于个人信息的条款（privacy clauses）来完成告知。隐私政策文本或服务协议中的个人信息条款通常篇幅较长，其作用在于完整、清晰地描述产品和服务收集、保存、使用、对外提供个人信息的行为。在此有必要说明，之所以称为隐私政策而不是个人信息政策，主要是尊重国内外行业中约定俗成的叫法，其针对的还是个人信息而非个人隐私。

   除此之外，产品和服务还可以通过其他形式完成告知：一是增强式告知（enhanced notice），即注册账号，或安装程序，或首次使用时向用户展示的关于个人信息的提示。其并非隐私政策，但浓缩了隐私政策的核心内容，或突出展示了用户最关心的信息，例如收集了哪些个人信息，这些信息将会提供给谁等。很多时候，在增强式告知中包含了指向完整的隐私政策文本的链接。这样做的好处就是，即便用户没有阅读隐私政策文本，但是通过增强式告知，能够了解到隐私政策的关键核心内容，了解到风险较高的个人信息处理行为。二是即时提示（just-in-time notice），即在用户使用过程中即时展示的关于具体个人信息处理行为的提示。其往往用于针对个人敏感信息的二次授权（在对隐私政策）前的告知。个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。这些个人敏感信息在收集、使用或者向他人提供（包括共享、转让、公开披露）前，需要再一次提醒用户，因为这样的信息处理对用户有着重大影响。从用户角度出发，对个人敏感信息的处理行为，不应该仅仅埋没于隐私政策的文字中，而是应该突出、凸显出来，征得用户的同意。

   与国外单一功能类的互联网应用相比，我国平台式的互联网应用较多。平台式的应用必然要集合很多其他功能。这些功能可能会遵守同一份隐私政策，也可能各自有一些特殊规定。因此，在用户点开这些附加功能的时候，产品和服务的提供者可能还会提供一次单独告知，有针对性地告知用户，这个附加功能将对个人信息做出那些与平台应用的隐私政策不同的处理。

   由此可见，隐私条款实际上包含了产品和服务提供的上述各种形式告知（以及本短文没有提及的其他形式）的一种或多种组合。

二、隐私条款的公开要求

   在《网络安全法》中，对隐私条款最直接的要求是第41条第一款：“网络运营者收集、使用个人信息，应当......公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。”总结起来，就是公开、明示、同意三个具体要求，余文逐一讨论。

   在笔者看来，公开收集、使用个人信息的规则，有利于用户了解产品和服务个人信息处理行为的实质；更重要的是，对监管机构来说，产品和服务公开收集、使用个人信息的规则，是加强个人信息监管的有力抓手；从社会监督角度来看，公开收集、使用规则是形成公众、舆论压力的最佳切入路径。下面以欧美个人信息保护部门对谷歌和脸书公司的两次执法事件为例说明。

   2012年3月，谷歌把涉及其旗下产品和服务的70余项隐私政策合并为一个文本。包括英国、荷兰、西班牙、法国、意大利等国在内的个人信息保护部门对此各自开展独立调查。这些部门得出的一致结论是：合并后的隐私政策文本没能清晰地告知谷歌出于哪些目的分别收集了哪些信息，将和谁共享上述信息。例如，荷兰个人信息保护官在命令中指出：谷歌在其隐私政策中“没能清晰、充分、具体地界定其收集个人信息的目的，因此违反了荷兰数据保护法第7条关于应出于具体、正当的目的而收集个人信息的要求”，谷歌应于2015年2月前修改隐私政策，否则将面临1500万欧元的罚款。英国个人信息保护官则认定，谷歌在其隐私政策中对其使用个人信息的规则描述过于“模糊”，因此要求其在2015年6月30日前整改完毕。意大利、法国、西班牙则直接对其处以罚款，并给出整改期限。

   2010年，美国民间组织“电子隐私信息中心”（EPIC）将脸书公司个人信息收集、处理行为与其隐私政策描述不符一事，向美国联邦贸易委员会（FTC）投诉。EPIC声称，脸书公司未事先获得用户同意向其合作伙伴共享用户个人信息；共享了用户设置为限制访问的个人信息；公开了用户限定了只限朋友可见的个人信息等，违背了脸书在隐私政策上所做的承诺。FTC随后开展调查并最终要求脸书更正其隐私政策，并在接下来的20年里要定期聘请独立第三方对其个人信息处理行为开展评估。

