Web瀏覽器用戶隱私安全政策問題與對策研究*

何培育 馬雅鑫 涂 萌

（1. 重慶理工大學重慶知識產權學院 重慶 400054；2. 西南政法大學博士后流動站 重慶 401120）

2017年12月29日，由全國信息安全標準化技術委員會制定的《信息安全技術個人信息安全規(guī)范》（GB/T 35273-2017）（以下簡稱《個人信息安全規(guī)范》）正式發(fā)布，并于2018年5月1日起正式實施。Web瀏覽器作為數(shù)據(jù)時代網絡用戶收集信息的基本工具，存在隱私泄露的重大風險。Web瀏覽器提供商發(fā)布的隱私政策是其遵循公開透明原則的重要體現(xiàn)，也是約束自身行為和配合監(jiān)督管理的重要機制。但Web瀏覽器的隱私政策在制定、實施、管理等方面還存在較多的問題[1]，網絡用戶的隱私保護工作仍任重道遠?；诖?，筆者對主流七款Web瀏覽器的隱私政策條款進行比較研究，對照《個人信息安全規(guī)范》相關條款發(fā)現(xiàn)它們的問題與不足，進而對Web瀏覽器提供商完善相關隱私政策提供建議。

1 文獻回顧

1.1 Web瀏覽器的隱私安全風險與防控機制

1.1.1 Web瀏覽器的隱私安全風險

Web 瀏覽器是一個軟件程序，用于與 WWW 建立聯(lián)結，并與之進行通信[2]，它通過URL和超級鏈接來獲取并顯示信息資源的位置，將多種網頁集合、編排，對 HTML文件進行解釋，將多媒體信息顯示出來，以供用戶瀏覽。

何培育[3]、劉煥成[4]、宋鵬等[5]認為，在個人信息收集過程中，網絡環(huán)境下的隱私安全風險主要表現(xiàn)為個人信息的過度和非法收集、黑客攻擊與病毒入侵。武敏[6]更進一步指出，在個人信息收集過程中的隱私風險來源還包括技術的弱點和漏洞、執(zhí)法需要和立法沖突。胡水晶[7]也認為技術和政府的不可抗力是個人隱私的潛在威脅。同樣地，劉小霞、陳秋月[8]從網絡搜索技術出發(fā)，認為技術本身是中性的，但濫用積聚會帶來個人信息安全風險，表現(xiàn)為個人網絡、現(xiàn)實行為被“監(jiān)視”。

在個人信息使用過程中，有學者[3]認為網絡隱私安全風險主要表現(xiàn)為網絡經營者對個人信息的二次加工、出售或交換以及網絡信息中介公司對個人信息專門的收集與分析服務。Smith等[9]也持同樣觀點，指出企業(yè)在處理數(shù)據(jù)的過程中造成隱私泄露問題有4個相關的數(shù)據(jù)維：信息的收集、誤用、二次使用以及未授權訪問。張軍等[10]將網絡個人信息分為個人數(shù)據(jù)、數(shù)字行為和通信內容。姜明芳[11]指出隱私風險表現(xiàn)為邊信息、定位和位置服務過程中的位置隱私泄露風險，數(shù)據(jù)隱私風險，身份隱私風險。

綜合上述文獻對網絡隱私保護進行的研究，網絡用戶隱私安全風險主要體現(xiàn)于以下三個方面：第一，對個人信息的過度、非法收集，即未經許可或超過許可范圍的收集，如黑客入侵計算機系統(tǒng)竊取個人信息；第二，對個人信息的過度、非法使用，即超過了法律規(guī)定或與當事人約定的適用范圍，如非法出售個人信息；第三，信息主體的自我披露，網絡用戶由于疏忽大意，在網絡上留下了大量的個人隱私信息。

