范昊 王賀 付少雄

摘 要：[目的/意義]基于社交媒體個(gè)人信息安全事件頻發(fā)的現(xiàn)狀，通過審核社交媒體的個(gè)人信息保護(hù)政策，以期從法律政策文本層面規(guī)范社交媒體的個(gè)人信息保護(hù)，保障個(gè)人信息合法權(quán)益與社會公共安全利益。[方法/過程]本文以國內(nèi)外16款用戶量最大、使用頻次最高的社交媒體為研究對象，通過內(nèi)容分析法，從個(gè)人信息采集與利用、Cookie及相關(guān)技術(shù)的提醒、個(gè)人信息儲存及保護(hù)、個(gè)人信息共享轉(zhuǎn)讓與披露、個(gè)人信息處理權(quán)益、未成年個(gè)人信息保護(hù)角度對社交媒體的個(gè)人信息保護(hù)政策進(jìn)行分析。[結(jié)果/結(jié)論]政府層面亟需保障《信息安全技術(shù) 個(gè)人信息安全規(guī)范》等法律法規(guī)的底層實(shí)施，企業(yè)層面需開展個(gè)人信息保護(hù)的內(nèi)部制度化建設(shè)，結(jié)合服務(wù)與產(chǎn)品特征細(xì)化個(gè)人信息保護(hù)政策內(nèi)容，采用實(shí)名制規(guī)范未成年個(gè)人信息保護(hù)。

關(guān)鍵詞：社交媒體;個(gè)人信息;隱私保護(hù);隱私政策;敏感信息

Abstract：[Purpose/Significance]Current personal information security incidents of social media occur frequently.To regulate the protection of personal information of social media from the legal policy text，and protect the legitimate rights and interests of personal information and the security interests of public，our paper reviews the personal information protection policy of social media.[Method/Process]This paper took 16 social media with the largest number of users and the highest frequency of use as the research object.Through content analysis，the paper analyzed the personal information protection policy of social media from the perspectives of the collection and use of personal information，reminders of cookies and related technologies，personal information storage and protection，transfer and disclosure of personal information sharing，personal information processing rights，and protection of underage personal information.[Result/Conclusion]At the government level，it is urgent to strengthen the implementation of the“Information Security Technology and Personal Information Security Code”and other laws and regulations.At the enterprise level，it is necessary to carry out internal institutionalization of personal information protection，combine the service and product features to refine the content of personal information protection policies，and adopt the real name system to improve underage personal information protection.

Key words：social media;personal information;privacy protection;privacy policy;sensitive information

我國《“十三五”規(guī)劃建議》提出實(shí)施“網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略”以及“互聯(lián)網(wǎng)+”行動計(jì)劃，強(qiáng)調(diào)網(wǎng)絡(luò)安全面臨重大挑戰(zhàn)[1]。此后，網(wǎng)絡(luò)安全觀被上升為國家安全層面，指出網(wǎng)絡(luò)安全是國家信息化發(fā)展的基石。其中，網(wǎng)絡(luò)平臺用戶數(shù)據(jù)保護(hù)是網(wǎng)絡(luò)安全的重要議題[2]。由于社交媒體企業(yè)缺乏對于用戶信息的合理保護(hù)，當(dāng)前社交媒體用戶信息泄露事件頻發(fā)，如2018年12月，社交問答平臺Quora的1億條用戶信息泄露，其中涉及用戶姓名、郵箱、密碼，以及網(wǎng)站分享內(nèi)容;2018年8月，Instagram社交平臺數(shù)百萬用戶的郵箱地址、電話號碼等個(gè)人資料遭到泄露;2018年3月，F(xiàn)acebook的8 700多萬用戶的性格特征、行為習(xí)慣、政治傾向等個(gè)人信息遭到非法外泄進(jìn)行用戶畫像分析。為此，2018年5月，我國實(shí)施《信息安全技術(shù) 個(gè)人信息安全規(guī)范》[3]。與此同時(shí)，歐盟于2018年5月出臺《通用數(shù)據(jù)保護(hù)條例》[4]。

有效社交媒體政策的制定有助于增強(qiáng)企業(yè)的個(gè)人信息保護(hù)意識，從法律條款層面對企業(yè)個(gè)人信息處理行為進(jìn)行約束。個(gè)人信息保護(hù)政策在第三方APP中以“個(gè)人信息保護(hù)或隱私條款/聲明”形式呈現(xiàn)，是指APP運(yùn)營商面向用戶個(gè)人信息保護(hù)而制定的有關(guān)義務(wù)、權(quán)利與責(zé)任的規(guī)則[5-6]。個(gè)人信息保護(hù)政策常內(nèi)嵌于“網(wǎng)絡(luò)服務(wù)協(xié)議”、“APP服務(wù)及許可協(xié)議”等服務(wù)協(xié)議范疇中，或單獨(dú)設(shè)置個(gè)人信息/用戶隱私保護(hù)政策。當(dāng)前國內(nèi)外相關(guān)研究主要從用戶[7-9]、網(wǎng)絡(luò)平臺[10-12]、政府監(jiān)管部門[13-14]視角探究了網(wǎng)絡(luò)環(huán)境下的用戶個(gè)人信息保護(hù)，從制定內(nèi)容[15-17]、制定現(xiàn)狀[18-19]分析了網(wǎng)絡(luò)平臺的個(gè)人信息保護(hù)政策。當(dāng)前國內(nèi)有關(guān)社交媒體個(gè)人信息保護(hù)政策的內(nèi)容分析處于空白，且缺乏國內(nèi)外第三方APP的個(gè)人信息保護(hù)政策對比，而社交媒體領(lǐng)域的個(gè)人信息保護(hù)亟需得到關(guān)注[20-21]。