   从上述两个执法和社会监督案例来看，虽然隐私政策文本冗长而经常被诟病，但是长文本的好处在于能做到详细、完整、清晰，而且隐私政策公开以后，读者并非仅仅是用户而已，还包括监管部门、学者、记者、消费者保护团体等，因此不应一味要求隐私政策文本简短、简练，毕竟其还承担了许多其他角色。

三、隐私条款的明示要求

   《网络安全法》要求“明示收集、使用信息的目的、方式和范围”，后面紧跟着“并经被收集者同意”。因此可以认为，明示这个要求主要服务于用户，用户要做出授权同意的前提当然应该是知道自己“同意了什么”；进一步来说，明示还可以理解为要求产品和服务在告知时提供的信息，应当在用户所处的具体场景（current context）中有着直接的相关性（direct relevance），以帮助用户在做出具体决定前，能够充分考虑对其个人信息的具体影响。

   从这个角度出发，仅仅通过冗长的隐私政策或者服务协议来告知完成明示这个要求，显然存在巨大的缺陷。隐私政策提供的是个人信息处理规则的全集，其包含的许多内容在用户浏览、注册、支付时并非直接相关，对用户做出具体动作来说属于冗余信息。因此不加区分地向用户展现和灌输，只会造成用户认知和选择上的疲倦。

如前文所述，产品和服务完成明示要求，事实上可以综合采用多种告知的形式，创造性地对“增强式告知”、“即时提示”、对附加功能的“单独告知”等进行组合。具体来说，在进行上述行为以满足明示要求时，产品和服务可考虑以下因素：

   一是场景和时机。充分考虑用户在不同使用场景中最需要的信息：例如某些产品和服务无须要求用户注册账户也能够使用，则当用户首次打开应用时，只需通过“即时提示”向用户展示纯粹浏览时需要收集的信息，同时可提供指向隐私政策文本的链接以供感兴趣的用户进一步查阅。在用户决定注册账户时，可以通过“增强式告知”展示浓缩后的隐私政策核心内容（如新华社报道中指出的“用一图读懂的形式告知用户提供哪些服务对应要采集哪些信息”），同时要求用户同意隐私政策文本。

   二是用户的合理期待，即在明示时充分考虑对用户来说可能出乎其意料的个人信息处理，或者根据个人信息处理对用户合法权益造成的风险大小来排列展示信息的顺序。例如，许多平台式的应用集成了其关联公司或第三方的服务，用户在打开这些服务时可能并不清楚自己正在向不同的网络运营者提供个人信息，此时就需要采用对附加功能的“单独告知”、“即时提示”等形式来提醒用户。

   此外，产品和服务还可用声音、震动等提示方式作为对文字展示的补充。例如在进入集成了特定传感器的环境，手机上与该传感器相匹配的应用可以发起震动或者调用闪烁功能来提醒用户，达到明示的效果。

   总结起来，前文叙述的隐私条款的公开要求，面向的是多个对象。而此节的明示要求，则主要针对用户，最核心的考核标准是用户是否对某个场景或操作中涉及的个人信息处理行为明明白白。许多企业对外宣称“以用户为中心”，那就必须在明示时，多发挥一点创造性，让用户真切地感受到产品和服务的真诚和温度。

四、隐私条款的同意要求

   “经被收集者同意”事实上可以分两个层次来理解：首先，选择同意应当是用户清晰的自主意思表达，具体来说就是用户通过书面声明或主动做出肯定性动作，对其个人信息进行特定处理做出明确授权的行为。例如用户主动做出声明（电子或纸质形式）、主动勾选、主动点击“同意”、“下一步”、“注册”、“发送”、“拨打”等视为肯定性动作。其次，应当避免存在一揽子协议强迫用户同意，例如天气预报软件强制收集用户通信录信息，否则无法使用，此举事实上剥夺了用户的选择权利。

对于前者来说，用户注册时弹出“增强式告知”时的选择同意，附加功能开启时弹出“单独告知”时的选择同意或主动填写提供个人信息、个人敏感信息采集在业务场景中即时弹框同意，附加功能采集个人敏感信息逐项选择同意，在线撤回同意，在线注销账户等等，都是尊重用户自主意思表达的具体做法。

   对于后者，理想的状态是产品和服务在设计、开发阶段就考虑到个人信息与实现功能之间一一对应的关系；然后提供控制面板，允许用户逐项选择同意收集、使用的个人信息类型；在用户选择完毕后，得出产品和服务可以实现的功能集合；用户可随时在控制面板做出或撤回同意。但由于通过设计保护隐私（privacy by design）的理念尚未大规模成为业界的实践，现阶段大部分的中外网络产品和服务均无法达到上述的理想状态，因此一个折中的办法就是要求产品和服务划分出核心功能和附加功能。

