摘要：互聯(lián)網(wǎng)企業(yè)往往通過(guò)隱私政策傳達(dá)對(duì)消費(fèi)者數(shù)據(jù)隱私的尊重，但一來(lái)很少有人點(diǎn)開(kāi)并完整地閱讀它，且面對(duì)給定的隱私政策無(wú)法討價(jià)還價(jià)，二來(lái)消費(fèi)者也難以判斷隱私政策的合規(guī)性如何，三來(lái)政府監(jiān)管機(jī)構(gòu)能否以及如何對(duì)隱私政策進(jìn)行執(zhí)法尚不清晰，使得隱私政策并未發(fā)揮它應(yīng)有的功能。實(shí)際上，隱私政策對(duì)內(nèi)是企業(yè)治理規(guī)范，是企業(yè)積極主動(dòng)地?fù)肀щ[私、承擔(dān)社會(huì)責(zé)任的體現(xiàn)，對(duì)外則是溝通消費(fèi)者與企業(yè)數(shù)據(jù)處理行為的橋梁，是政府監(jiān)管的重要內(nèi)容。隱私政策文本不僅要體現(xiàn)法律遵從性，更要落實(shí)到企業(yè)數(shù)據(jù)合規(guī)實(shí)踐中，在企業(yè)、政府、行業(yè)與消費(fèi)者之間形成良性互動(dòng)，搭建數(shù)字經(jīng)濟(jì)時(shí)代隱私保護(hù)的共同體。

關(guān)鍵詞：隱私政策;數(shù)據(jù)合規(guī);公司治理;社會(huì)責(zé)任

基金項(xiàng)目：河南省哲學(xué)社會(huì)科學(xué)規(guī)劃項(xiàng)目“大數(shù)據(jù)企業(yè)數(shù)據(jù)合規(guī)機(jī)制研究”（2020BFX005）;司法部國(guó)家法治與法學(xué)理論研究一般項(xiàng)目“個(gè)人數(shù)據(jù)的法律保護(hù)研究”（17SFB2005）

中圖分類號(hào)：D922.16 ? ?文獻(xiàn)標(biāo)識(shí)碼：A ? ?文章編號(hào)：1003-854X（2020）10-0136-09

數(shù)據(jù)合規(guī)對(duì)互聯(lián)網(wǎng)企業(yè)影響甚巨：一是關(guān)乎主動(dòng)還是被動(dòng)面對(duì)法律風(fēng)險(xiǎn)。事先主動(dòng)采取措施避免數(shù)據(jù)合規(guī)問(wèn)題，通常比應(yīng)對(duì)后續(xù)調(diào)查、負(fù)面輿論和訴訟風(fēng)險(xiǎn)低得多，且成本低廉;二是如果想成為行業(yè)領(lǐng)軍企業(yè)，那必須考慮對(duì)法律規(guī)定和商業(yè)需求做更全面的評(píng)估;三是在與政府職能部門關(guān)系方面，要考慮企業(yè)面對(duì)多大的政府執(zhí)法風(fēng)險(xiǎn);四是在不同法域，要考慮不同程度和不同模式的數(shù)據(jù)保護(hù)法律，如歐盟和美國(guó)之間的消費(fèi)者數(shù)據(jù)傳輸和共享。① 在數(shù)據(jù)合規(guī)實(shí)踐中，隱私政策是一項(xiàng)特殊的存在。隱私政策是互聯(lián)網(wǎng)企業(yè)向消費(fèi)者發(fā)布的關(guān)于個(gè)人信息收集、存儲(chǔ)、利用等行為的告知與解釋性聲明。除“隱私政策”外，“法律聲明及隱私政策”、“隱私保護(hù)指引”、“用戶服務(wù)協(xié)議及隱私保護(hù)政策”、“隱私權(quán)政策”、“個(gè)人信息保護(hù)政策”等皆代表相同涵義。隱私政策多以一個(gè)文本鏈接的形式存在，它像一把自帶免責(zé)屬性的尚方寶劍，為互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)合規(guī)保駕護(hù)航。早在1997年互聯(lián)網(wǎng)發(fā)展初期，時(shí)任美國(guó)總統(tǒng)的克林頓就批準(zhǔn)公布了《全球電子商務(wù)框架報(bào)告》，強(qiáng)調(diào)在保護(hù)互聯(lián)網(wǎng)隱私方面，私營(yíng)企業(yè)應(yīng)當(dāng)起到主導(dǎo)作用。這既與美國(guó)保護(hù)消費(fèi)者隱私的模式交相呼應(yīng)，也深刻反映出法律的特色——徒法不足以自行。數(shù)據(jù)保護(hù)立法再完美，其實(shí)現(xiàn)也要落實(shí)到企業(yè)的數(shù)據(jù)合規(guī)實(shí)踐中，而這其中，隱私政策是重要一環(huán)。