基于此，本文以16款國內(nèi)外用戶量最大、使用頻次最高的社交媒體為研究對象，通過內(nèi)容分析法，從個(gè)人信息采集與利用、Cookie及相關(guān)技術(shù)的提醒、個(gè)人信息儲存及保護(hù)、個(gè)人信息共享轉(zhuǎn)讓與披露、個(gè)人信息處理權(quán)益、未成年個(gè)人信息保護(hù)角度解讀社交媒體個(gè)人信息保護(hù)政策，以期為社交媒體個(gè)人信息保護(hù)的政策制定和立法工作給予參考，并為社交媒體的個(gè)人信息安全防范提供借鑒。

1 個(gè)人信息保護(hù)政策法律解釋

1.1 個(gè)人信息保護(hù)政策概念辨析

在全國信息安全標(biāo)委會實(shí)施的《信息安全技術(shù) 個(gè)人信息安全規(guī)范》（GB/T 35273-2017）中規(guī)定，個(gè)人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息[3]。關(guān)于法律性質(zhì)的界定，個(gè)人信息保護(hù)政策是企業(yè)保護(hù)用戶信息的關(guān)鍵舉措，政策中的條款內(nèi)容也是用戶個(gè)人信息保護(hù)的最低標(biāo)準(zhǔn)[22]。在實(shí)施過程中，個(gè)人信息保護(hù)政策是互聯(lián)網(wǎng)服務(wù)商、軟件運(yùn)營商在為用戶提供服務(wù)過程中，對用戶數(shù)據(jù)合法采集利用所作出的相應(yīng)承諾[23]。其中一類是單方面的個(gè)人信息保護(hù)政策，服務(wù)商/運(yùn)營商僅面向用戶數(shù)據(jù)采集作出單方面聲明，無須經(jīng)過用戶明示同意，且未涉及細(xì)粒度的服務(wù)條款，因此不能被界定為合同;另一類是當(dāng)前服務(wù)商/運(yùn)營商普遍采取的做法，個(gè)人信息保護(hù)政策隸屬于網(wǎng)絡(luò)服務(wù)內(nèi)容承諾的子維度，用戶只有在簽署個(gè)人信息保護(hù)政策協(xié)議的情況下才能享受服務(wù)，其屬于面向雙方當(dāng)事人間的協(xié)議[24]。因此，構(gòu)建在用戶閱讀且明示同意的基礎(chǔ)上的個(gè)人信息保護(hù)政策，屬于正式的網(wǎng)絡(luò)服務(wù)合同[23]。

用戶的個(gè)人信息保護(hù)政策常內(nèi)嵌于APP內(nèi)部，如新浪微博的個(gè)人信息保護(hù)政策位于“設(shè)置—關(guān)于微博—微博個(gè)人信息保護(hù)政策”，微信的個(gè)人信息保護(hù)政策位于“設(shè)置—隱私—微信隱私保護(hù)指引”中，YouTube的個(gè)人信息保護(hù)政策位于“賬號—條款及隱私權(quán)政策”。對于社交媒體而言，個(gè)人信息保護(hù)政策通常采用實(shí)時(shí)提醒、增強(qiáng)式提醒兩種模式告知用戶。首先是實(shí)時(shí)提醒，當(dāng)用戶訪問相冊、備忘錄、位置信息、通訊錄等個(gè)人信息時(shí)，第三方APP會向用戶發(fā)送征求用戶同意的彈窗[22];其次是增強(qiáng)式提醒，當(dāng)用戶首次安裝下載APP、首次賬號注冊、首次APP使用的情況下向用戶推動個(gè)人信息/隱私保護(hù)政策。雖然APP常采用上述方式通知用戶個(gè)人信息的采集與利用，但使用即許可（即使用APP便默認(rèn)許可APP的個(gè)人信息保護(hù)條款）是當(dāng)前互聯(lián)網(wǎng)服務(wù)商的基本處理模式。因此，規(guī)范和完善的個(gè)人信息保護(hù)政策及法律體系對于移動互聯(lián)網(wǎng)時(shí)代的個(gè)人信息保護(hù)起關(guān)鍵作用。

1.2 個(gè)人信息保護(hù)立法

為有效實(shí)施網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略，保障互聯(lián)網(wǎng)用戶的個(gè)人信息安全，我國開展了個(gè)人信息保護(hù)的相關(guān)立法工作。國內(nèi)個(gè)人信息保護(hù)立法可分為兩個(gè)階段：首先是個(gè)人信息保護(hù)立法探索階段，國務(wù)院于2000年9月發(fā)布《互聯(lián)網(wǎng)信息服務(wù)管理辦法》，該辦法初步涉及了個(gè)人信息保護(hù)，即要求運(yùn)營商建立用戶信息安全管理制度。此后，工業(yè)和信息化部于2013年7月頒布部門規(guī)章《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》，而部門規(guī)章的罰款額度最高為3萬元，不利于預(yù)防和懲處個(gè)人信息有關(guān)違法行為。

