我国网站个人信息保护水平研究
——基于《网络安全法》对我国500家网站的实证分析
■邵国松 薛凡伟 郑一媛 郑悦
【本文提要】互联网领域最重要的立法《网络安全法》已于2017年6月1日开始实施。立法者希望能借此全面提升我国网络安全(包括网络信息安全)的保障水平。就个人信息保护而言,这部法律真的能达到立法者所期待的效果吗?本文首先对《网络安全法》的个人信息条款含义进行分析,然后选取我国500家颇具影响力的网站(分政府、社会组织、教育、商业、敏感信息五类)的隐私政策声明(含个人信息保护政策)进行分析,审查这些网站是否很好地执行了《网络安全法》相关条款。结果发现,我国大部分网站合规程度较低,不同类别网站的合规程度也存在差异。通过技术检测,我们还发现70%的敏感信息类网站存在中级及以上的数据安全漏洞。质言之,法律在保护个人信息所扮演的角色目前看来是有限的,我们对此研究发现的问题进行了展开讨论。
【关键词】个人信息保护 法律分析 内容分析 技术检测
【中图分类号】G210
一、问题的提出
近年来,随着网络技术的迅猛发展,网络空间的个人信息安全受到前所未有的严峻挑战,加强网络个人信息保护已成为社会发展的共识。问题在于,采取什么样的方式来达成这一目标。一种方式是以美国为代表的业界自律模式。尽管也制定一些法律来限制政府机构及特定行业对个人数据的使用,但美国基本倾向业界自律,将网络信息安全问题交给业界和市场来解决;另一种方式是以欧盟为代表的立法规制模式,即主要通过立法方式确立个人信息保护的总体原则和具体法律规定,并辅之以相应的司法或行政手段来使这些法律得以落实。①每种方式各有利弊,但都需更多证据的支持。
我国主要采纳了欧盟的立法规制模式。早在2000年,全国人大常委会颁布的《关于维护互联网安全的决定》便规定,利用互联网非法截取、篡改、删除他人的电子邮件或其他数据材料,侵犯公民通信自由和通讯秘密的,可依法追究刑事责任。2009年2月通过的《刑法修正案(七)》则将出售或非法提供公民个人信息罪和窃取、非法获取公民个人信息罪列为新罪名。2009年12月通过的《侵权责任法》明确将隐私权纳入民事权益范围,并界定了网络用户和网络服务提供商的侵权责任。2012年12月,全国人大常委会颁布《关于加强网络信息保护的决定》,对组织或个人收集公民私人信息的尺度和方式做了更为明确的规定。2016年11月7日,全国人大常委会通过《中华人民共和国网络安全法》(以下简称《网络安全法》),并于2017年6月1日实施。这部法律以总体国家安全观为指导,以网络空间主权为中国处理网络事务的基本原则,通过网络运行安全、关键信息基础设施的运行安全和网络信息安全等制度来全方位保障网络空间安全。其中,《网络安全法》第四章为网络信息安全提供了专门的法律保护,被认为是我国个人信息保护领域最重要而系统的法律规定,引发了社会的广泛关注。2017年3月,全国人民代表大会第五次会议通过《民法总则》,其第111条首次从民事基本法层面提出个人信息权,明确了个人信息保护的基本行为规范,从而进一步完善了我国的个人信息保护体系。
法律的生命和权威在于实施。本研究旨在通过实证方法检验其法律保护的效果。国内外关于个人信息保护的研究为数众多,但针对我国网络信息立法保护所进行的大规模实证研究还相当缺乏。本研究选取国内500家网站作为分析样本,在搜集第一手数据的基础上,全面检测我国网站执行《网络安全法》信息保护条款的现状,以此评估《网络安全法》在信息保护领域所产生的法律效果。之所以聚焦《网络安全法》,是因为其和《民法总则》第111条有呼应,但对个人信息的保护更为全面。
二、研究方法
本研究关注的是我国网站在执行《网络安全法》个人信息保护条款的合规情况,研究对象包括法律文本和我国的网站,研究方法包括法律文本分析、内容分析、技术检测等。所有分析都是2017年6月15日至7月15日期间完成的,即在《网络安全法》开始实施半个月之后。