1.1.2 Web瀏覽器隱私安全風險的防控機制

當前我國主要通過立法、技術、行業(yè)自律、政府監(jiān)管、加強自我保護等措施防范與處理隱私風險，文章主要圍繞立法和行業(yè)自律兩個措施進行分析。

首先，從立法角度而言，曾誠等[12]、段績偉[13]提出應當將網絡隱私權作為一項獨立的人格權；學習和借鑒其他國家對隱私權成功保護的立法經驗，適時制定我國個人隱私數(shù)據(jù)保護法。對此，劉煥成[4]認為在明確的立法和修法之前，國家有關部門可以先制定隱私權保護的行政規(guī)章。在立法的具體內容上，梁志文[14]提出不同數(shù)據(jù)應分別立法的原則，即對個人敏感數(shù)據(jù)實施特殊保護。趙文龍等[15]也指出“特定的個人基本信息未經允許不得擅自收集”這一原則應在立法中予以確認。胡水晶[7]認為可以構建數(shù)據(jù)存儲、訪問和處理的標準并強制執(zhí)行確保個人數(shù)據(jù)的控制權和知情同意權，明確侵犯個人隱私的賠償標準。李雨明等[16]在梳理現(xiàn)行法律的基礎上，提出了要明確用戶對數(shù)據(jù)的所有權、控制權、處置權和知情權。

其次，從行業(yè)自律角度來看，行業(yè)自律措施主要包括適用于整個互聯(lián)網行業(yè)的自律以及各個網絡運營者的自律。劉煥成[4]提出應當成立個人隱私保護協(xié)會，統(tǒng)籌規(guī)劃網絡隱私保護工作，同時制定具體政策；由中華人民共和國工業(yè)和信息化部（以下簡稱工信部）和個人隱私保護協(xié)會聯(lián)合成立網絡隱私達標認證機構，負責審計、監(jiān)督和檢查各網絡運營者對用戶隱私權的保護情況；各網絡運營者應加強隱私政策的制定，并做出詳細解釋。李延舜[17]認為行業(yè)自律能將信息隱私保護具體化和標準化。武敏[6]也指出網絡服務商應制定和公布其隱私權政策，并與用戶簽訂隱私安全協(xié)議。但華海英、孟曉明[18]認為隱私政策的內容和執(zhí)行上存在未能較好且公平的體現(xiàn)現(xiàn)行法規(guī)的要求等問題，而開展第三方網絡隱私認證信息服務將會提供一個較好的市場環(huán)境。董燕影等[19]、徐敬宏[20]提出網絡隱私第三方認證在保護個人隱私方面仍然存在不少障礙，它應與法律保護相結合，同時加強政府對行業(yè)自律行為的監(jiān)管。

基于現(xiàn)有的研究成果，筆者認為在當前對網絡用戶個人隱私保護立法不夠完善的情況下，行業(yè)自律不失為一種可行且有效的保護措施。在行業(yè)自律的各個具體措施中，設置完善的隱私政策尤為重要。

1.2 隱私政策的法律性質和意義

1.2.1 隱私政策的概念與法律性質

網絡隱私保護政策，是指網絡運營者通過告知用戶其個人信息可能被搜集、使用、與第三方共享的情況，以及自身使用個人信息時的免責條款，來告知網絡用戶在使用本網絡服務時的信息安全問題，以達到與用戶之間隱私保護的共識[21]。隱私政策是網絡運營者在其經營服務過程中，對用戶個人信息合法收集、使用、保護的一種行業(yè)自律措施之一。

林旭霞[22]認為網絡用戶協(xié)議是網絡運營商單方擬定的與網絡用戶建立的合同，對于網絡用戶協(xié)議之外的“政策”“聲明”，如隱私政策，只有在不違反《消費者權益保護法》第26條和《合同法》第40條中對格式條款的相關規(guī)定時，才可以認定其屬于有效條款。段績偉[13]也認為網絡運營者的隱私權政策聲明是網絡運營者與用戶簽訂的關于個人資料利用及隱私權保護的合同，如若違反，則用戶可依法要求運營者承擔相應的法律責任。談詠梅等[23]認為單純的網頁瀏覽不會形成合同關系，只有當存在服務內容且用戶同意（通過注冊）才會形成網絡服務合同。

筆者認為當隱私政策涉及一定的網絡服務內容時，且在用戶享受該網絡服務前，網絡運營者采取了征得用戶同意的手段，則表示網絡用戶與網絡運營者達成了協(xié)議，隱私政策則屬于合同性質；或者當提及該隱私政策屬于前述網絡服務協(xié)議（合同）的一部分時，也屬于合同性質。否則隱私政策只屬于規(guī)范，不具有法律上的約束力。我國目前主要有《合同法》《消費者權益保護法》《電子簽名法》等法律對此加以規(guī)范。