然后是個(gè)人信息保護(hù)立法的完善階段，全國人大于2016年11月頒布《網(wǎng)絡(luò)安全法》在第40～45條中強(qiáng)調(diào)了第三方運(yùn)營平臺應(yīng)構(gòu)建用戶信息保護(hù)制度，對用戶個(gè)人信息嚴(yán)格保密，并對個(gè)人信息的采集與利用進(jìn)行規(guī)范[25]。2017年1月，工業(yè)和信息化部印發(fā)《信息通信網(wǎng)絡(luò)與信息安全規(guī)劃（2016-2020年）》，指出要強(qiáng)化用戶個(gè)人信息保護(hù)，重點(diǎn)從網(wǎng)絡(luò)數(shù)據(jù)安全管理體系建立、用戶個(gè)人信息保護(hù)強(qiáng)化、建立完善個(gè)人信息泄露報(bào)告與公告機(jī)制方面展開。2017年6月，國家互聯(lián)網(wǎng)信息辦公室頒布《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（試行）》，強(qiáng)調(diào)服務(wù)與產(chǎn)品提供商基于服務(wù)與產(chǎn)品提供的便利條件，存在非法采集、保存、處理、利用用戶個(gè)人信息的風(fēng)險(xiǎn)，并展開重點(diǎn)審查。2017年7月至2018年1月，工業(yè)和信息化部連續(xù)印發(fā)《移動互聯(lián)網(wǎng)綜合標(biāo)準(zhǔn)化體系建設(shè)指南》、《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急預(yù)案》、《工業(yè)控制系統(tǒng)信息安全行動計(jì)劃（2018-2020年）》、《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅監(jiān)測與處置辦法》，指出圍繞監(jiān)測評估、技術(shù)提升、政策監(jiān)管3個(gè)方面發(fā)展移動安全防范體系，以健全包括個(gè)人信息泄露事件在內(nèi)的網(wǎng)絡(luò)安全事件的應(yīng)對能力與應(yīng)急機(jī)制。2017年9月，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《互聯(lián)網(wǎng)用戶公眾賬號信息服務(wù)管理規(guī)定》，第9條指出互聯(lián)網(wǎng)用戶公眾賬號的信息服務(wù)提供者應(yīng)保護(hù)用戶個(gè)人信息安全，不得篡改、泄露、毀損，及非法出售或者向他人提供。2018年4月，公安部發(fā)布《公安機(jī)關(guān)互聯(lián)網(wǎng)安全監(jiān)督檢查規(guī)定（征求意見稿）》，規(guī)定出售、泄露、非法個(gè)人信息的人員，按照《網(wǎng)絡(luò)安全法》第64條予以處罰，構(gòu)成犯罪依法追究刑責(zé)。2018年5月，國標(biāo)委實(shí)施《信息安全技術(shù) 個(gè)人信息安全規(guī)范》，對個(gè)人信息控制者在采集、存儲、利用、分享、轉(zhuǎn)讓、公開披露等個(gè)人信息處理過程中的行為進(jìn)行詳細(xì)的規(guī)定[3]。

此外，國外也針對個(gè)人信息保護(hù)展開了大量立法工作，如韓國2011年3月發(fā)布《個(gè)人信息保護(hù)法》，從個(gè)人信息保護(hù)的基本原則、保護(hù)基準(zhǔn)、主體權(quán)益保障、信息自決權(quán)等維度做出全面闡述;美國2012年2月提出的《用戶隱私權(quán)利法案》確立了用戶隱私保護(hù)原則，包括安全原則、透明原則、更改與訪問、問責(zé)制原則、尊重背景原則、限制收集原則、自主控制原則[26];新加坡2014年7月生效的《個(gè)人資料保護(hù)法令》，為個(gè)人信息的采集、利用、公開、處理等方面設(shè)立標(biāo)準(zhǔn)[27];日本2017年5月實(shí)施修訂后的《個(gè)人信息保護(hù)法》，從個(gè)人信息的獲取與利用規(guī)則、保存規(guī)則、信息提供的遵循事項(xiàng)、保存期限、向外國第三方提供所需遵守規(guī)則等方面進(jìn)行了立法;俄羅斯2017年9月實(shí)施修訂后的《俄羅斯聯(lián)邦個(gè)人資料法》，主要涵蓋個(gè)人信息處理的條件與原則、信息主體權(quán)益、信息處理者義務(wù)、個(gè)人信息處理監(jiān)管等方面;歐盟2018年5月強(qiáng)制實(shí)施的《通用數(shù)據(jù)保護(hù)條例》對歐盟內(nèi)部機(jī)構(gòu)采集與使用個(gè)人信息、非歐盟境內(nèi)機(jī)構(gòu)處理歐盟內(nèi)部用戶的個(gè)人信息、非歐盟機(jī)構(gòu)在歐盟境內(nèi)處理個(gè)人信息進(jìn)行了嚴(yán)格規(guī)定[4]。

2 社交媒體個(gè)人信息保護(hù)政策的內(nèi)容分析

2.1 研究對象

根據(jù)凱度（KantarGroup）發(fā)布的《2018中國社交媒體影響報(bào)告》[28]，結(jié)合國內(nèi)外社交媒體用戶量、下載排名，本文以國內(nèi)社交媒體（微信、優(yōu)酷、QQ、百度貼吧、新浪微博、豆瓣、抖音、知乎）、國外社交媒體（Facebook、YouTube、Instagram、Google+、Twitter、Snapchat、Reddit、Quora），如表1所示。其中根據(jù)對社交媒體官方用戶數(shù)據(jù)進(jìn)行調(diào)研，上述國外社交媒體的月活躍用戶皆超過1億。本文研究對象涵蓋了通訊社交媒體、交友類社交媒體、論壇類社交媒體、視頻類社交媒體，而優(yōu)酷與YouTube屬于具備社交評論功能的視頻播放平臺[28]，包含跟帖、評論、彈幕、社區(qū)、星球等服務(wù)，因此也納入本文研究范疇。

2.2 個(gè)人信息保護(hù)政策

根據(jù)調(diào)研，所有社交媒體皆制定有專門的個(gè)人信息/隱私保護(hù)政策。結(jié)合我國和歐盟于2018年5月實(shí)施的《信息安全技術(shù) 個(gè)人信息安全規(guī)范》、《通用數(shù)據(jù)保護(hù)條例》相關(guān)規(guī)定，本文從如下6個(gè)方面對國內(nèi)外社交媒體個(gè)人信息保護(hù)政策進(jìn)行調(diào)研。