一、隱私政策的屬性分析

我們常在互聯(lián)網(wǎng)企業(yè)網(wǎng)站或APP上發(fā)現(xiàn)“隱私政策”的鏈接。盡管少有人點(diǎn)開(kāi)并完整的閱讀它，它卻在企業(yè)數(shù)據(jù)合規(guī)實(shí)踐中承擔(dān)越來(lái)越重要的角色，而這一“功能定位”要從其法律屬性談起。

（一）告知與社會(huì)承諾屬性

歐盟《一般數(shù)據(jù)保護(hù)條例》第5條第1款規(guī)定處理個(gè)人數(shù)據(jù)應(yīng)遵循合法、合理和透明三原則，如果說(shuō)合法性和合理性尚能做到有“跡”可循，那透明性如何實(shí)現(xiàn)？答曰：以法定義務(wù)形式實(shí)現(xiàn)。基于巨大的知識(shí)與資本鴻溝，數(shù)據(jù)主體不可能主動(dòng)獲取詳細(xì)透明的企業(yè)數(shù)據(jù)處理行為，企業(yè)需承擔(dān)信息披露的法定義務(wù)。原因很簡(jiǎn)單，“與買方占有相關(guān)信息的情況相比，當(dāng)賣方占有相關(guān)信息時(shí)，社會(huì)對(duì)信息披露義務(wù)的需求更強(qiáng)烈。”② 唯有讓公眾知情，消費(fèi)者才能放心地交由企業(yè)收集、處理其個(gè)人數(shù)據(jù)。不僅在歐洲，美國(guó)雖沒(méi)有統(tǒng)一的數(shù)據(jù)保護(hù)法，但聯(lián)邦貿(mào)易委員會(huì)卻創(chuàng)制規(guī)則，要求企業(yè)提供在消費(fèi)者看來(lái)有價(jià)值的信息，而不僅僅是禁止誤導(dǎo)性說(shuō)明。這種規(guī)則被稱作“強(qiáng)制告知”，即使企業(yè)并沒(méi)有被指控為虛假說(shuō)明，它們?nèi)杂锌赡鼙灰髨?zhí)行強(qiáng)制告知。③ 在此意義上，隱私政策正是企業(yè)收集、利用個(gè)人數(shù)據(jù)“告知”義務(wù)的體現(xiàn)。