1.2.2 隱私政策的意義

為了消除公眾的顧慮，網絡運營者通過制定隱私保護政策，告知網絡用戶其會如何收集、使用個人信息，來證明其提供的產品或服務是安全的。

分析現(xiàn)有文獻對隱私政策意義的研究，李延舜[17]認為就目前來看，隱私政策確定的一些具體的權利和義務內容，能有效填補法律的空白地帶，成為事實上的隱私保護規(guī)范。徐敬宏[24]在考察隱私政策功能時發(fā)現(xiàn)，基于隱私政策的自律模式是較為寬松的措施，網絡運營者在行業(yè)協(xié)會的監(jiān)督下，通過自我規(guī)范、自我約束，使得其在促進用戶個人信息合理流動的同時又保證安全使用。魏來等[25]認為在保護用戶隱私上，隱私政策應是達到最低標準的；其除了能更好的提供保護外，也向用戶提供規(guī)范的服務；維護了本行業(yè)和企業(yè)的利益，避免惡性競爭，維護互聯(lián)網持續(xù)健康的發(fā)展。

通過上述文獻回顧可總結出，隱私政策對于不同主體都具有重要作用。對信息主體來說，隱私政策是網絡運營者對其個人信息保護的承諾，信息主體可以依據(jù)該內容尋求保護，保障其合法權益。對于網絡運營者而言，隱私政策通過告知用戶其網絡服務在何種情況下會收集用戶信息、收集用戶信息的目的和方式、免責事項等，提高用戶的隱私信任傾向，進而通過影響用戶的信任，對用戶信息隱私意愿產生積極作用，使得網絡運營者提供更好的產品或服務，進一步提高聲譽[26]。從社會層面來看，基于隱私政策的隱私保護工作能最大限度地給予網絡運營者自我發(fā)展的空間，促進互聯(lián)網和相關服務業(yè)快速、健康發(fā)展。

2 七款Web瀏覽器國內隱私政策內容對比分析

2.1 研究方法

文章選取了我國當前使用最為普遍的七款瀏覽器：百度瀏覽器、遨游瀏覽器、360安全瀏覽器、獵豹瀏覽器、UC瀏覽器、火狐瀏覽器、Internet Explorer（IE瀏覽器）。下文將梳理七款Web瀏覽器隱私政策的具體內容并進行對比分析，從而發(fā)現(xiàn)各自在條款設置上的優(yōu)點和不足。隱私政策是用戶判斷其個人信息是否被網絡運營者保護的最直接依據(jù)。一般情況下，隱私政策的內容主要分為以下三個主要方面：①一般條例；②收集與存儲用戶個人信息；③使用與共享用戶個人信息。下文就這三方面分別分析七款瀏覽器的隱私政策內容。

2.2 一般條例的對比

七款瀏覽器隱私政策的一般條例對比大致分為兩方面：一般情況和責任部分（見表1）。其中，一般情況包括首頁鏈接次數(shù)、文件名稱、最新更新時間和未成年人隱私保護說明。責任部分包括責任承擔、免責聲明、專門的聯(lián)系方式和修訂通知。

表1 各個瀏覽器隱私政策一般條例的對比

2.2.1 一般情況

其一，首頁鏈接次數(shù)。在調查的七款瀏覽器隱私政策中，有六款隱私政策需要經過兩次以上的首頁鏈接才能查找到相應的隱私政策。其中特殊的是UC瀏覽器隱私政策的位置，它需要通過首頁的“招聘”“走進UC”兩個條目鏈接，才可以看到“隱私保護聲明”。其二，文件呈現(xiàn)方式。這七款瀏覽器的隱私政策都是以文本羅列的形式呈現(xiàn)，值得注意的是，IE瀏覽器提供了下拉式的方式輔助閱讀和瀏覽。其三，未成年人隱私保護的說明。在被調查的七款瀏覽器中，百度、獵豹、火狐與IE四款瀏覽器的隱私政策中設有專門針對未成年人隱私保護的聲明。從年齡范圍看，獵豹、火狐與IE瀏覽器針對的是13歲以下的未成年人，百度瀏覽器針對的是18歲以下的未成年人。但在《個人信息安全規(guī)范》中明確指出對未成年人的年齡限制為14歲。其余三款瀏覽器也均指出其不希望接受未成年人的個人信息，而且不會主動向注冊用戶中的未成年人提供基于興趣的廣告。