首先,我们分析了《网络安全法》有关个人信息保护的规定。《网络安全法》是我国网络安全领域的基础性法律,共有7章79款项。除去总则与附则的61项条款,直接涉及个人信息保护条款的总计12款项,可见《网络安全法》对网络环境中个人信息保护的重视程度。针对本研究,我们重点分析《网络安全法》中有关网络运营商对于个人信息的法律义务。
其次,我们详细分析了我国各类网站所发布的隐私政策声明(含个人信息保护政策),以检查网站是否执行了《网络安全法》的信息保护条款。我们共选取了500家国内网站作为分析样本,这500家网站是我们依据中国站长之家(chinaz.com)的网站排行榜数据进行收集的。中国站长之家创建于2002年3月,是一家专门针对中文站点提供资讯、技术、资源、服务的网站。该网站设计了一套计算网站综合影响力的指标体系,以此为基础定期对中国所有网站进行排名,并得到业界的高度关注。我们选取的500家网站按二级域名归类如下:100家.gov(政府类)网站、50家.org(主要包括非盈利组织)网站、50家.edu(教育类)网站、300家.com(商业类)网站。对网站进行上述划分,主要是想研究《网络安全法》是否给不同类型的网站带来不同的影响。针对每个网站及其隐私政策声明,我们根据编码表收集相关数据信息,包含三组问题:第一组问题用来界定该网站是否收集/保存用户个人信息以及该信息怎样被使用;第二组问题用来评估该网站公布的隐私政策声明是否严格遵守《网络安全法》中的明示原则,以及是否还提供《网络安全法》明示要求之外的信息;第三组问题用来评估该网站隐私政策的可见性。我们统计了网站遵守特定规则的比例,分析了各类网站对《网络安全法》合规程度上的差异。
最后,我们评估了我国网站信息保护的实际执行情况,以检验该网站所宣称的信息保护政策和实际的信息保护实践是否一致。为提高研究效率,我们从上述四类网站中挑出100家敏感信息网站进行检测。敏感网站在此指的是有可能收集用户敏感信息的网站,比如电子商务、婚恋/社交、金融服务、政务服务等网站。通过技术手段,我们想验证所检测的网站能否说到做到,将他们所声明的隐私保护政策落到实处。测试的内容包括该网站使用的cookies、个人数据的保密性、侵入数据库的可能性等。测试的方法包括手工检测、代码分析等。
三、《网络安全法》相关条款之文本分析
个人信息保护政策集中体现于《网络安全法》第四章“网络信息安全”部分,形成一个“三管齐下”的监管措施,即网络运营者、个人与组织、国家网信办等相关政府部门的权利与义务。本研究重点研究与网络运营者相关的条款,以检测样本网站是否很好地遵守了《网络安全法》有关个人信息保护的规定。
(一)相关概念的界定
网络运营者在《网络安全法》中被界定为网络的所有者、管理者和网络服务提供者。②在时下互联网时代,拥有网络并以此提供商品或服务的主体种类繁多,该定义很大程度上扩大了网络运营者的范围。依据该定义,其范围不仅包括传统的电信业务经营者,还涵盖了所有提供网络产品和服务的主体,比如通过互联网有偿或无偿地向网络用户提供信息或者网页制作等服务活动的提供者以及所有运行和管理网站的个人或组织等。
个人信息在此指的是以电子或其他方式记录的能够单独或与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。③根据此定义,个人信息必须具备身份的可识别性。如果网络运营者对个人信息实施了匿名化处理,以至于无法识别特定个人且不能复原,则该信息将不再构成个人信息并允许未经信息主体同意而将其提供给他人。④该规定也为企业采取匿名化手段利用、分享数据提供了法律依据。
(二)个人信息保护的基本原则
《网络安全法》第40-42条详细规定了网络服务提供者在业务活动中收集、使用信息的一系列法律要求,主要包括明示原则、同意原则、目的明确原则、安全保障原则等。明示原则指处理个人电子信息之前,向个人信息主体告知收集、使用信息的目的、方式和范围;同意原则指未经个人信息主体同意,不得收集、使用个人信息;目的明确原则指收集、使用个人信息具有特定、明确、合理的目的,不扩大收集和使用范围;安全保障原则指采取必要的管理措施和技术手段,保护个人信息安全,防止未经授权检索、公开,及丢失、泄露、损毁和篡改个人信息。