當(dāng)然，告知并不僅僅是透明性原則的體現(xiàn)，它還與社會(huì)承諾相連。一方面，互聯(lián)網(wǎng)經(jīng)濟(jì)是信任經(jīng)濟(jì)。2012年，美國(guó)總統(tǒng)奧巴馬發(fā)表的《網(wǎng)絡(luò)環(huán)境下消費(fèi)者數(shù)據(jù)隱私保護(hù)》工作報(bào)告指出：“信任對(duì)于維持網(wǎng)絡(luò)技術(shù)給美國(guó)和世界其他國(guó)家?guī)?lái)的社會(huì)經(jīng)濟(jì)效益至關(guān)重要。正是基于消費(fèi)者對(duì)互聯(lián)網(wǎng)企業(yè)公平和負(fù)責(zé)任地處理個(gè)人信息的信任，消費(fèi)者才選擇在互聯(lián)網(wǎng)上展示他們的活力、參與政治活動(dòng)、建立和發(fā)展網(wǎng)絡(luò)友情和從事商業(yè)活動(dòng)?！雹?企業(yè)只有獲取并維持市場(chǎng)上消費(fèi)者的信任，才能繼續(xù)在數(shù)字經(jīng)濟(jì)領(lǐng)域生存和發(fā)展。而經(jīng)由隱私政策完成的“告知”正是獲取消費(fèi)者“信任”的最佳途徑，同時(shí)，隱私政策也由“告知”形成“社會(huì)承諾”，因?yàn)橹挥谐兄Z，才能贏得社會(huì)信任。另一方面，隱私政策的社會(huì)承諾屬性還是企業(yè)社會(huì)責(zé)任的體現(xiàn)。社會(huì)責(zé)任是企業(yè)管理的一個(gè)基本要素，“企業(yè)管理者不像從前那樣僅僅代表所有者的單方利益;他們?cè)絹?lái)越多地基于受托人角色行使職能，……今天，每家公司的高層主管不僅對(duì)股東負(fù)責(zé)，還對(duì)企業(yè)成員、消費(fèi)者和公眾負(fù)責(zé)?！雹?當(dāng)越來(lái)越多的公眾關(guān)注其數(shù)據(jù)隱私時(shí)，企業(yè)就必須對(duì)此作出回應(yīng)，隱私政策也不再是純粹的閱讀文本，而是向功能文本轉(zhuǎn)變。換言之，隱私政策就是企業(yè)向消費(fèi)者作出保障其數(shù)據(jù)權(quán)利的社會(huì)承諾。即便消費(fèi)者不怎么閱讀隱私政策，隱私政策也成為監(jiān)管機(jī)構(gòu)、隱私權(quán)民權(quán)組織及社會(huì)媒體聚焦打量的重點(diǎn)。如果一個(gè)企業(yè)真心實(shí)意地遵守這些政策條款，那么可以得出結(jié)論：他們表現(xiàn)出了對(duì)公民隱私權(quán)的尊重。⑥

（二）服務(wù)協(xié)議屬性

隨著隱私政策由單純的“內(nèi)容介紹型”向復(fù)合的“告知承諾型”轉(zhuǎn)變，隱私政策的服務(wù)協(xié)議屬性日益被學(xué)者們認(rèn)可，國(guó)外如Scott Killingsworth認(rèn)為企業(yè)隱私政策是網(wǎng)站與用戶間的合同⑦，國(guó)內(nèi)如談詠梅等認(rèn)為隱私政策“是建立在雙方合意基礎(chǔ)上的協(xié)議，是網(wǎng)絡(luò)服務(wù)合同不可缺少的一部分”。⑧ 很多企業(yè)隱私政策文本上旗幟鮮明地表明了這一點(diǎn)，如《酷狗隱私政策》“本隱私政策為《酷狗用戶服務(wù)協(xié)議》的重要組成部分”，《58同城隱私政策》、《拼多多隱私權(quán)政策》證明文本中亦有相同或相似表述。司法實(shí)踐也基本認(rèn)可合同屬性，如“盧星與小米科技有限責(zé)任公司網(wǎng)絡(luò)購(gòu)物合同糾紛”案中，法院就將小米隱私政策視為合同。⑨