2.2.2 隱私保護責任條款

其一，責任承擔和免責聲明。從表1可以看出，UC瀏覽器在隱私政策里設有專門的免責聲明部分，而且內容較為全面。其他瀏覽器都將其網絡服務協(xié)議的免責聲明適用于隱私保護，如百度在“使用百度前必讀”里包含有適用所有百度產品的免責聲明。其二，專門的聯(lián)系方式。有四款瀏覽器在隱私政策的末尾直接提供了專門的聯(lián)系方式，以便用戶對隱私政策提出反饋。但是聯(lián)系方式大多為郵箱和服務網站，其中IE瀏覽器提供的聯(lián)系方式最為全面，包括服務網站鏈接、數(shù)據(jù)保護專員、地址和電話以及專門的數(shù)據(jù)保護代表團隊。其三，修訂通知。有六款瀏覽器明確指出必要時會進行隱私政策的更改，保留了修訂隱私政策條款的權利。360安全瀏覽器的隱私政策雖然沒有專門的修訂通知部分，但是其序言有關于隱私政策修改的文字說明。此外，獵豹對修訂通知給予了用戶十五天的異議期限。

2.3 收集、存儲用戶個人信息的對比

關于收集、存儲用戶個人信息的條款是網絡服務隱私政策的重要內容，也是用戶關注的焦點。七款瀏覽器對用戶個人信息的收集與存儲情況對比見表2。

表2 各個瀏覽器收集、存儲用戶個人信息情況的對比

2.3.1 收集信息的目的、內容

七款瀏覽器的隱私政策均包含有關于收集用戶個人信息的內容和目的，并說明了收集用戶個人信息的途徑。七款瀏覽器都聲明了收集用戶個人信息是“為了向所有用戶提供更好的服務”這一目的。

收集個人信息的內容既包括非個人識別信息，如瀏覽頁面內容、鏈接地址、訪問日期和時間等，也包括個人識別信息。當然，各個瀏覽器的隱私政策聲明了只有在特定條件下才會收集用戶的個人識別信息，即滿足收集個人信息的最小化要求。如百度瀏覽器的隱私權保護政策聲明“我們可能會收集關于您使用產品和/或服務（包括使用方式）過程中的信息，此類信息包括設備信息、日志信息、位置信息等”，同時特別強調了這些數(shù)據(jù)信息都采用匿名的方式，并且會對信息采取加密處理，保證信息的安全性。具體來看，所收集信息的內容主要分為以下三類：用戶主動提供的信息、用戶在使用產品或服務過程中被收集的信息和來自第三方的信息。這在獵豹、火狐、UC、百度瀏覽器的隱私政策里均有體現(xiàn)。

2.3.2 關于Cookie的告知

如表2所示，關于Cookie的說明在百度、獵豹和IE瀏覽器的隱私政策里體現(xiàn)得較完整。三者均提到使用Cookie將便于用戶使用其產品或服務，幫助統(tǒng)計獨立訪客數(shù)量等。此外百度、獵豹和IE瀏覽器也告知了用戶可以通過瀏覽器“設置”拒絕Cookie，但同時也強調了拒絕Cookie的后果。相比之下，對于未提及Cookie技術的，其隱私政策里沒有聲明不代表不使用，這樣帶給用戶的隱私安全隱患反而更大。

2.3.3 用戶權利聲明

Web瀏覽器提供商不僅通過隱私政策里提及的技術措施保護用戶個人信息，而且也賦予用戶一些權利進行保護。這些權利雖沒有被明確提出，但體現(xiàn)在隱私政策的具體條款里。這七款瀏覽器均對收集信息的內容進行了詳細說明，告知用戶哪些信息將被收集和使用，這是賦予用戶知情權的表現(xiàn)；均允許用戶對某些服務或者收集信息的行為擁有選擇處理其信息的權利，如UC指出“您選擇同意才會共享任何敏感的個人信息”，這是給予用戶選擇同意的權利。

2.4 使用、共享用戶個人信息權限的對比

隱私政策可被視為網絡運營者對用戶個人信息保護的一種承諾，因此，網絡運營者有義務對收集的個人信息的使用情況進行說明。現(xiàn)將七款瀏覽器對用戶個人信息的使用與共享情況對比，內容如下（見表3）。

