11月22-23日,由腾讯互联网与社会研究院发起并联合北京大学法学院、斯坦福大学法学院、牛津大学法学院联合举办的第三届“2014北大-斯坦福-牛津:互联网法律与公共政策研讨会”在北京大学举行。此次研讨会下设“网络治理与网络中立”“移动互联网对社会的影响”等六个专题。
大数据时代个人信息的法律保护
——《互联网企业个人信息保护测评标准》及抽样分析
张平 北京大学互联网法律中心主任
一、中国对隐私保护的现状
作为一个学术机构,为什么要去做互联网企业个人信息的测评呢?出发点是中国法律对隐私的保护,或者说对于个人信息的保护,还不是特别有效,尽管我们有一些立法,但是还不完善。企业在这方面处在无意识状态,很多互联网企业连隐私政策都没有,还完全是一种空白。
有些大的互联网公司,已经注意到这个问题,但即使这些大的互联网企业,在隐私政策或者个人信息保护上,也存在诸多的问题。如果未来要参与国际贸易或者国际的电子商务,必须有好的隐私政策。所以在法律还没有特别有效的具体措施的情况下,我们通过发布这样一个测评标准,鼓励和促进企业自律。
现在互联网各种商业模式的发展是绝对离不开数据挖掘的。今天或者说未来相当长一段时间,电子商务的一个主流方向是谁拥有数据,谁就拥有市场,谁就拥有更多可以拓展的商业模式。这种情况之下,如果个人信息保护不好,就没有市场。
二、测评标准的依据和层级
测评标准的依据是国内的法律法规、国际公约和惯例,也参考了国外的一些国家立法,同时对国外隐私政策做得非常好的企业进行参考。
希望通过测评的方式给大家一种直观的感受。隐私保护合格与否分为三个层级。一个网站如果什么样的隐私政策都没有,毫无自我约束,属不及格;基本符合法律规定的义务,属于合格;如果符合法律规定义务,属于良好;如果在国际基础上,还设有删除权有被遗忘权等超出法律规定的义务,就属优秀。想透过这种简单的表达提醒企业,我们没有干预企业参与市场活动,是提醒他们修订和规范行为。
三、个人信息保护的国外经验
通过第三方中立的促进,能够使企业完善相关规定,然后推动国家相关立法。现在指南中有最低的八个原则,这八个原则与国际上基本原则是一致的。APEC隐私保护是十大原则,中国指南是八大原则,我们的测评标准也采用了八大原则。
欧盟和美国隐私保护政策的发展是一个渐进的过程。各个国家采取不同的保护水平。实际上隐私政策的制定取决于对互联网产业发展政策的定位,如果更多倾向于让互联网产业快速发展,可能隐私政策就会宽松一些;如果希望能更好地保护个人信息,考虑更多的消费者权利,隐私政策就要苛刻一些。但是苛刻一些相对来讲又制约企业的发展。美国基本上是绝对自由竞争的市场经济环境,它的政策就会有一些不同。最近日本、韩国和中国台湾地区,也都专门去对个人信息保护做了专门的立法。中国目前在这个领域里面没有专门法,但是会加紧去制定,这方面的立法研究非常活跃。
四、《互联网企业个人信息保护测评标准》及测评结果
这个测评标准在2014年3月15日,消费者权益保护日,发布了1.0中文版,现在已翻译成英文,并且发现1.0版确实有一些不足和不完善的地方,目前进行2.0的改进,将从本土化、专业化、国际化、前沿性四个方面进行完善。
我们选择了九个比较有代表性的企业,有即时通讯的,有找工作的,有婚恋的,有支付的,有网络金融的,还有提供视频的等等。我们现在没有对他们的产品进行测评,仅仅是对隐私政策进行测评。从文本上看,我们得出了一个非常不乐观的结论。讲到知情原则层面,让用户知道收集信息,还稍微算及格,但是到了个人能够控制和信息的安全的层面,也就是说个人信息能不能被准确传播,或者个人信息能不能保证不再被第三方传播,基本上就是空白了,没有任何的保障。
第一个测评结果显示,我们选取的21个项目当中,在隐私成本上平均只有8.5,合格率不足半数;用户透明度方面,大部分没有规定的;安全责任方面,有规定的比例非常小。对于不同对象的隐私政策差异很大,中国还没有非常规范和标准的做法。我们也不要求所有企业,都做到隐私保护高水平,但至少要及格,至少有最低的保护。
希望中国的互联网企业,能够提高对个人信息保护的认识。作为学术机构,我们希望把多年的研究成果为社会所用,也很愿意帮助企业在这方面做一些规范。