這個(gè)判斷在總體方向上沒(méi)什么問(wèn)題，但須注意以下四點(diǎn)：第一，隱私政策文本用語(yǔ)必須清晰直白、簡(jiǎn)潔易懂，充斥著法律術(shù)語(yǔ)且晦澀難懂的隱私政策文本不能簡(jiǎn)單認(rèn)定為服務(wù)協(xié)議。如2009年初，F(xiàn)acebook的律師團(tuán)隊(duì)對(duì)網(wǎng)站的保密條款做了他們認(rèn)為很細(xì)微的變動(dòng)，這些文件充斥著大量法律術(shù)語(yǔ)，他們認(rèn)為用戶幾乎不會(huì)去認(rèn)真閱讀這些條款。但一些用戶還是注意到了這些修訂，并很快成立了一個(gè)“反對(duì)新服務(wù)條款者”的小組，成員達(dá)到12萬(wàn)。扎克伯格被迫取消新版本，并保證以后在制定網(wǎng)站相關(guān)文件時(shí)使用大家都能理解的語(yǔ)言，確保條款反映出用戶的原則和價(jià)值⑩;第二，隱私政策不能泛泛而談、空洞無(wú)物，隱私政策至少應(yīng)當(dāng)闡明數(shù)據(jù)收集的種類與目的、數(shù)據(jù)利用的限制以及數(shù)據(jù)主體的各項(xiàng)權(quán)利，否則難以認(rèn)定其協(xié)議屬性。如美國(guó)在一起涉及航空公司非法共享乘客信息的案件中，對(duì)其隱私政策的合同屬性不予認(rèn)可，理由是過(guò)于寬泛的聲明并不構(gòu)成合同條款;第三，對(duì)隱私政策表示“理解”并“同意”的方式不同，也影響著隱私政策的合同屬性認(rèn)定。一般而言，網(wǎng)絡(luò)上表達(dá)同意的情形分兩種：點(diǎn)擊生效（明示）和瀏覽生效（默認(rèn)）。 前者經(jīng)由點(diǎn)擊“我同意”或“我接受”按鈕，而按鈕又在文本的最下方，往往需要滑動(dòng)頁(yè)面，這個(gè)過(guò)程明確傳達(dá)了“知情同意”的味道。而后者無(wú)論在程序上還是在實(shí)質(zhì)上，都無(wú)法體現(xiàn)真正的“知情同意”，法院也會(huì)認(rèn)為隱私政策僅僅是一份聲明，而不具備協(xié)議屬性;第四，理想中的隱私政策與用戶服務(wù)協(xié)議并不沖突，但現(xiàn)實(shí)中有很多例外情形，如《小米商城隱私政策》就規(guī)定，“如果您同意了適用的用戶協(xié)議，并且此類用戶協(xié)議和本隱私政策之間存在不一致，將以此類用戶協(xié)議為準(zhǔn)”。還有一些巨型網(wǎng)絡(luò)公司如百度、騰訊，往往有一個(gè)總的隱私政策和各產(chǎn)品/服務(wù)的單行隱私政策，此時(shí)，各產(chǎn)品的隱私政策多優(yōu)先適用。當(dāng)然，企業(yè)對(duì)隱私政策和用戶協(xié)議效力大小的自行認(rèn)定并不一定就是最終結(jié)果，但從法理上講，“有利于數(shù)據(jù)主體保護(hù)的條款優(yōu)先”。

（三）公司治理規(guī)范

成熟的大型公司有一個(gè)特點(diǎn)，它們有能力擁有“政治和專門制定政策的機(jī)構(gòu)，使它們擺脫日常運(yùn)營(yíng)中的真實(shí)難題，從足夠長(zhǎng)遠(yuǎn)的角度看待問(wèn)題，并考慮到組織與社會(huì)的關(guān)系?！?企業(yè)的隱私官員（或法律總顧問(wèn)）必須參與到公司制定戰(zhàn)略決策的過(guò)程中去，如果沒(méi)有，那這個(gè)企業(yè)就是在自尋煩惱。沒(méi)有人會(huì)為隱私付費(fèi)，這曾經(jīng)是真的，但情況正在發(fā)生變化。2000年的一項(xiàng)研究發(fā)現(xiàn)，如果消費(fèi)者覺(jué)得自己的隱私受到了保護(hù)，他們每年會(huì)增加60億美元的互聯(lián)網(wǎng)消費(fèi)。 來(lái)自卡內(nèi)基·梅隆大學(xué)的研究結(jié)果也表明，隱私很可能成為數(shù)字時(shí)代企業(yè)的一項(xiàng)重要競(jìng)爭(zhēng)優(yōu)勢(shì)：“與認(rèn)為消費(fèi)者不大可能為隱私付費(fèi)的常規(guī)觀點(diǎn)相反，消費(fèi)者可能會(huì)愿意支付額外費(fèi)用來(lái)保護(hù)隱私。我們的研究結(jié)果還表明，那些運(yùn)用技術(shù)手段展現(xiàn)其正面隱私政策態(tài)度的企業(yè)可能會(huì)由此獲得競(jìng)爭(zhēng)優(yōu)勢(shì)。” 可見(jiàn)，消費(fèi)者面對(duì)日益嚴(yán)重的隱私危機(jī)，他們已經(jīng)做好準(zhǔn)備為隱私付費(fèi)?！袄忡R門”爆發(fā)后，原先名不見(jiàn)經(jīng)傳的網(wǎng)絡(luò)搜索引擎DuckDuckGo瞬間爆紅，搜索量增長(zhǎng)達(dá)30%以上，其賣點(diǎn)正是“從不追蹤用戶”且“從不過(guò)濾信息”。雖然搜索結(jié)果針對(duì)性方面有所欠缺，卻贏得了諸多隱私敏感用戶的支持。