   对于核心功能，产品和服务应向用户告知所提供的核心业务功能及所必需收集的个人信息，并明确告知拒绝提供或拒绝同意将带来的影响。例如提供实时导航服务的软件，用户不提供位置信息则无法完成服务。

   但对于附加功能，启用前应向用户逐一说明个人信息为完成何种附加功能所必需，并允许用户逐项选择是否提供或同意自动采集。当用户拒绝时，可不提供相应的附加功能，但不应以此为理由停止提供核心业务功能，并应保障相应的服务质量。例如提供实时导航服务的软件，还提供附近的餐饮或住宿预订服务，就属于附加功能，用户有权拒绝使用且仍能够享受导航服务。

   应当说明的是，为完整、清晰、详细地展示产品和服务关于个人信息处理行为的全貌，隐私政策文本需要同时囊括核心功能和附加功能收集、使用个人信息的规则，用户点击同意其实并不意味着一揽子对核心功能、附加功能提供了一次性的授权同意。相反，附加功能的使用还需要用户主动触发，例如主动点击同意，或主动填写相关的个人信息。所以，不宜将此情形中产品和服务要求点击同意隐私政策视为“绑架用户”。毕竟对于附加功能的开启及所需要的个人信息，用户在实际使用中还是能够行使选择权的。

五、坚持管控个人信息收集环节

   提升隐私条款，实质是加强个人信息收集环节的管控，坚持数据最小化原则（data minimization principle）。而在大数据、万物互联、人工智能的时代，国内外均有专家提出，应当放弃对个人信息收集环节的管控，放弃数据最小化原则，转而专注规范使用环节。从这个角度出发，四部门开展的“隐私条款专项工作”没能抓住个人信息保护问题的关键，甚至注定是吃力不讨好的。

这样的观点值得商榷。首先，告知是各国现行法律和国际权威框架的基本要求，例如OECD的隐私保护框架、欧盟2018年将生效的《通用数据保护条例》、美国联邦贸易委员会的执法准则、美国金融行业的“格雷姆-里奇-比利雷法”等，可以说国际主流做法对个人信息的保护，都是从收集环节就开始着手的。

   其次，在现阶段确实有越来越多的个人信息被越来越多的组织以越来越多的方式、途径所收集，但这就意味着收集这个环节就应该放弃控制？这是典型的技术逻辑至上的思维。但有意思的是，几乎所有的学者都认为对人工智能的发展，应该通过伦理、法律的力量对其加以驯化。显然，是不是让技术逻辑说了算，本身就是个可左可右的问题。

   再者，许多学者担心管控收集会拖慢创新和发展，影响国家社会进步，降低民众可享受的便利。可以设想一下，放弃收集环节的控制，最大的受益者是各个收集个人信息的网络运营者，但他们对个人信息的使用是否一定会遵循最大化公共利益的路径，本身就是个疑问。而且如果收集环节已经控制不住，为什么在使用环节就一定能控制住？

   最后，几乎所有学者都认为应该限制政府部门收集、使用个人信息，因为掌握了个人信息再辅以公权力，很容易实现对个人的优势性支配。目前，各大型网络运营者，特别是平台运营者正在对民众生活各方面行使着“准公权力”，如果允许他们对个人信息的收集不受控制，真的是一种明智的选择吗？

六、展望

   综合上述五个方面，四部门开展的“隐私条款专项工作”旨在落实《网络安全法》的有关规定，进一步细化了公开、明示、同意的要求，是对个人信息收集环节管控的一次有益尝试和创新，值得大大的点赞。

  需要特别指出的是，“隐私条款专项工作”是“个人信息保护提升行动”的第一步，正如管控收集环节仅是对个人信息全生命周期保护的起点。

   在后续工作中，期待四部门通过持续展开“个人信息保护提升行动”，进一步督促个人信息控制者切实负起保护个人信息的责任，正如国家标准《个人信息安全规范（报批稿）》中个人信息安全首要基本原则“权责一致”（accountability principle）所要求的——个人信息控制者“应对其个人信息处理活动对个人信息主体合法权益造成的损害承担责任”，这才是时刻悬在收集、使用个人信息的组织头顶上的达摩克利斯之剑，这才是确保个人信息在场景、技术不断变化的未来持续获得保护的关键。