在上述法律要求中,明示原则是本研究关注的重点。实际上,只有明示原则要求网站收集、使用个人信息之前,必须将相关信息(包括收集、使用信息的目的、方式、方法)告知个人信息主体。也只有在告知信息主体相关信息之后,才可征求信息主体是否同意其收集、使用个人信息。换句话说,明示是同意的先决条件。至于目的明确原则、安全保障原则,《网络安全法》并不要求网站必须将其执行情况传达给信息主体。
(三)删除权和更正权
《网络安全法》第43条规定:个人发现网络运营者违反法律、行政法规的规定或双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。本条借鉴了欧盟2016年《通用数据保护条例》(GDPR)第16条规定的更正权和第17条规定的被遗忘权,从而丰富了我国《民法通则》关于个人信息保护规定的内涵。应当指出的是,删除权是第一次被写进法律,在记忆成为常态,遗忘成为例外的大数据时代,《网络安全法》适时提出删除权,有助于网络用户加强对其个人信息的控制力。
四、500家网站隐私政策之内容分析
网站只要存在个人信息收集行为,便须受《网络安全法》的法律约束。我们因此分析了这500家网站收集个人信息的概况,并依据五个类别(即政府类、社会组织类、教育类、商业类、敏感信息类)进行归类统计(表1 表1见本期第58页)。我们发现:收集个人信息的网站在所有类别网站中都占据了极高比例。教育类网站收集比例最高,高达100%,因为所有教育类网站都需要通过学号(或其他账号)以及密码来登陆,以查询成绩、课程表、考试日程等个人不同情况。敏感信息网站作为挑选出的一个单独类别,收集个人信息的比例也高达95%。另外,绝大部分网站均需要进行身份识别。商业类网站需要身份识别的也达到84%。再者,除了教育类网站,大部分网站是为了注册需要而采集个人信息的。尤其是敏感类网站,为了注册需求收集个人信息的近90%。最后,我们发现不少网站允许用虚假个人信息注册。在所有类别的网站中,社会组织类的网站允许用虚假个人信息注册的比例最高,达到34%;其次是政府类网站,也高达26%。在这些网站中,虽然有些服务(如使用市长信箱)需要用个人真实信息注册才能使用,但是用户可以用虚假信息进行注册并享受服务。
鉴于绝大部分网站都在收集个人信息,因此我们有必要知道这些网站在收集信息的时候,是否较好遵守了《网络安全法》的相关规定。如前所示,《网络安全法》要求所有网站必须明示收集信息的目的、方式和范畴。这是个硬性要求,集中体现在各个网站的隐私政策声明(含信息保护政策)是否合规上。因此,我们对各网站的隐私政策进行了如下内容分析:
(一)隐私政策的发布
首先,我们审查了收集个人信息的网站中提供隐私政策声明的比例,在此基础上评估了三项明示要求的遵守程度。主要指标包括:该政策是否包含数据收集的目的;该政策是否包含数据收集的方式;该政策是否包含数据收集的范围。其中,第一项指标在下文中会有具体分析。第二项指标不限于用户自身提供个人信息的方式,也包括第三方来源,通过cookies、web beacon等技术手段收集信息的方式。第三项指标主要涉及所收集个人信息的类型等。
表2显示,各类网站发布隐私政策的情况存在较大差异。在相互独立的四类网站中,商业类网站提供隐私声明比例最高,为66%;比例最低的是教育类网站,只有4%;73%的敏感信息类网站提供了相关政策,显示出相对较高的合规性。
然而,大部分发布隐私政策的网站,围绕《网络安全法》明示原则的合规程度不容乐观。在相互独立的四类网站中,明示原则合规程度最高的是商业类网站,但商业类网站中包含数据收集的目的、方式、范围等信息的网站仍均未过半,其中告知用户数据收集的范围的比例最高。敏感信息网站对于三类信息的明示表现出较高的合规性,但也只是略微过半。可见,大部分网站都没有明确告知用户明示原则所要求的三类信息,尤其是教育类网站在此方面的表现最差(但其收集信息的比例却最高)。
(二)个人信息收集的目的