隱私政策對(duì)外是溝通消費(fèi)者信任與達(dá)成協(xié)議的橋梁，對(duì)內(nèi)則是公司治理的重要規(guī)范。首先，隱私政策是企業(yè)合規(guī)風(fēng)險(xiǎn)評(píng)估的重要指標(biāo)?！俺晒Φ碾[私保護(hù)不是通過(guò)證明他人享有統(tǒng)治權(quán)和同意權(quán)來(lái)衡量的，而是在實(shí)際生活中預(yù)防實(shí)質(zhì)損害，例如，防止數(shù)據(jù)泄露，以讓人信賴的方式保護(hù)那些處于岌岌可危狀態(tài)的信息?！送?，此種做法已經(jīng)將隱私從一個(gè)遵循法規(guī)的活動(dòng)轉(zhuǎn)向風(fēng)險(xiǎn)評(píng)估的步驟，要求企業(yè)在做出有關(guān)產(chǎn)品設(shè)計(jì)、市場(chǎng)準(zhǔn)入和政策發(fā)展的決策時(shí)嵌入隱私?！?在網(wǎng)絡(luò)與數(shù)字經(jīng)濟(jì)情境中談隱私保護(hù)，必然要求企業(yè)擁有一個(gè)動(dòng)態(tài)的、前瞻性的隱私展望：它不僅僅是法令和規(guī)章，而越來(lái)越成為企業(yè)發(fā)展風(fēng)險(xiǎn)管理實(shí)踐的一部分。其次，隱私政策督促企業(yè)自產(chǎn)品/服務(wù)設(shè)計(jì)之初就嵌入隱私。該理念最早由加拿大信息及隱私專員安·卡沃基安提出，并逐漸成為美國(guó)聯(lián)邦貿(mào)易委員會(huì)倡導(dǎo)的商業(yè)及政策制定框架的基礎(chǔ)。 企業(yè)層面的決策是避免隱私受到侵害的最佳途徑，就此而言，隱私保護(hù)是一段旅程而不是終點(diǎn)，隱私討論必須要從合規(guī)辦公室轉(zhuǎn)移至整個(gè)公司開(kāi)發(fā)新產(chǎn)品和服務(wù)的過(guò)程中。 邁阿密大學(xué)邁克爾·弗魯姆金教授提出一個(gè)有趣的想法：要求政府和大數(shù)據(jù)依托企業(yè)仿照環(huán)境影響報(bào)告，擬定隱私影響條款。這既有助于告知公眾數(shù)據(jù)收集的內(nèi)容和原因、數(shù)據(jù)存儲(chǔ)和使用的方式，也會(huì)鼓勵(lì)決策者在任何項(xiàng)目開(kāi)發(fā)的早期階段就考慮隱私的問(wèn)題。 再次，隱私政策還可能是企業(yè)進(jìn)行數(shù)據(jù)跨境轉(zhuǎn)移、拓展國(guó)際業(yè)務(wù)的必備要件。2016年，歐美就個(gè)人數(shù)據(jù)跨境轉(zhuǎn)移達(dá)成“歐盟—美國(guó)隱私盾”協(xié)議，相比之前的安全港協(xié)議，其進(jìn)步之處在于企業(yè)需承擔(dān)更強(qiáng)義務(wù)。美國(guó)企業(yè)一旦提交加入隱私盾的申請(qǐng)和確認(rèn)書(shū)，就應(yīng)當(dāng)完全遵守其中的各項(xiàng)隱私原則，公開(kāi)企業(yè)隱私政策，接受美國(guó)商務(wù)部、聯(lián)邦貿(mào)易委員會(huì)等有權(quán)部門的監(jiān)督和執(zhí)法。 可見(jiàn)，數(shù)據(jù)保護(hù)水平相對(duì)較低地區(qū)的大數(shù)據(jù)企業(yè)要想走出國(guó)門，離不開(kāi)完善且合規(guī)的隱私政策。