2.2.1 個(gè)人信息采集與利用

社交媒體APP在用戶個(gè)人信息的采集和利用的規(guī)定主要涉及“個(gè)人信息”、“敏感信息”范疇的界定等5方面，調(diào)研結(jié)果如表2所示。首先，部分國內(nèi)社交媒體對于“個(gè)人信息”、“敏感信息”等關(guān)鍵概念進(jìn)行了明確，國外社交媒體皆未界定相關(guān)概念，如優(yōu)酷將個(gè)人敏感信息劃分為個(gè)人生物識別信息、身份證件號碼、銀行或其他資金賬號、交易信息、行蹤軌跡、財(cái)產(chǎn)信息、14歲以下（含）兒童的個(gè)人信息等。此外，優(yōu)酷還將涉及個(gè)人敏感信息部分通過加黑加亮加粗以提醒用戶;其次，所有社交媒體均表示了對保護(hù)用戶個(gè)人信息的責(zé)任，如知乎指出個(gè)人信息安全至關(guān)重要，將根據(jù)我國《網(wǎng)絡(luò)安全法》、《信息安全技術(shù) 個(gè)人信息安全規(guī)范》以及其他相關(guān)法律法規(guī)和技術(shù)規(guī)范處理用戶信息;Instagram指出會按照當(dāng)?shù)胤煞ㄒ?guī)如歐盟《通用數(shù)據(jù)保護(hù)條例》保障用戶數(shù)據(jù)權(quán)益。

再者，對于明確基礎(chǔ)與額外服務(wù)的數(shù)據(jù)類型，多數(shù)社交媒體進(jìn)行了明確，具體而言，采集的基礎(chǔ)信息包括用戶提供的信息和內(nèi)容（包括在分享或創(chuàng)建內(nèi)容、注冊帳戶，以及與他人交流或發(fā)消息時(shí)提供的信息）、用戶使用情況（如互動或查看的內(nèi)容類型、使用的功能、執(zhí)行的操作、與用戶互動的帳戶或人士，以及用戶在線活動的頻率、時(shí)間與時(shí)長）、設(shè)備信息（設(shè)備屬性、設(shè)備操作、身份識別信息、設(shè)備信號、來自設(shè)備設(shè)置的信息、網(wǎng)絡(luò)和連接、Cookie數(shù)據(jù)）、來自合作伙伴的信息（如廣告主、發(fā)行商和應(yīng)用開發(fā)者等）、關(guān)系網(wǎng)絡(luò)與人際網(wǎng)絡(luò)（如與用戶有關(guān)聯(lián)的公共主頁、人士、小組、話題標(biāo)簽和帳戶的相關(guān)信息，以及用戶如何使用產(chǎn)品與他們互動的信息）等，額外信息包括在產(chǎn)品中進(jìn)行交易的相關(guān)信息（如借記卡或信用卡號碼以及卡的其他信息、其他帳戶和身份驗(yàn)證信息、配送、賬單與聯(lián)系方式）、他人執(zhí)行的操作和提供的有關(guān)用戶的信息（如當(dāng)他人分享或評論用戶您的照片、向用戶您發(fā)消息，或者同步、上傳或?qū)胗脩裟穆?lián)系方式時(shí)）等;然后，多數(shù)社交媒體明確了個(gè)人信息的采集用途，主要用于個(gè)性化服務(wù)、數(shù)據(jù)分析與研究、服務(wù)與產(chǎn)品提供、風(fēng)險(xiǎn)識別、定向推送活動、調(diào)查與活動。但僅少數(shù)APP明確指出個(gè)人信息用于其他用途需再次征得用戶同意，如新浪微博指出除個(gè)人信息保護(hù)政策中指出的場景外，其他場景的個(gè)人信息獲取需重獲用戶明示同意;此外，多數(shù)社交媒體強(qiáng)調(diào)了正當(dāng)與合法原則，較少強(qiáng)調(diào)必要原則，即最少夠用原則，如優(yōu)酷指出基于合法、正當(dāng)合理、誠實(shí)信用、必要的法定原則采集與處理個(gè)人信息。

2.2.2 Cookie、Beacon及相關(guān)技術(shù)的提醒

Cookie、Beacon及相關(guān)技術(shù)主要基于向物理設(shè)備發(fā)送小型數(shù)據(jù)追蹤文件，從而記錄用戶信息行為并被整理于數(shù)據(jù)庫中，使得用戶個(gè)人信息泄露風(fēng)險(xiǎn)加大。社交媒體通常在用戶首次使用服務(wù)時(shí)便向用戶發(fā)送Cookie使用提醒，如Twitter、Snapchat、Reddit等會在網(wǎng)頁版底端彈窗指出使用服務(wù)即表示同意Cookies的使用。本文對Cookie、Beacon及相關(guān)技術(shù)的提醒進(jìn)行了調(diào)研，如表3所示。首先，多數(shù)社交媒體明確了網(wǎng)絡(luò)隱形追蹤技術(shù)的類型，如YouTube指出會利用各種技術(shù)采集信息，包括？Cookie、像素代碼、本地存儲（例如使用瀏覽器緩存應(yīng)用數(shù)據(jù)或網(wǎng)絡(luò)存儲）、數(shù)據(jù)庫與服務(wù)器日志;其次，多數(shù)社交媒體也明確了Cookie、Beacon及相關(guān)技術(shù)使用的作用，主要用于運(yùn)營社交媒體、用戶信息行為分析和廣告投放等，如Snapchat的Cookies使用主要用于用戶設(shè)置和偏好記錄、識別和預(yù)防安全風(fēng)險(xiǎn)、服務(wù)改進(jìn)、廣告投放;再者，明確網(wǎng)絡(luò)隱形追蹤技術(shù)的個(gè)人信息采集模式，Reddit指出通過Cookie采集的信息是通過瀏覽器存儲并在發(fā)出請求時(shí)發(fā)回給的數(shù)據(jù);然后，絕大多數(shù)APP皆設(shè)置有拒絕或禁止網(wǎng)絡(luò)隱形追蹤技術(shù)的操作指引，常表述為用戶可拒絕部分或全部瀏覽器Cookie的選項(xiàng)，也可從瀏覽器中刪除Cookie。此外，部分社交媒體還制定有專門的Cookie政策，如知乎的《知乎Cookie指引》;Instagram、Snapchat、Quora的《Cookie政策》等。