《网络安全法》明确要求向个人信息主体明示数据收集的目的。目前,一些网站收集个人信息的目的确实是为了优化服务,比如了解用户的兴趣点,以推出个性化服务;或者优化网站的整体性能,以更好地和用户交流。另有一些网站允许用户对其数据进行一定程度的控制,提供选择性加入或退出机制,比如允许用户订阅或退订网站的广告邮件、RSS服务等。在我们看来,这些都是很好的个人信息保护实践。为此,我们对相关网站的隐私政策进行了进一步分析,结果如下:
可以看出,商业类网站为优化服务收集信息的比例相对较高,但也不到50%。相比之下,只有2%的教育类网站声明收集个人数据是为了优化网站服务,是所有类别网站中最少的。此外,部分网站隐私政策中包含了选择性退出机制,但比例都不高。其中,商业类网站和敏感类网站勉强达到20%以上,其他类型的网站均不超过5%。包含选择性加入机制的网站比例也不高,除了社会组织类网站超过20%之外,其他类型的网站均不超过6%。大部分网站均表示,注册本网站就表明已默认将接受相关推送服务。
(三)信息保密性与安全保障
《网络安全法》第42条要求网络运营者应采取措施确保信息安全,第49条还要求网络运营者建立网络信息安全投诉、举报制度,并公布投诉、举报方式等信息。为此,我们审查了各类网站的隐私政策是否包含信息安全保障声明以及更加细化的安全保障举措等信息。考虑到仅表明建立了信息安全投诉、举报制度而并未公布投诉、举报方式是毫无意义的,我们还审查了网站隐私政策中是否包含投诉、举报方式等信息。
统计显示,各类网站对“提供信息安全保障声明”这一举措的执行程度不一,与网站是否 “提供隐私政策”的比例数据比较一致。其中,敏感网站比例最高,达到72%;其次为商业网站,达到67%;政府类和社会组织类基本持平分别为30%和32%;教育类网站最低,仅为4%。
在有信息安全保障声明的网站中,提供详细保障声明的,社会组织类和教育类均达到100%。需要说明的是,教育类网站中有且仅有一个网站提供了数据保护声明,且比较详细,因此出现100%的比例。商业类网站提供详细声明的比例也达到了91%,政府类则为75%,敏感信息类网站则达到了94%。
虽然大部分提供数据保护声明的网站都提供了详细的数据保护声明,但是其中包含了投诉、举报方式的网站比例明显较低。在四个独立分类网站,“包含投诉、举报”方式的一项中,占比最高的是社会组织类网站,达到69%。其次是教育类网站,为50%(但适合统计的基数较小)。商业类网站所占的比例仅有47%,政府类网站为37%,基本上仅为“提供详细保障声明的”一项数据的二分之一。敏感网站提供投诉、举报方式的比例为46%,其网络安全的反馈机制也有待进一步完善。
(四)删除权与更正权
《网络安全法》第43条规定用户有权删除和更正其个人信息。与信息保密和安全保障职责一样,该法并未规定用户的删除权与更正权应予以明示,但网站有义务尊重用户的删除权与更正权,我们因此审查了网站隐私政策中是否提供了这样的信息。
统计显示,在四类独立分类并具有隐私政策的网站中,“声称用户有权删除其个人信息”这一项,政府类网站的比例最高,达到52%,商业类网站则为30%,社会组织类则仅为16%。教育类网站中,没有一个网站提供用户有权删除其个人信息的声明。敏感网站此项数据仅为30%。
而“声称用户有权更正其个人信息”的统计结果则比前项稍高。按类别分,比例最高的仍为政府类网站,达到74%。商业类网站达到了50%以上,社会组织类则仅为21%。教育类网站虽然达到了50%,但同样是基数较小所致。敏感网站的该项数据为58%,显示其对于用户数据的准确性和更新较为重视。
(五)隐私政策的可见性
隐私政策如果明显可见,无疑有助于提升用户的信息保护意识和实践,也可进一步彰显网站保护用户信息的诚意和决心。假设隐私政策可见度非常高,那么它应该拥有一个独特的、易发现的标题,其次还应充分考虑其他影响可见性的因素。具体来说,我们从以下几个方面对隐私政策的可见性进行检测:主页是否有隐私政策声明,该声明是否采用了独特的标题(比如包含“隐私”、“数据保护”等字眼),该声明是否包含在服务协议等相关材料中,该声明在网站主页的位置,网站的主页是否可链接到隐私政策声明。