（四）行業(yè)自律規(guī)范

從發(fā)展歷程看，市場(chǎng)對(duì)消費(fèi)者個(gè)人數(shù)據(jù)的態(tài)度呈現(xiàn)出一個(gè)由無(wú)視到尊重、由恣意到規(guī)制、由混亂到有序的過(guò)程，在這個(gè)過(guò)程中，行業(yè)自律占據(jù)重要地位。大數(shù)據(jù)時(shí)代，消費(fèi)者數(shù)據(jù)資源的挖掘與利用成為數(shù)據(jù)經(jīng)濟(jì)發(fā)展的“石油”，但這一過(guò)程不能以公民隱私為代價(jià)。面對(duì)法律越發(fā)嚴(yán)格限制的威脅時(shí)，各行業(yè)往往會(huì)承諾進(jìn)行自我監(jiān)管。原因有二：其一，市場(chǎng)的特殊地位。市場(chǎng)既是消費(fèi)者數(shù)據(jù)隱私的潛在威脅者，又是數(shù)據(jù)保護(hù)的前沿實(shí)踐者。早有學(xué)者指出：“非官方手段在保護(hù)個(gè)人隱私方面往往更加高效、敏感。這一點(diǎn)在保護(hù)隱私權(quán)的具體例子中已得到證實(shí)——通過(guò)科技手段、市場(chǎng)、行業(yè)自律、企業(yè)競(jìng)爭(zhēng)以及個(gè)人判斷，人們可以獲得相當(dāng)周全的隱私權(quán)保護(hù)?！?其二，行業(yè)自律可降低企業(yè)生存與發(fā)展中的風(fēng)險(xiǎn)。企業(yè)決定自律可能會(huì)因?yàn)閾?dān)心消費(fèi)者的抵制，更可能是出于擔(dān)心政府的規(guī)制比自我約束更加繁重。美國(guó)聯(lián)邦貿(mào)易委員會(huì)曾于1998年公布了一個(gè)調(diào)查報(bào)告，認(rèn)為有必要進(jìn)行正式立法以確?；ヂ?lián)網(wǎng)隱私得到保護(hù)，并提出了立法構(gòu)想。但該意見(jiàn)遭到美國(guó)企業(yè)界的強(qiáng)烈反對(duì)，他們強(qiáng)調(diào)到2000年，美國(guó)制定隱私政策的網(wǎng)站已經(jīng)增加到90%，這說(shuō)明情況比聯(lián)邦貿(mào)易委員會(huì)進(jìn)行調(diào)查時(shí)已得到極大的改善。當(dāng)然，企業(yè)界也深知網(wǎng)站自我規(guī)范的實(shí)現(xiàn)是一個(gè)問(wèn)題，可行的辦法就是成立自律組織，對(duì)網(wǎng)站隱私政策進(jìn)行必要監(jiān)督。2008年，世界上一些主要的網(wǎng)絡(luò)公司簽署了《全球網(wǎng)絡(luò)倡議》，它要求簽署公司和其他組織“遵守并保護(hù)用戶對(duì)言論自由和隱私的權(quán)利”。 2012年，我國(guó)百度、奇虎360、騰訊等12家搜索引擎企業(yè)在北京簽署了《互聯(lián)網(wǎng)搜索引擎服務(wù)自律公約》，聲明搜索企業(yè)有義務(wù)保護(hù)用戶隱私和個(gè)人信息安全。

制定隱私規(guī)則是行業(yè)自律的主要措施，而這些規(guī)則又要求互聯(lián)網(wǎng)企業(yè)發(fā)布并遵守隱私政策。如美國(guó)直銷協(xié)會(huì)、在線隱私聯(lián)盟和網(wǎng)絡(luò)廣告促進(jìn)會(huì)等皆為其成員制定隱私規(guī)則或隱私指引，要求成員企業(yè)發(fā)布并遵守隱私政策。網(wǎng)站必須全面告知消費(fèi)者關(guān)于個(gè)人數(shù)據(jù)處理的行為，包括數(shù)據(jù)收集的種類、用途、存儲(chǔ)期限以及是否與第三方共享、轉(zhuǎn)移等等。對(duì)這些團(tuán)體而言，自律意味著有一個(gè)明確的隱私政策，并在企業(yè)進(jìn)行初次或二次三次個(gè)人數(shù)據(jù)處理時(shí)，給消費(fèi)者提供選擇性退出的機(jī)會(huì)。 通過(guò)對(duì)國(guó)內(nèi)一些互聯(lián)網(wǎng)企業(yè)隱私政策文本的閱讀發(fā)現(xiàn)，隱私政策與產(chǎn)品/服務(wù)、場(chǎng)景的結(jié)合越來(lái)越緊密，如在線購(gòu)物類的隱私政策比較接近、社交交友類的隱私政策也相對(duì)趨同，這一方面表明隱私政策呈現(xiàn)類型化、個(gè)性化、定制化的趨勢(shì)，也表明自律規(guī)范正在潛移默化地影響著企業(yè)數(shù)據(jù)處理行為。