2.2.3 個(gè)人信息儲存及保護(hù)

對于個(gè)人信息的存儲，社交媒體主要對個(gè)人信息的地域、期限及物理媒介等方面進(jìn)行明確，如微信強(qiáng)調(diào)會將境內(nèi)的用戶個(gè)人信息存儲于中國境內(nèi);優(yōu)酷指出僅在成本政策所需目的范圍內(nèi)存儲用戶個(gè)人信息，除非得到用戶同意或法律強(qiáng)制留存，保存期限過后會注銷、清除或匿名化處理個(gè)人信息;百度貼吧將個(gè)人信息的存儲期限界定為百度貼吧服務(wù)和產(chǎn)品使用期內(nèi)，個(gè)人信息皆存儲于中國境內(nèi)，涉及跨境傳輸會按照法律進(jìn)行嚴(yán)格出境安全評估以保障個(gè)人信息安全;Reddit將在100天后刪除除了用于創(chuàng)建帳戶以外收集的所有IP地址。此外，部分個(gè)人信息還會存儲于用戶移動設(shè)備中，如當(dāng)用戶使用微博搜索服務(wù)時(shí)，為提升搜索服務(wù)效率，部分信息會存儲于本地設(shè)備中。

對于個(gè)人信息的保護(hù)，SSL（Secure Sockets Layer）等加密技術(shù)、標(biāo)簽化處理、去標(biāo)識化處理、匿名化處理等是社交媒體個(gè)人信息保護(hù)的常規(guī)方式。去標(biāo)識化是指基于對個(gè)人信息的技術(shù)化處理，使其在不借助額外信息的情況下，無法識別個(gè)人信息主體的過程，且匿名化會使處理后的信息不能被復(fù)原。同時(shí)，社交媒體會進(jìn)行信息保護(hù)安全測評，如微信通過國際信息安全管理體系（International Information Security Management Systems）、ISO27001、TRUSTArc等國際權(quán)威信心安全認(rèn)證，并通過國家網(wǎng)絡(luò)安全等級保護(hù)（3級）的備案與測評。此外，社交媒體還會從企業(yè)制度層面制定信息保護(hù)措施，如YouTube指出會審查在采集、存儲和處理信息方面的做法（包括實(shí)體安全措施），以防止未經(jīng)授權(quán)的人員訪問系統(tǒng)。

2.2.4 個(gè)人信息共享、轉(zhuǎn)讓與披露

社交媒體皆明確了會在用戶明示同意或指示下共享、轉(zhuǎn)讓或披露個(gè)人信息，如Twitter指出當(dāng)用戶授權(quán)第三方Web客戶端或應(yīng)用程序訪問個(gè)人帳戶時(shí)、當(dāng)用戶指示我們與企業(yè)分享用戶您的反饋時(shí)、當(dāng)用戶與通過第三方服務(wù)訪問Twitter的其他人共享直接消息或受保護(hù)推文等信息時(shí)，Twitter可能與第三方服務(wù)共享個(gè)人信息;Reddit指出會在征得用戶同意、與附屬公司、與合作伙伴等情形下分享用戶個(gè)人信息;Quora表示不會將用戶個(gè)人信息轉(zhuǎn)讓給第三方用于營銷目的。

但各社交媒體還指出在未得到用戶明示同意情形下共享、轉(zhuǎn)讓或披露個(gè)人信息的條件，如優(yōu)酷將條件劃定為法定情形下披露與共享、與關(guān)聯(lián)方共享個(gè)人信息、與授權(quán)方共享個(gè)人信息、爭議處理協(xié)助;YouTube的條件涵蓋與域管理員分享、用于外部處理（即向關(guān)聯(lián)公司或其他可信商家或個(gè)人提供個(gè)人信息）、出于法律原因;Snapchat指出在遵守政府要求或適用的法律、規(guī)則或法規(guī)，調(diào)查、補(bǔ)救或執(zhí)行潛在的服務(wù)條款違規(guī)行為，保護(hù)企業(yè)、企業(yè)的用戶或其他人的權(quán)利、財(cái)產(chǎn)和安全，檢測并解決任何欺詐或安全問題的情況下可能披露和共享用戶個(gè)人信息。

2.2.5 個(gè)人信息處理權(quán)益

所有社交媒體均表示用戶具有訪問、改正、移植、停用和刪除個(gè)人信息的權(quán)益。根據(jù)《信息安全技術(shù) 個(gè)人信息安全規(guī)范》，互聯(lián)網(wǎng)服務(wù)及產(chǎn)品在采集用戶個(gè)人信息時(shí)，應(yīng)通過各類方式向用戶明示，并取得用戶同意，如百度貼吧指出用戶可隨時(shí)收回或給予授權(quán)同意、進(jìn)行個(gè)人信息刪除等操作;YouTube指出用戶可隨時(shí)從Google帳號中導(dǎo)出個(gè)人信息的副本，也可以將其從Google帳號中刪除。此外，部分國外社交媒體還明確了用戶有權(quán)限制與反對對個(gè)人信息的特定處理，如Facebook和Instagram指出用戶有權(quán)反對將個(gè)人信息用于執(zhí)行符合公共利益或者追求平臺自身或第三方合法權(quán)益的任務(wù)、用戶有權(quán)反對將個(gè)人信息用于直接營銷，可使用營銷信息中的“退訂”鏈接來行使相關(guān)權(quán)益。