表3 各個瀏覽器使用、共享用戶個人信息的情況

2.4.1 個人信息的使用

如表3所示，這七款瀏覽器提供商均在隱私政策里說明了收集到的用戶個人信息的用途。無一例外，有一個用途高度一致，就是利用收集的用戶個人信息提供、維護、保護和改進其產品或服務，同時可能會開發(fā)新的功能以提供用戶使用。但同時，百度、獵豹、UC與IE四款瀏覽器的隱私政策里也寫明了其還可能將該信息用于發(fā)送促銷信息和顯示廣告等商業(yè)目的。而且，百度瀏覽器和UC瀏覽器還提及另一個用途：保存用戶與該瀏覽器聯(lián)系時的通信記錄，以便解決該用戶遇到的任何問題，而且主動向用戶發(fā)送有關產品或服務的重要通知。百度還提出了當提供個性化服務或保障合法權益時，如進行身份驗證，將會使用用戶的個人信息。

2.4.2 個人信息的共享

除360安全瀏覽器外，其余六款瀏覽器的隱私政策均對在何種情況下該瀏覽器提供商將共享用戶個人信息進行了說明，也提示用戶對于通過該瀏覽器鏈接到的其他公司的網站或產品，需要仔細閱讀網站或產品本身的隱私政策，其不對任何第三方不當使用或披露用戶信息的行為承擔法律責任。如百度明確提出“以高度的勤勉義務對待您的信息”，但是也提出了在三點例外情況下，可能會向第三方提供用戶個人信息。UC與IE也采用同樣的方法?；鸷f明“只有當我們真誠地相信這是保護您、其他用戶、Mozilla 或公眾的權利、財產或安全的合理必要手段時，我們才會以這種方式共享您的信息”，而且會在信息風險暴露率降到最低后進行共享。遨游指出除與合作伙伴共享統(tǒng)計信息外不會將個人信息公開給其他第三方。

2.4.3 信息安全性

在七款瀏覽器隱私政策中，百度、360、火狐與IE四款瀏覽器在其隱私政策里設有專門的信息安全性的部分，明確指出會保護用戶個人信息安全，并將使用各種安全技術和手段幫助保護其收集的用戶個人信息，使其免遭未經授權的訪問、泄露或篡改。并且百度也在表明“您使用我們的產品和/或服務時所用的系統(tǒng)和通訊網絡，有可能因超出我們控制能力之外的其他因素而出現(xiàn)安全問題”后，向用戶推薦其passport.baidu.com的密保工具服務進一步保障用戶信息安全。360、火狐和IE采用列舉的方式介紹其為確保信息安全所采用的技術措施。如，IE提出“當我們在 Internet 上傳送高度機密的數(shù)據(jù)（例如信用卡號或密碼）時，我們使用加密技術來保護這些信息的安全?！?/p>

2.5 總體對比結果

可將七款瀏覽器隱私政策各個方面的具體內容總結為以下三點：

其一，有關隱私條款的檢索路徑較為復雜，用戶無法較快速的找到隱私保護政策，且當更新其隱私政策時，往往不會及時通知用戶。首先，文章調查的七款瀏覽器均設有隱私政策，可以認為是符合《網絡安全法》要求的網絡運營者應建立用戶信息保護制度以及《個人信息安全規(guī)范》要求個人信息控制者應制定隱私政策的規(guī)定，但是在具體內容的設置上仍存在不完善之處，例如，大多數(shù)是在“關于”產品的類目下，而且位于首頁最底部小字部分。這些使得用戶在查找隱私政策時不夠快捷，在閱讀時較為不便，該做法不免讓用戶認為該瀏覽器提供商故意淡化其隱私保護責任。其次，一些瀏覽器提供商在其隱私政策里保留了單方、無條件修訂隱私政策內容的權利，也寫明了會通過合適的方式進行發(fā)布、通知，如UC表明“如果您繼續(xù)選擇使用我們的服務即表示您同意接受這些修改”。