二、隱私政策是企業(yè)數(shù)據(jù)合規(guī)從文本到實(shí)踐的連接點(diǎn)

隱私之于信息經(jīng)濟(jì)，如同消費(fèi)者權(quán)益保護(hù)和環(huán)境問(wèn)題之于20世紀(jì)的工業(yè)社會(huì)。 可見(jiàn)，隱私正是信息社會(huì)“木桶理論”中的那塊“短板”，互聯(lián)網(wǎng)經(jīng)濟(jì)的規(guī)模、效益，將最終取決于消費(fèi)者的隱私保護(hù)水平。那么，作為普通消費(fèi)者唯一能接觸到的隱私政策，在互聯(lián)網(wǎng)經(jīng)濟(jì)中又處于什么地位，或者說(shuō)，承擔(dān)何種功能呢？

（一）數(shù)據(jù)隱私法要貫徹到隱私政策文本中

網(wǎng)絡(luò)環(huán)境下，法律和技術(shù)對(duì)消費(fèi)者數(shù)據(jù)保護(hù)都有著重要作用。但“與通過(guò)法律界定信息收集者與信息提供者權(quán)利義務(wù)關(guān)系的調(diào)整方式相比，在法律上強(qiáng)制性要求技術(shù)措施在設(shè)計(jì)上必須包含信息隱私保護(hù)的技術(shù)效果將是一個(gè)更直接、更有效的方法。”換句話說(shuō)，法律塑造特定的隱私實(shí)踐，它們構(gòu)成了隱私方法的“起點(diǎn)”，或者是隱私三角形的“底邊”。關(guān)注消費(fèi)者隱私，首先應(yīng)關(guān)注隱私實(shí)踐的法律遵從性問(wèn)題。如果將隱私政策視為一種具體隱私實(shí)踐的話，那首先要做的，就是將數(shù)據(jù)保護(hù)法中的義務(wù)性規(guī)范貫徹到隱私政策文本中。通過(guò)對(duì)美國(guó)和歐盟的互聯(lián)網(wǎng)經(jīng)濟(jì)政策和數(shù)據(jù)保護(hù)法進(jìn)行梳理，也能發(fā)現(xiàn)這個(gè)趨勢(shì)。

先看美國(guó)。2010年奧巴馬政府發(fā)布《總統(tǒng)的隱私藍(lán)圖》和《消費(fèi)者隱私權(quán)人權(quán)法案》，由商務(wù)部推動(dòng)的互聯(lián)網(wǎng)政策任務(wù)組，負(fù)責(zé)協(xié)調(diào)各政府機(jī)構(gòu)，全面審查其描述的“在隱私政策、版權(quán)、全球自由信息流動(dòng)、網(wǎng)絡(luò)安全和互聯(lián)網(wǎng)經(jīng)濟(jì)中的創(chuàng)新之間的關(guān)系”。 2011年《商業(yè)隱私權(quán)利法案》力圖“公平協(xié)調(diào)處理保護(hù)消費(fèi)者免遭未經(jīng)授權(quán)的跟蹤和允許企業(yè)機(jī)動(dòng)靈活地提供新的服務(wù)和技術(shù)這二者之間的矛盾沖突。在該法案約束之下，公司必須依法對(duì)其收集和使用私人信息的途徑和方法做清晰表述，同時(shí)向消費(fèi)者提供選擇性拒絕任何未經(jīng)授權(quán)的信息收集行為之權(quán)限?！?2012年2月，奧巴馬又簽署白宮發(fā)布的工作報(bào)告《網(wǎng)絡(luò)環(huán)境下消費(fèi)者數(shù)據(jù)隱私保護(hù)》，介紹消費(fèi)者隱私權(quán)利法案七項(xiàng)原則的同時(shí)，敦促多方利益主體參與推動(dòng)，盡快形成執(zhí)行細(xì)則?！秲和W(wǎng)絡(luò)隱私保護(hù)法》更進(jìn)一步，明確規(guī)定了面向家長(zhǎng)的網(wǎng)站隱私聲明中必須具備的要素，其目的在于避免出現(xiàn)那種不容討價(jià)還價(jià)的隱私聲明和用戶同意。通過(guò)指出可接受的隱私聲明的主要框架，該法踏出了解決信息不對(duì)稱問(wèn)題的第一步。 2018年美國(guó)《加州消費(fèi)者隱私法案》不僅規(guī)定企業(yè)在線收集加州消費(fèi)者數(shù)據(jù)前，必須先發(fā)布網(wǎng)站隱私聲明，而且詳列了企業(yè)應(yīng)當(dāng)主動(dòng)披露的事項(xiàng)和應(yīng)消費(fèi)者要求應(yīng)當(dāng)披露的事項(xiàng)。