對于社交媒體是否在個(gè)人信息保護(hù)政策中明示用戶處理權(quán)益的操作，本文進(jìn)行了調(diào)研，國內(nèi)社交媒體多通過操作指示進(jìn)行明確，如微信明確推薦通訊錄朋友關(guān)閉操作（點(diǎn)擊“我—設(shè)置—隱私—關(guān)閉向我推薦通訊錄朋友”）、微信支付銀行卡刪除操作（點(diǎn)擊“我—錢包—銀行卡—選擇銀行卡—點(diǎn)擊右上角解除綁定”）等;國外社交媒體多通過鏈接進(jìn)行操作指示，如Google+在隱私政策中提供有刪除特定Google產(chǎn)品與賬號（包括與這些產(chǎn)品關(guān)聯(lián)的個(gè)人信息）的鏈接，Twitter提供訪問、糾正與刪除個(gè)人信息的鏈接，如表4所示。

2.2.6 未成年個(gè)人信息保護(hù)

社交媒體皆制定有針對未成年個(gè)人信息保護(hù)政策，對于國內(nèi)社交媒體，未成年個(gè)人信息保護(hù)條款相似度較高，主要包含如下條款：①本服務(wù)與產(chǎn)品主要面向成年人，若用戶是未滿14周歲的未成年人，在使用服務(wù)與產(chǎn)品前，應(yīng)在父母或其他監(jiān)護(hù)人指導(dǎo)、監(jiān)護(hù)下共同仔細(xì)閱讀本隱私政策;②若您是18周歲以下的未成年人，在使用服務(wù)前，應(yīng)事先取得您的法定監(jiān)護(hù)人或家長的書面同意;③若您是未成年人的監(jiān)護(hù)人，當(dāng)您對您所監(jiān)護(hù)的未成年人的個(gè)人信息有相關(guān)疑問時(shí)，請與我們聯(lián)系;④對于經(jīng)父母或監(jiān)護(hù)人同意使用我們的產(chǎn)品或服務(wù)而收集未成年人個(gè)人信息的情況，我們只會在法律法規(guī)允許、父母或監(jiān)護(hù)人明確同意或者保護(hù)未成年人所必要的情況下使用、共享、轉(zhuǎn)讓或披露此信息;⑤如果我們發(fā)現(xiàn)在未事先獲得可證實(shí)的父母同意的情況下收集了未成年人的個(gè)人信息，將會采取措施盡快刪除相關(guān)信息。對于上述條款，國內(nèi)皆未采取強(qiáng)制措施確保未成年人的社交媒體使用已得到監(jiān)護(hù)人同意，如新浪微博指出，如果18周歲以下用戶在微博上申請注冊賬號，微博將默認(rèn)為用戶已得到監(jiān)護(hù)人的同意。此外，部分社交媒體的國際版與國內(nèi)版的未成年個(gè)人信息保護(hù)政策具有差異性，如QQ國際版明確指出兒童不得出于任何目的使用服務(wù)，且不會在知情的情況下允許任何未年滿16歲的人士提供個(gè)人身份識別信息。

對于國外社交媒體，F(xiàn)acebook會為保護(hù)未成年人，采取特殊保障措施，如對成年人聯(lián)系未成年人設(shè)限。同時(shí)，F(xiàn)acebook針對青少年社交媒體使用制定了指導(dǎo)原則：不要讓陌生人進(jìn)入你的空間、保護(hù)好密碼、每隔一段時(shí)間更換一次密碼、如果看到讓你不適的內(nèi)容請發(fā)聲、不要將個(gè)人信息泄露給剛認(rèn)識的人等;YouTube專門針對未成年制定有《YouTube兒童隱私聲明》，并設(shè)置有兒童須知，包括對兒童個(gè)人信息的采集、分享、家長訪問與控制等;Instagram指出所有年滿13歲的用戶均被視為經(jīng)授權(quán)的帳戶持有人，家長不具備對子女賬戶的訪問權(quán)限，并設(shè)有專門條款幫助未成年人舉報(bào)冒犯性/不恰當(dāng)材料或不良行為，以及欺凌或騷擾行為。

3 社交媒體個(gè)人信息保護(hù)政策的啟示

本文以國內(nèi)外社交媒體為研究對象，采用內(nèi)容分析法探究了社交媒體的個(gè)人信息保護(hù)政策制定現(xiàn)狀，以期從法律層面對個(gè)人信息的非法采集、泄露、濫用等行為進(jìn)行約束?；趯ι缃幻襟w個(gè)人信息保護(hù)政策的實(shí)證調(diào)研，可為社交媒體個(gè)人信息保護(hù)政策完善以及互聯(lián)網(wǎng)安全空間的營造提供如下借鑒：