表6显示,四类含有隐私声明的网站中,社会组织类网站“主页有隐私政策声明”的比例最高,占58%;其次为政府类网站,占55%;商业类网站占比最低,仅为45%。统计范围内的教育类网站中,仅有两个网站具有隐私政策声明,在主页显示隐私政策的教育类网站仅一个。敏感网站在主页显示隐私声明的比例仅为52%。
在主页有隐私政策声明的四类网站中,教育类和政府类的隐私声明全部包含“隐私”字眼。商业类网站和社会组织类网站主页隐私政策声明中包含“隐私”字眼的比例依次为84%和64%。敏感信息类网站在这一项目的统计指标中也并不是特别突出,仅为82%。相比于关键词“隐私”来看,隐私政策声明在主页中以“数据保护”等为关键词的比例较低,最高为社会组织类,达到55%,教育类和政府类则均未出现“数据保护”等关键词。
在四类网站中,隐私政策包含在服务协议等相关声明中占比例最高的是商业类网站,达84%;政府类网站仅为39%,占比最低。教育类网站虽达到100%,但是由于仅有两个网站具有隐私声明,该两家网站的隐私声明均包含在服务协议等声明中。
在主页有隐私政策声明的四类网站中,绝大部分的隐私声明发布于网页底部。仅有3%的隐私声明出现在商业类网站主页顶端,9%的隐私声明出现在主页中部。而主页具有隐私声明的敏感信息类网站中,则分别有3%和2%出现在主页的顶部和中部。
此外,社会组织类、商业类均出现了隐私声明链接不可用的情况。在具有隐私声明的网页分类统计中,社会组织类链接不可用情况达到5%以上,商业类则达到了5%。而在具有隐私声明的敏感信息类网站中也有3%的网站隐私声明链接不可用。
五、敏感网站信息保护实践之技术检测
本部分以100家敏感信息类网站为对象,通过技术手段检测这些网站能否说到做到,兑现隐私政策所做的承诺,在实践中对用户个人信息予以实质性保护。检测过程是在受控环境下进行的,以保证检测的可靠性和准确性。测试内容包括网站使用的追踪cookies、数据安全漏洞和侵入数据库的可能性。
(一)Cookies及其功能检测
Cookies是用户访问过的网站创建的文件,用于存储浏览信息,例如用户ID、检索词汇浏览记录等。每次访问网站的时候浏览器都会将该网站的cookies发回给网站服务器,同时网站也可以随意更改用户机器上对应的cookies。Cookies有两种类型,即第一方cookies和第三方cookies。第一方cookies是由地址栏中列出的网站域设置的cookies,而第三方cookies来自在网页上嵌入广告或图片等其他域来源。Cookies追踪技术可以对用户的个人信息进行收集、归纳与整理,并在此基础上分析、预测用户的行为偏好。Cookies的存在可优化用户的产品体验,比如为用户提供定向化、个性化的服务。
自其诞生以来,质疑cookies的声音同样不绝于耳。对于cookies技术的批判主要集中在其对用户个人信息安全的威胁上。2012年,谷歌曾因利用cookies技术秘密跟踪用户上网习惯而被开出2250万美元的罚单。⑤法院指出,谷歌蒙骗了Safari浏览器用户,让他们误认为只要不修改该浏览器的隐私设置,上网活动就不会被谷歌跟踪。实际上,谷歌采用了特殊的技术手段绕过Safari浏览器的隐私设定,从而得以追踪用户的上网行为。2014年,我国发生朱烨诉百度侵害人身权案,成为国内cookies侵权第一案。原告认为,百度在未经其知晓与选择的情况下,利用网络技术追踪自己的搜索关键词,将个人兴趣爱好、生活习惯等特点暴露在网上,进而进行广告投放,侵犯了自己的个人信息隐私,给自己的生活带来了困扰,因此向南京市鼓楼区人民法院提起诉讼。原告一审胜诉,但南京市中院二审却改判驳回原告诉求,充分显示了网络信息保护目前所存在的较大争议性。⑥
在互联网行业,类似于百度这种个性化推荐服务基本上都是利用cookie技术实施的“精准营销”。尽管这已成为行业惯例,但相关信息采集行为并非都合法。按照《网络安全法》,互联网公司此前应当履行告知和征得同意的义务。如前所示,不少网站都包含相关隐私政策声明,而由于其置放位置等形式问题,用户在上网时很难注意到相关声明或链接。再者,大部分用户对于禁用cookies等浏览器隐私设置功能可能并不熟悉。