其二，隱私政策對收集與存儲用戶個人信息的目的和范圍以及如何使用Cookie等技術說明不清。網絡運營者收集個人信息時應確保其合法性，對于間接獲取的個人信息也應對其來源進行確認。根據(jù)《網絡安全法》第40條、41條，網絡運營者應明示收集個人信息的目的、方式和范圍，并獲得被收集者同意。在七款瀏覽器中，首先，都指出收集用戶個人信息的目的，采用“為了……，我們會收集和使用您的信息，本聲明解釋了收集和使用用戶個人信息的情況”的句式簡要說明收集用戶個人信息的目的。其次，有超過半數(shù)的隱私政策缺乏專門對收集用戶個人信息方式的說明，如UC瀏覽器的隱私政策僅僅在用戶體驗計劃里提到“用戶本地終端的數(shù)據(jù)緩存（Cookie）以及用戶個人文件及隱私數(shù)據(jù)。我們會依據(jù)收集到的數(shù)據(jù)，匯總分析用于改進我們的產品”。

其三，大多數(shù)Web瀏覽器隱私政策未能明確告知用戶所享有的權利以及瀏覽器提供商的義務。隱私政策的作用之一就是明確網絡用戶在使用網絡運營者提供的服務或產品時所享有的權利。經前述對比可以發(fā)現(xiàn)，這七款瀏覽器均保障了用戶的知情權，但對于其他權利的保護則稍有不足?！毒W絡安全法》第43條和《侵權責任法》第36條均規(guī)定個人發(fā)現(xiàn)網絡運營者有違反法律或約定的行為，有權要求網絡運營者采取刪除等必要措施，這賦予了用戶對其個人信息的控制權，并有權要求予以刪除，而在文章調查的七款瀏覽器中未明確體現(xiàn)。百度規(guī)定當用戶注冊信息有誤時“我們會努力提供各種方式來讓您快速更新或刪除帳戶內信息”。此外，《網絡安全法》第42條和《消費者權益保護法》第29條都規(guī)定網絡運營者在發(fā)生或者可能發(fā)生信息泄露、丟失的情況時，應當立即采取補救措施，這一條款即是賦予了網絡運營者的安全保障義務，而在這七款瀏覽器的隱私政策均未清晰地體現(xiàn)此義務的具體實施措施。

3 對Web瀏覽器隱私政策的完善建議

在網絡活動中，隱私政策已隨處可見。而我國現(xiàn)有的隱私政策在制定、實施、管理等各方面還存在較多的問題，網絡環(huán)境下基于隱私政策的隱私保護工作仍任重道遠[1]135。文章認為，在形式上，隱私政策應設置在其首頁比較突出的位置。在內容上，隱私政策應豐富、靈活。此外，應加強隱私政策的制定和監(jiān)督，落實網絡運營者法律義務的承擔。

3.1 不斷優(yōu)化Web瀏覽器隱私政策條款設計

現(xiàn)階段，網絡運營者可從收集、使用信息兩個過程著手，同時參考個人信息安全的基本原則以及《個人信息安全規(guī)范》的隱私政策模板與編寫要求，制定較為完善的隱私政策，最終得以保護用戶個人信息。例如，美國的網絡用戶隱私權利法案為保護用戶隱私設定了7項原則；我國首個個人信息保護國家標準《信息安全技術、公共及商用服務信息系統(tǒng)個人信息保護指南》（GB/Z 28828-2012）中規(guī)定了個人信息管理者對個人信息處理的基本原則；《個人信息安全規(guī)范》規(guī)定了有權處理個人信息的個人信息控制者在處理個人信息時應遵循的基本原則，雖然該規(guī)范只是一項推薦使用國家標準，但其對個人信息的使用和處理做出了明確規(guī)定，對保護公民個人信息具有重要意義。在內容設計上，隱私政策條款主要包括但不限于以下四方面。

其一，隱私政策至少需要包含如下內容: 網絡運營者的基本情況；遵守法律規(guī)定的承諾；對用戶個人信息的收集與存儲、使用與共享、披露、安全的條款；Cookie的使用條款；關于特殊主體的信息保護；免責聲明；相關責任的聲明；糾紛解決機制；專門聯(lián)系方式；內容修訂事項；生效日期。

其二，關于用戶個人信息的收集與存儲條款，具體包括：收集與存儲用戶個人信息的目的及其合法性、對應的業(yè)務功能和留存時限；用戶提供個人信息可能出現(xiàn)的風險、拒絕提供其個人信息時可能出現(xiàn)的后果；并且要提前征得用戶授權同意，個人敏感信息適用明示同意；收集個人信息的方式，如關于Cookie技術的說明；具體保護用戶個人信息安全、完整的措施說明，包括技術措施和其他必要措施，如當發(fā)生或可能發(fā)生個人信息披露、篡改、損毀時的應對機制。