1）個(gè)人信息保護(hù)法律法規(guī)的落實(shí)。雖然國家層面制定了《網(wǎng)絡(luò)安全法》等系列法律法規(guī)以規(guī)范互聯(lián)網(wǎng)個(gè)人信息采集與利用行為，但由于缺乏針對社交媒體等類型APP隱私保障與信息安全的審核流程，國內(nèi)社交媒體普遍未能達(dá)到最新《信息安全技術(shù) 個(gè)人信息安全規(guī)范》的標(biāo)準(zhǔn)。應(yīng)針對《信息安全技術(shù) 個(gè)人信息安全規(guī)范》的具體規(guī)定，明確法律法規(guī)條款對應(yīng)的懲處措施，政府層面應(yīng)通過制定個(gè)人信息保護(hù)監(jiān)管標(biāo)準(zhǔn)加強(qiáng)行政審核[29]。同時(shí)，還可建立國內(nèi)的個(gè)人信息安全認(rèn)證制度，對企業(yè)個(gè)人信息安全保障程度進(jìn)行定級，以實(shí)現(xiàn)個(gè)人信息合法權(quán)益與社會公共安全利益的最大保障。此外，中國互聯(lián)網(wǎng)協(xié)會、中國互聯(lián)網(wǎng)上網(wǎng)服務(wù)行業(yè)協(xié)會等互聯(lián)網(wǎng)行業(yè)組織可充分發(fā)揮行業(yè)自律的引導(dǎo)作用，面對移動互聯(lián)網(wǎng)環(huán)境下的個(gè)人信息保護(hù)問題，制定互聯(lián)網(wǎng)行業(yè)的個(gè)人信息保護(hù)標(biāo)準(zhǔn)，且定期對行業(yè)內(nèi)企業(yè)的個(gè)人信息保護(hù)政策進(jìn)行審核，使其得到定時(shí)的更新與完善。

2）企業(yè)個(gè)人信息保護(hù)的制度化建設(shè)。由于社交媒體企業(yè)的規(guī)模普遍較大，社交媒體基本建立了較為完善的用戶個(gè)人信息/隱私保護(hù)政策，但個(gè)人信息保護(hù)政策的實(shí)施依托于企業(yè)管理，較少社交媒體的個(gè)人信息保護(hù)政策涉及了組織與制度的建設(shè)。鑒于當(dāng)前國內(nèi)外社交媒體個(gè)人信息泄露事件頻發(fā)的現(xiàn)狀，社交媒體應(yīng)設(shè)立專門的用戶個(gè)人信息保護(hù)團(tuán)隊(duì)或部門，構(gòu)建個(gè)人信息重大安全事故的責(zé)任制，將個(gè)人信息在內(nèi)的數(shù)據(jù)保護(hù)納入企業(yè)戰(zhàn)略，安全、法務(wù)、產(chǎn)品、技術(shù)、交互等不同部門在執(zhí)行層面承擔(dān)個(gè)人信息保護(hù)的具體職責(zé)。同時(shí)，社交媒體企業(yè)應(yīng)建立起個(gè)人信息保護(hù)制度，對個(gè)人信息相關(guān)數(shù)據(jù)進(jìn)行監(jiān)控與限制，確保非必要的工作人員不能接觸到用戶個(gè)人信息，離職時(shí)簽訂個(gè)人信息保密協(xié)議。此外，社交媒體企業(yè)可開展定期個(gè)人信息保護(hù)課程與培訓(xùn)，加強(qiáng)隱私文化的建設(shè)，提升工作人員的個(gè)人信息保護(hù)意識，如騰訊的隱私保護(hù)PBD價(jià)值觀建設(shè)。

3）國內(nèi)個(gè)人信息保護(hù)政策的細(xì)化。國外社交媒體的個(gè)人信息保護(hù)政策多針對自身APP產(chǎn)品和服務(wù)的特征而設(shè)置，如Reddit指出用戶購買Reddit Gold時(shí)會采集用戶交易信息，包括用戶姓名、地址、電子郵件地址以及Reddit Gold的相關(guān)信息;Snapchat會采集用戶與其服務(wù)的互動信息，包括用戶在Discover上觀看的故事、是否使用Spectacles等。相較于國外社交媒體，國內(nèi)社交媒體個(gè)人信息保護(hù)政策覆蓋面與完整性較高，對于個(gè)人信息保護(hù)各方面皆有涉及，但是相關(guān)條例相似度較高，應(yīng)針對自身產(chǎn)品和服務(wù)特點(diǎn)制定政策，如國內(nèi)社交媒體的未成年個(gè)人信息保護(hù)政策多為未成年人需先取得法定監(jiān)護(hù)人或家長的書面同意，或未成年個(gè)人信息的使用、共享、轉(zhuǎn)讓或披露需要父母或監(jiān)護(hù)人明確同意，未明確未成年個(gè)人信息保護(hù)的具體舉措，但國外部分社交媒體制定有未成年個(gè)人信息保護(hù)的具體舉措與指導(dǎo)原則。由于網(wǎng)絡(luò)實(shí)名制已在國內(nèi)得到推廣，為使國內(nèi)未成年個(gè)人信息保護(hù)政策更具針對性與可操作性，可通過如實(shí)名制等模式對未成年用戶進(jìn)行確認(rèn)，采取強(qiáng)制措施確保未成年人的社交媒體使用已得到監(jiān)護(hù)人同意。

參考文獻(xiàn)

[1]鄧若伊，余夢瓏，丁藝，等.以法制保障網(wǎng)絡(luò)空間安全構(gòu)筑網(wǎng)絡(luò)強(qiáng)國——《網(wǎng)絡(luò)安全法》和《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》解讀[J].電子政務(wù)，2017，（2）：10-43.

[2]杜超楠，袁勤儉，岳泉.我國隱私問題研究現(xiàn)狀及熱點(diǎn)主題分析——基于2004-2016年國家自然科學(xué)基金立項(xiàng)數(shù)據(jù)的研究[J].情報(bào)科學(xué)，2018，36（3），99-104.

[3]全國信息安全標(biāo)委會.國家標(biāo)準(zhǔn)GB/T 35273-2017 《信息安全技術(shù) 個(gè)人信息安全規(guī)范》[EB/OL].https：//www.tc260.org.cn/front/postDetail.html？id=20180124211617，2018-12-11.

