论企业“合规”的利器
——隐私协议

(湘潭大学法学院 湖南 湘潭 411100)

2018年新年伊始，支付宝“年度账单”事件刷爆朋友圈，也让“隐私协议”一词抓住了大众的眼球。支付宝推出了年度账单回顾，用户通过“上划”这一动作就可以查看自己的消费账单。用户作出“上划”账单这一动作的同时就意味着同意了芝麻服务协议，则芝麻信用就可以按照自己的“隐私协议”收集用户信息。这无疑是支付宝利用用户的“疏忽大意”使用户“被动”地同意其“隐私协议”的恶意事件。究其原因，无疑是大数据时代到来，信息能为企业带来巨大的经济利益以及市场占有率，对信息的占有和控制成为了企业间新的争夺焦点。然而，在实践中，这类“不合规地”收集、抓取个人信息的现象较少。近年来，保护个人信息的呼声高涨，以及《网络安全法》等法律法规相继颁布，都对企业合规提出更多要求。为了在收集更多信息的同时又不触碰规则的底线，“隐私协议”便成为了企业合规的“利器”。

一、现行立法对个人信息的保护

近年来，我国加快了个人信息安全保护的立法和修法进程。2017年11月4日，我国《反不正当竞争法》历时24年后首次修订，专设“互联网专条”。《民法总则》首次将“个人信息”“信息”和“网络虚拟财产”纳入其中。以及《网络安全法》明确加强了对个人信息的保护，严格打击网络诈骗等。

此外，《信息安全技术个人信息安全规范》对个人信息的基本定义、原则和收集、存储、传输等方面都提出了详细地要求。于其第四章明确提出了目的明确、权责一致、公开透明、最少够用以及确保安全等个人信息保护的基本原则。对信息的跨境传输、共享、公开披露、转让、委托处理等均提出了详细要求。①

二、隐私协议成为企业“合规”的利器

企业为了最大化地收集用户信息，又不触碰规则的底线，便纷纷推出隐私协议。以《支付宝服务协议》为例，其要求用户提交的个人信息包括但不限于会员号、支付宝账户、密码、数字证书、电话号码、身份证件号码及指纹信息等。前述信息有许多跟个人财产及隐私息息相关的信息，一旦泄露将给个人带来无穷隐患。然而，在其隐私协议中明确规定：“使用身份要素进行的任何操作、发出的任何指令均视为用户本人做出。因用户的原因造成的账户、密码等信息被冒用、盗用或非法使用，由此引起的一切风险、责任、损失、费用等应由用户自行承担。”支付宝是一个相对封闭的网络服务平台，用户在使用支付宝时，很难接触到非支付宝推送的其他运营商(即在支付宝服务中的第三方服务商多为跟其有合作或经其同意才能在支付宝平台上提供服务的第三方)。因此，《支付宝服务协议》将用户使用身份要素的任何指令均视为用户做出，引起的一切风险由用户自行承担，无疑是其为获得最大利益而设置“要约陷阱”。

并且，在其隐私协议中，明确规定支付宝会基于提供服务或其他目的向合法存有支付宝用户信息的第三方收集信息。支付宝认为需要时，用户需同意支付宝可以把用户的信息提供给第三方。根据其隐私协议，支付宝还会向关联公司、我们的供应商或合作伙伴共享用户的信息。而支付宝对因为前述第三方的不当行为导致用户信息泄露，用户个人隐私、经济财产安全等遭受侵害这类风险背后的责任承担问题未作出明确地回答。

三、应对之策

为了进一步规范企业在抓取、收集、存储、使用个人信息，以及后续的传输、转让、共享等环节中的处理、处置行为，遏制侵害个人信息的行为，最大程度地保障个人的合法的信息权益。我们不仅需要在立法层面给予支撑，还需要在行业规范、技术支持等多方面给予保障。