其三，關于用戶個人信息的使用與共享、披露、安全的條款，具體包括：網絡運營者使用與共享用戶個人信息的目的及對應的具體內容；明確網絡運營者主體不得披露、篡改、損毀其收集的個人信息，未經用戶同意不得出售或非法向他人提供個人信息；允許用戶自主控制個人信息收集，可以進行更正、刪除等操作；關于出售用戶個人信息的內容。

其四，網絡運營者制定隱私政策時，還可以根據(jù)自身提供網絡產品或服務的實際情況增添內容，即針對其產品或服務的特性強調某方面的隱私權保護，例如360安全瀏覽器的隱私保護說明特別強調其安全性。北京奇虎科技有限公司提倡360安全瀏覽器的服務價值是“給網民提供一個安全順暢的上網環(huán)境”，在其隱私保護說明中，不僅設置有專門的關于個人信息收集的部分，而且在介紹了具有特色的“云安全”功能后，分別針對某一具體功能，如網銀云安全、下載云安全等，設置了關于該功能的用戶個人信息收集、使用條款。又如，在介紹網銀云安全功能時提出為保障網銀環(huán)境安全，將會讀取用戶的網銀控件相關的注冊表以及文件信息，但在介紹其他功能時，明確說明不會收集與用戶個人身份相關聯(lián)的信息。

3.2 加強Web瀏覽器隱私政策的合法性監(jiān)督

在大數(shù)據(jù)時代背景下，用戶個人信息也成為企業(yè)的重要資源，其掌握的個人信息具有很高的商業(yè)價值。對于盈利性企業(yè)來說，其制定的隱私政策作為輔助政策，盡量免除自己的責任才是其理性選擇[27]。因此，隱私政策的制定和落實無法單純依靠企業(yè)自覺性，需要政府和第三方的監(jiān)督，并且應當提倡和鼓勵網絡運營者加強行業(yè)自律，依照法律和行業(yè)慣例制定隱私權保護政策[13]。

其一，明確相關政府管理機構的職責。如電信管理機構（包括工信部和各省、自治區(qū)、直轄市通信管理局）依法負責個人信息保護工作的實施、監(jiān)督與管理。其二，充分發(fā)揮中國互聯(lián)網協(xié)會的作用，可在個人信息安全基本原則的指引下，指導會員完善隱私政策設置，加強自律管理。其三，建議由工信部主要承擔軟件和信息服務業(yè)行業(yè)管理工作的信軟司，其下設的信息服務業(yè)處提供網絡隱私認證信息服務，負責評估和認證網絡運營者的隱私保護狀況，并進行監(jiān)督和檢查，給與達標標記表示授權認證。

雖尚未出現(xiàn)全國性的網絡隱私保護的認證體系，但第三方測評機構提供認證服務在國內外已得到較為成熟的實踐。國外較為成熟的是美國的TRUSTe和可靠認證計劃（Reliability Seal Program）[19]。我國《大連軟件及信息服務業(yè)個人信息保護規(guī)范》（DB21/T1628-2012）是經歷了日本軟件業(yè)的沖擊后，由大連軟件行業(yè)協(xié)會制定的大連地方標準，并為此建立了軟件及信息服務業(yè)的個人信息保護認證體系PIPA（Personal Information Protection Assessment）辦公室[28]。該適用于大連軟件產品的信息保護評價制度已形成較為成熟的評價、監(jiān)督和認證機制，網絡隱私認證機制也可以借鑒其進行制定和實施。

3.3 落實Web瀏覽器隱私政策違法行為的法律責任

信息安全保障工作需要技術、管理和法律等諸多方面的協(xié)調，涉及政府、企業(yè)等多方參與主體。國外已經將公司內部管理作為保障信息安全的重點[29]。文章認為需要從公司和政府角度，落實其法律義務與責任。

3.3.1 明確網絡運營者保護用戶個人信息的義務

隱私政策的作用之一是規(guī)范網絡運營者的法律義務與責任，但出于利益的考慮，網絡運營者通常會增強對用戶個人信息的控制權，弱化其保護用戶信息的義務以規(guī)避責任的承擔。近年來，我國立法機關越來越重視這一問題，并通過法律規(guī)定了網絡運營者的信息網絡安全管理義務和法律責任。