[4]付少雄，林艷青.歐盟開放科學(xué)云計(jì)劃：規(guī)劃綱領(lǐng)、實(shí)施路徑及啟示[J/OL].圖書館論壇，2019.http：//kns.cnki.net/kcms/detail/44.1306.G2.20181121.1528.004.html，2018-12-28.

[5]涂萌，張綿偉.第三方支付用戶個(gè)人信息安全風(fēng)險(xiǎn)及對策研究[J].情報(bào)理論與實(shí)踐，2018，41（12）：70-75.

[6]朱侯，張明鑫，路永和.社交媒體用戶隱私政策閱讀意愿實(shí)證研究[J].情報(bào)學(xué)報(bào)，2018，37（4）：362-371.

[7]Vishwanath A，Xu W，Ngoh Z.How People Protect Their Privacy on Facebook：A Cost-benefit View[J].Journal of the Association for Information Science and Technology，2018，69（5）：700-709.

[8]Karwatzki S，Dytynko O，Trenz M，Veit D.Beyond the Personalization-Privacy Paradox：Privacy Valuation，Transparency Features，and Service Personalization[J].Journal of Management Information Systems，2017，34（2）：369-400.

[9]王娜，許大辰.移動社交網(wǎng)絡(luò)中個(gè)人信息保護(hù)現(xiàn)狀的調(diào)查與分析——從用戶行為習(xí)慣視角出發(fā)[J].情報(bào)雜志，2015，34（1），185-189，194.

[10]張曉娟，李貞貞.信息隱私關(guān)注、信任與智能手機(jī)用戶的個(gè)人信息安全行為意向[J].現(xiàn)代情報(bào)，2018，38（3）：45-50.

[11]劉魯川，張冰倩，李旭.社交媒體用戶焦慮和潛水行為成因及與信息隱私關(guān)注的關(guān)系[J].情報(bào)資料工作，2018，39（5）：72-80.

[12]梁曉丹，李穎灝，劉芳.在線隱私政策對消費(fèi)者提供個(gè)人信息意愿的影響機(jī)制研究——信息敏感度的調(diào)節(jié)作用[J].管理評論，2018，30（11）：97-107，151.

[13]譚春輝，童林.我國個(gè)人信息保護(hù)政策工具的分析與優(yōu)化建議[J].圖書情報(bào)工作，2017，61（23）：67-75.

[14]王肅之.讀者個(gè)人信息保護(hù)的層次化與規(guī)范化——基于《中華人民共和國公共圖書館法》與《信息安全技術(shù)，個(gè)人信息安全規(guī)范》分析[J].圖書館工作與研究，2018，（6）：5-9.

[15]王莉.大數(shù)據(jù)時(shí)代社交媒體“數(shù)據(jù)隱私”的合理使用——知情同意、未知情同意與參與式同意[J].編輯之友，2018，（1）：36-39.

[16]姬蕾蕾.個(gè)人信息保護(hù)立法路徑比較研究[J].圖書館建設(shè)，2017，（9）：19-25.

[17]Cradock E，Millard D，Stalla-Bourdillon S.Investigating Similarity Between Privacy Policies of Social Networking Sites as a Precursor for Standardization[C]//Proceedings of the 24th International Conference on World Wide Web.Florence，Italy，May18-22，2015：283-289.

[18]楊翱宇.個(gè)人信息保護(hù)的特別機(jī)制研究——以澳門《個(gè)人資料保護(hù)法》為考察樣本[J].圖書館，2018，（3）：68-74.

[19]謝衛(wèi)紅，樊炳東，李忠順，等.電子商務(wù)環(huán)境下網(wǎng)絡(luò)隱私顧慮維度的評估與測量[J].現(xiàn)代情報(bào)，2019，39（1）：137-147.

[20]Sunyaev A，Dehling T，Taylor P L，et al.Availability and Quality of Mobile Health App Privacy Policies[J].Journal of the American Medical Informatics Association，2015，22（1）：28-33.

[21]付少雄，陳曉宇，仝晶晶，等.數(shù)字生活情境下的數(shù)據(jù)、信息和知識 ——第十九屆“亞太數(shù)字圖書館國際會議”綜述[J].圖書館論壇，2018，（1）：144-154.

[22]易斌，劉穎，方錦平，等.電子資源供應(yīng)商網(wǎng)站隱私 政策調(diào)查與思考[J].圖書館，2013，（5）：52-54.

[23]何培育，王瀟睿.智能手機(jī)用戶隱私安全保障機(jī)制研究——基于第三方應(yīng)用程序 “隱私條款” 的分析[J].情報(bào)理論與實(shí)踐，2018，41（10）：40-46.

[24]談詠梅，錢小平.我國網(wǎng)站隱私保護(hù)政策完善之建議[J].現(xiàn)代情報(bào)，2006，（1）：215-217.

[25]宜春市政府信息公開網(wǎng).《網(wǎng)絡(luò)安全法》[EB/OL].http：//xxgk.yichun.gov.cn/ycsjyj/xxgk/fgwj/201802/t20180226_535815.html，2018-12-25.

[26]White House of America.Consumer Privacy Bill of Rights[EB/OL].https：//epic.org/privacy/white_house_consumer_privacy_.html，2019-01-25.

[27]付少雄，陳曉宇，趙海平，等.新加坡高校的科學(xué)數(shù)據(jù)管理實(shí)踐體系[J].圖書館論壇，2019，（2）：141-148.

[28]凱度.2018年凱度中國社交媒體影響報(bào)告[EB/OL].https：//cn.kantar.com/媒體動態(tài)/社交/2018/2018年凱度中國社交媒體影響報(bào)告/，2019-01-05.

[29]趙蓉英，余波.網(wǎng)絡(luò)信息安全研究進(jìn)展與問題探析[J].現(xiàn)代情報(bào)，2018，38（11）：118-124.

（責(zé)任編輯：孫國雷）