在研究过程中,我们对Internet Explorer浏览器进行隐私选项设置,并对每个敏感信息网站进行单独检测。结果表明:在100个受测的敏感信息网站当中,99%的网站使用了第一方cookies收集个人信息,另有77%的网站使用了第三方cookies收集信息。另一方面,仅有24%的网站对cookies的使用在其隐私政策中作了公开声明,5%的网站明确指出了可能会使用第三方cookies。在具有cookies相关声明的网站中,几乎所有网站都指出用户可以拒绝或接受cookies的使用,但只有个别网站对浏览器禁用cookies设置流程做了明确说明。
《网络安全法》明确要求网站明示收集信息的方式,但很明显,就cookies使用而言,网站的隐私政策声明与网站的隐私保护实践明显不符。
(二)数据安全漏洞检测
在对敏感信息网站的cookies进行手工检测后,我们利用Acunetix Web Vulnerability Scanner对每个网站进行数据安全漏洞检测。Acunetix Web Vulnerability Scanner对网站的风险级别主要分为0(安全)、1(低级)、2(中级)、3(高级)四个等级。其中,仅有6%的网站评定为0(安全)级别,23%的网站风险级别为1(低级),61%的网站风险级别为2(中级),10%的网站风险级别为3(高级)。⑦
在风险级别为3的网站中,出现频率最高的高危漏洞是cross site scripting(跨站脚本攻击);其中,有6个网站中存在漏洞DOM-based cross site scripting(基于DOM的跨站脚本攻击)(图1 图1见本期第63页)。跨站脚本攻击是利用网页漏洞恶意盗取用户信息,攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份从事某种行为或对访问者进行病毒侵害的一种攻击方式。可用于窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击行为。用户在浏览网站、使用即时通讯软件、阅读电子邮件时,通常会点击其中的链接,攻击者通过在链接中插入恶意代码,就能够盗取用户信息。
在中等级别的网站数据安全漏洞中,出现频率最高的是HTML form without CSRF protection漏洞,即HTML表单中缺乏跨站点伪造请求保护,出现该漏洞的敏感信息网站的比例为49%。其次是Slow HTTP Denial of Service Attack⑧与User credentials are sent in clear text⑨安全漏洞,两者比例分别为26%与22%。14%的敏感信息网站存在The POODLE attack(SSLv3 supported)漏洞。此外,还包括其他几种安全漏洞(图2 图2见本期第63页)。大部分安全漏洞均与个人数据安全密切相关。以HTML form without CSRF protection漏洞为例,其CSRF(Cross Site Request Forgery,即跨站点伪造请求)是指强迫用户浏览器向一个易受攻击的Web应用程序发送请求最后达到攻击者所需要的操作行为。这可简单理解为攻击者盗用用户身份,并以用户的身份发送恶意请求,如以用户的名义发邮件、发消息,盗取用户账号,甚至购买商品等。49%的敏感信息类网站针对此漏洞并未采取防护措施。
风险级别为低级的安全漏洞中,Clickjacking: X-Frame-Options header missing(点击劫持)、⑩Cookie without Secure flag set(cookie未设置安全标识)、[11]Cookie without HttpOnly flag set(cookie未设置HttpOnly标识)[12]三种安全漏洞在网站中出现频率最高,分别占65%、63%、52%。此外,还包括其他15种数据安全漏洞(图3 图3见本期第63页)。