(一)完善“隐私协议”的标准

隐私协议应当是企业“合规”的重要体现，是企业约束自身行为和配合监督管理的重要机制，是保障个人数据安全与规范处理的一道“防护墙”，而不应是企业在个人信息保护日趋严格的形式下规避自身风险的重要手段。隐私协议应清晰、准确、完整地描述企业的个人信息处理行为。根据目的对应的不同业务功能，详细列出收集的个人信息类型；明确描述哪些类型的个人信息属于特定业务功能所必需的；收集身份证、护照、驾照等法定证件信息和个人生物识别信息时，应专门提醒个人信息主体此次收集活动涉及的信息，并说明处理目的、处理规则；不得使用概括性语言综述所收集个人信息；说明个人信息在使用过程中涉及的地理区域，如个人信息存储和备份的地域，个人信息传输过程中涉及的地域范围；如果个人信息存在跨境传输情况，需单独列出或重点标识；使用个人信息时，是否形成直接用户画像及其用途需要明确说明；根据个人信息的使用情况，注明不同类型个人信息预计的保留时间；确需改变信息收集和使用的目的，应当说明会征得用户的同意等。

(二)信息收集、使用行业规范的确立

企业要切实履行信息安全义务，包括但不限于对信息处理、管控等技术人员的培训；建立内部自查自纠、监督、补救制度；保障个人信息主体的投诉渠道，并建立健全行之有效的问责机制；②切实履行好大数据平台、企业的责任，构建一个以平台、企业为基础的技术融合、业务融合、信息融合，跨业务、跨部门的新的生态，在信息的收集、应用当中，要保护好各方的权益。推动企业建立行业自律机制，完善自身的信息保护水平。③预防信息侵权现象的产生，就更多地要在平台企业和上下游企业、和用户之间订立一些规则，比如科学利用三重授权原则；以及在行业内部建立健全严格的管理规范和明确的处罚机制等。

(三)个人信息保护技术手段的升级

善于利用信息失真、信息加密、限制发布、差分隐私保护等多种技术手段以确保被收集的个人信息的完整性，保证被收集的个人信息在存储、传输、处置和使用的过程中不被恶意篡改；利用访问认证、识别技术，对来访用户的身份、资格进行验证。④反“匿名化”、严格规制信息关联等措施同样值得重视。

(四)强化个人的信息保护意识

大数据时代，个人信息被恶意抓取、盗用、滥用以及泄露，与个人保护意识的缺失有直接关联。在办理某些需要提供个人信息的事务、业务时，未与相关企业约定信息保密责任。在使用互联网时，未加防范地将个人信息输入、录入，不注重保护，甚至不知道自身享有的信息权益，就可能将自己陷入信息被恶意泄露、滥用的风险中。即使发现自身的信息被滥用、泄露，甚至造成不良后果之时，诸多市民也因为自身的维权意识不高、法治素养的缺乏，助长了这种违法行为的泛滥。因此，加强信息保护宣传教育、开展信息保护讲座、提高个人信息保护意识刻不容缓。⑤

(五)完善个人信息保护的监管机制

强化网络安全监管，切实保障个人信息，政府部门有无可推卸的责任。然而，政府监管方面仍旧存在不少漏洞。一监管机构权责未明。个人信息与个人的财务、生理、隐私等各方各面息息相关，信息保护涉及面广，应由专业机构统一监管，而当下的信息监管机构过于分散、权责不明。二缺少强制性的管理标准。《个人信息安全规范》作为国家推荐性标准，不具有强制约束力。除非个人主动承诺、企业明确援引，或者相关法律法规有明确规定，才可以在个人、企业之间产生实质性作用。三监管措施不严，使得个人信息、隐私被恶意抓取、使用，更有甚者恶意更改个人相关信息；四行政处罚较低。违法成本过低，对于获益者来说，根本不足以遏制其违法行为。

【注释】

①⑤史卫民.大数据时代个人信息保护的现实困境与路径选择[J].情报杂志,2013,32(12):155-159+154.

②李卓卓,马越,李明珍.数据生命周期视角中的个人隐私信息保护——对移动APP服务协议的内容分析[J].情报理论与实践,2016,39(12):63-68.

③刘耀华.借欧美“隐私盾”协议 响我国网络数据保护的警钟[J].通信世界,2016(21):22-23.

④刘雅辉,张铁赢,靳小龙,程学旗.大数据时代的个人隐私保护[J].计算机研究与发展,2015,52(01):229-247.