網絡運營者應履行網絡安全保護義務。具體解釋為，提供網絡產品或服務的網絡運營者在合理限度的范圍內負有保護用戶個人信息和財產安全的義務。尤其當網絡交易平臺提供的產品或服務有償時，其安全保障義務更為嚴格。其次，網絡運營者也負有刪除義務?！肚謾嘭熑畏ā返?6條和《網絡安全法》第43條都規(guī)定了網絡服務提供者收到用戶侵權通知后，應及時采取必要措施，予以刪除?！蹲罡呷嗣穹ㄔ宏P于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規(guī)定》對侵權責任法第36條進行了詳細的解釋，為該條款的具體適用做出了規(guī)定，以更好的規(guī)范網絡違法行為。網絡運營者若違反上述法律規(guī)定，承擔的責任主要包括警告、沒收違法所得、處違法所得一倍以上十倍以下罰款，最高可處一百萬罰款；情節(jié)嚴重的，可吊銷相關業(yè)務許可證；《中華人民共和國刑法修正案（九）》（以下簡稱《刑法修正案（九）》）在刑法第286條后新增了四種違反信息網絡安全管理義務的嚴重情節(jié)，可處三年以下有期徒刑、拘役或者管制，并處或者單處罰金。

3.3.2 暢通Web瀏覽器隱私政策違法行為的救濟渠道

其一，企業(yè)內部設立專職的個人信息保護責任人，建立申訴管理機制。這也是《個人信息安全規(guī)范》所明確要求的。根據(jù)前文分析，微軟針對用戶的隱私擔憂和投訴等問題，內部設置首席隱私官/數(shù)據(jù)保護專員，其主要通過Web表單連接用戶，同時也提供了聯(lián)系電話和郵件等方式。

國內網絡運營商可以適當借鑒微軟的做法，在其企業(yè)內部設隱私專員崗位，專門負責處理用戶疑問、意見、建議、投訴和舉報。這也是法律和部門規(guī)章所明確要求的。如《電信和互聯(lián)網用戶個人信息保護規(guī)定》第12條規(guī)定的網絡運營者應當建立用戶投訴處理機制，公布有效的聯(lián)系方式，并自接到投訴之日起十五日內答復投訴人。這一措施便于進一步明確企業(yè)內部責任，防止用戶個人信息出現(xiàn)泄露、篡改等問題時無法找到責任人；同時也有利于企業(yè)內部更加規(guī)范地管理用戶個人信息。

其二，建立健全司法救濟渠道。用戶的權利若得不到有效的救濟，法律對個人信息的保護就無法真正的實現(xiàn)。一般而言，公民權利的法律救濟包括民事救濟、刑事救濟和行政救濟。

民事救濟主要來自民法、侵權責任法等，我國《侵權責任法》《消費者權益保護法》對侵犯個人信息的救濟都有相應的規(guī)定，被侵權人可以向人民法院提起訴訟?！缎谭ㄐ拚福ň牛穼ⅰ吨腥A人民共和國刑法修正案（七）》中規(guī)定的出售、非法提供公民個人信息罪的犯罪主體由國家機關等單位的工作人員擴大到一般主體，這表明網絡運營者若非法出售、提供用戶個人信息，情節(jié)嚴重的可構成犯罪。在行政救濟上，我國有工信部、各?。ㄗ灾螀^(qū)、直轄市）通信管理局、工商行政管理部門承擔網絡用戶個人信息保護工作。比如，工信部委托中國互聯(lián)網協(xié)會設立的12321網絡不良與垃圾信息舉報受理中心，該中心不僅受理不良與垃圾信息的舉報，同時也處理不良網站涉嫌泄露用戶個人信息的舉報。對于法律法規(guī)未作規(guī)定的侵害消費者個人信息的情形，由工商行政管理部門進行處罰。就目前情況來看，受害人在被侵權后的救濟渠道多樣，多個部門都兼有保護個人信息的職責，因而要整合現(xiàn)有法律制度資源，加強政府管理機構之間的職權分配，由專門機關統(tǒng)一部署，加強各地方個人信息保護行政機構間的執(zhí)法協(xié)作，使網絡用戶個人信息得到更為有效的保護。

（來稿時間：2018年4月）