综上所述,尽管有72%的敏感信息网站声称会提供数据保护,但超过70%的网站均存在中级及以上的安全漏洞。从某种程度上讲,大部分受检网站并没有按照《网络安全法》的要求,将个人信息保护政策落到实处,为用户的个人信息安全提供实质性保护。
六、结论和讨论
本文首先对《网络安全法》的信息保护条款进行了法律分析。该法规定了网络服务者收集、使用信息的一系列原则,包括明示原则、同意原则、目的明确原则、安全保障原则等。明示原则是本研究关注的重点,它集中体现在网站的隐私政策上。通过对500家样本网站进行内容分析,我们发现绝大部分网站都在积极收集个人信息,但并不是每个网站都会发布隐私政策、明示其个人信息收集的行为。进一步的分析表明,各类网站发布隐私政策的情况也存在较大差异。其中,敏感信息网站发布隐私政策的近四分之三,商业类网站近三分之二,政府类和社会组织类均在三分之一左右,但教育类网站仅4%。即便发布了隐私政策,该政策能够达到合规性、显著性、有效性等方面要求的网站比例也不容乐观。这大大影响了隐私政策所能发挥的效能。敏感信息类网站和商业类网站比之于其他网站的隐私政策略好一些,但各项指标的表现也不尽如人意。此外,我们还对样本网站中100家敏感信息网站进行了实际测试,以考察它们是否落实了隐私政策中的信息保护承诺,结果发现几乎所有网站都采用cookies收集个人信息,但不到四分之一的网站会在隐私政策中明示这种信息收集的方式。更糟糕的是,我们的技术测试显示,近四分之三的敏感信息类网站存在中级及以上的数据安全漏洞。
上述发现引发了我们以下几点思考:
首先,我们认为《网络安全法》目前在保护个人信息的效果是有限的,这迫切需要相关机构提升执法力度,将《网络安全法》相关规定付诸实施,使该法能对违法网站产生实际的威慑力。需要指出的,网络运营者即便违反了《网络安全法》的个人信息保护规定,仅处违法所得一倍以上十倍以下的罚款。[13]而依据欧盟《一般数据保护条例》,如果行为人违反条例关于个人数据保护的规定,数据保护机构将视具体违法情形对当事人处以高达全球营业额2%或4%的罚款,[14]相比于后者,我国的惩罚力度相对微弱,个人信息保护能否达到法律所期望的目标还存在较大疑问。
其次,我们注意到不少网站都发布了隐私政策,但现实中并没有采取技术手段或其他必要措施兑现其信息保护承诺。有鉴于此,我们或许可借鉴美国联邦贸易委员会(FTC)的做法。依据美国《联邦贸易委员会法》第5条,FTC有权“阻止欺骗性的或不公平的商业行为”。具体到个人信息保护领域,FTC的管辖权涉及三类:一是“欺骗性商业行为”,这包括没有履行隐私政策中的信息保护承诺,进行一般性的欺骗,没有充分告知消费者相关的隐私政策等;二是“不公平的商业行为”,这包括擅自修改隐私政策,秘密收集消费者数据,不当使用消费者数据,不当设计(比如不能卸载该公司提供的软件),以及缺乏相关数据安全措施;三是监督相关法律(比如《公平信用报告法》)和欧美安全港协议的实施。[15]自1997年起,FTC处理了170起涉及个人数据安全的投诉,平均每年10起左右。表面看来,FTC有可能沦为橡皮图章式的执法机构,因为其执法资源有限,缺乏民事处罚手段,罚款权限也相当有限,[16]但FTC对违法机构的审查相当漫长,50%的案子都超过20年,大部分公司都会感觉不堪重负,也会对其公司形象产生长远的负面影响,这就是FTC能对美国公司产生巨大震慑力的主要原因。将FTC的做法直接移植到我国尚不成熟,但其主旨是明确的,即包括网络运营者在收集、使用个人信息时应当诚实守信,否则要为其不诚实、不公平的商业行为付出代价。
其三,我们注意到不同类型的网站遵守信息保护规定的程度也不一样,比如说商业网站合规的程度一般较高,而政府、教育和社会组织类的网站合规的程度较低。这在一定程度上证明了市场竞争所扮演的角色。因为只有为用户提供更好的信息保护,商业网站才能有更好的生存和发展机会。其他非商业类网站由于面临的竞争压力相对较小,因此合规性相对差一些。可能的结论是,我们应该摆脱法律依赖路径,在法律手段与市场力量中寻求平衡。另一方面,即使在明示原则上,商业类网站也表现出比其他类型网站更高的合规性,但合规程度总体依然偏低。这说明,法律依然存在较大的发力空间,但需要更强的约束力与执法力度,才能真正提升各类网站的个人信息保护水准。
最后,我们认为《网络安全法》所要求的明示原则(主要体现在网站的隐私政策中)对个人信息保护是有积极作用的,但如果隐私政策包含的都是霸王条款,要求用户无条件接受,否则就拒绝提供服务,那么这种政策声明并无多大实效。在我们看来,用户对其数据应享有更多的控制权,比如删除权、更正权、选择性加入/退出机制、匿名/非实名登录等,这会实质上改善用户保护其个人信息不受侵犯的被动局面。本研究发现,即便在隐私政策声明中,这些控制权指标并未得到充分显示或告知。在实践中,用户所享有的数据控制权恐怕更少。另外,尽管法律确立了实名登记制度,但在研究中,我们注意到一些网站允许用户使用虚假信息登陆,以换取其所需的产品或服务。这再次显示了网络信息保护的困境和悖论,要求我们把握各种平衡关系,综合考虑各种路径和手段,才有可能将个人信息保护提升到更高的水准。■
①邵国松:《网络传播法导论》第191-212页中国人民大学出版社2017年版
②《网络安全法》第76条。
③《网络安全法》第76条。
④《网络安全法》第42条。
⑤环球网:《谷歌因绕过用户隐私设置而被罚款2250万美元》,2012年 ,7(10) http://tech.huanqiu.com/it/2012-07/2899988.html
⑥朱芸阳: 《定向广告中个人信息的法律保护研究——兼评“Cookie隐私第一案”两审判决》,《 社会科学》2016年第1期
⑦当网站中存在低级安全漏洞时,网站风险级别为1;存在中级安全漏洞时,网站风险级别为2;存在高危安全漏洞时,网站风险级别为3;同一网站可能存在多种级别的安全漏洞,且同一安全漏洞可能在某一网站中出现多次。
⑧当恶意攻击者以很低的速率发起HTTP请求,使得服务端长期保持连接,这样使得服务端容易造成占用所有可用连接,导致拒绝服务。
⑨用户的凭证信息以不安全的明文进行传输,缺乏SSL加密。
⑩点击劫持是一种恶意攻击技术,通过覆盖不可见的框架误导受害者点击。用于跟踪网络用户,获取其私密信息或者通过让用户点击看似正常的网页来远程控制其电脑。
[11]用来保证数据cookie安全的设置,secure属性是防止信息在传递的过程中被监听捕获后信息泄漏。当安全属性设置为true时,cookie只有在https协议下才能上传到服务器,而在http协议下是没法上传的,所以就不会被窃听。
[12]HttpOnly属性的目的是防止程序获取cookie后进行攻击。如果在Cookie中设置了HttpOnly属性,那么通过程序(js脚本、Applet等)将无法读取到Cookie信息,这样能有效地防止XSS攻击。
[13]《网络安全法》第64条。
[14]General Data Protection Regulation Article 83. http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=EN,2017年7月10日最后访问。
[15]SoloveD. & HartzogW. (2014). The FTC and the new common law of privacy. 114 Columbia Law Review 583.
[16]比如在2012年,Google因隐私保护不力招致FTC罚款2200万美元。 这是FTC历史上最大的一笔罚款,但相比于Google当年的收入(380亿美元),仍不过是九牛一毛。
邵国松系上海交通大学媒体与传播学院副院长、教授、博士生导师;薛凡伟、郑一媛、郑悦均为上海交通大学媒体与传播学院研究生。本研究为国家社科基金项目“大数据时代个人数据法律保护研究”(15BXW030)阶段性成果。