再看歐盟。《一般數(shù)據(jù)保護(hù)條例》兩個(gè)條款與企業(yè)隱私政策息息相關(guān)：第12條是基于數(shù)據(jù)處理的透明性原則，要求企業(yè)用“簡(jiǎn)潔、透明、易懂和易于獲取”的書(shū)面形式，以清晰和直白的語(yǔ)言，向數(shù)據(jù)主體提供詳細(xì)的隱私通知，披露數(shù)據(jù)控制者的身份和聯(lián)系方式、數(shù)據(jù)保護(hù)官的聯(lián)系方式、數(shù)據(jù)處理目的、數(shù)據(jù)處理法律依據(jù)、數(shù)據(jù)控制者或第三方的正當(dāng)利益、數(shù)據(jù)接收者的類型、數(shù)據(jù)存儲(chǔ)期限、數(shù)據(jù)主體權(quán)利等;第47條則指向有約束力的公司規(guī)則，其性質(zhì)與公司隱私政策等同，可視為有效服務(wù)協(xié)議的組成部分。除明確賦予數(shù)據(jù)主體可執(zhí)行的數(shù)據(jù)權(quán)利外，有約束力的公司規(guī)則應(yīng)當(dāng)至少明確：企業(yè)集團(tuán)或其他經(jīng)濟(jì)主體及其聯(lián)系方式、有關(guān)數(shù)據(jù)轉(zhuǎn)移的規(guī)定、規(guī)則的法律約束效力、對(duì)一般數(shù)據(jù)保護(hù)原則的適用、責(zé)任承擔(dān)及免除情形、如何將公司規(guī)則提供給數(shù)據(jù)主體、數(shù)據(jù)保護(hù)官的任務(wù)、申訴程序、公司內(nèi)部如何實(shí)現(xiàn)對(duì)規(guī)則的遵守等等。

除互聯(lián)網(wǎng)經(jīng)濟(jì)政策和數(shù)據(jù)保護(hù)法試圖將其精神和義務(wù)性規(guī)范貫徹到企業(yè)隱私政策外，數(shù)據(jù)保護(hù)或執(zhí)法機(jī)構(gòu)也不斷推進(jìn)隱私政策的完善。如美國(guó)聯(lián)邦貿(mào)易委員會(huì)很早就根據(jù)反不正當(dāng)競(jìng)爭(zhēng)法理論敦促企業(yè)發(fā)布網(wǎng)站隱私聲明，而如果企業(yè)未能遵守自身的通知、規(guī)程和聲明，在大多數(shù)情況下會(huì)因?yàn)檫`反包括反不正當(dāng)競(jìng)爭(zhēng)法和侵權(quán)法（虛假陳述）在內(nèi)的多種法律而遭受處罰。 美國(guó)商務(wù)部也不甘落后，在1998年發(fā)布的《隱私權(quán)保護(hù)的有效自律規(guī)范》草案中，強(qiáng)調(diào)為保證自律規(guī)范的實(shí)施效果，監(jiān)管部門有權(quán)驗(yàn)證企業(yè)在實(shí)踐方面是否遵守隱私政策。如果企業(yè)不執(zhí)行隱私政策，則應(yīng)承擔(dān)相應(yīng)后果。 2010年又發(fā)布了題為“網(wǎng)絡(luò)經(jīng)濟(jì)中的商業(yè)數(shù)據(jù)隱私與創(chuàng)新：一個(gè)動(dòng)態(tài)的政策框架”的隱私報(bào)告，該框架的可取之處包括：重構(gòu)“公平市場(chǎng)信息實(shí)踐原則”，行業(yè)隱私政策的標(biāo)準(zhǔn)化，成立直接與聯(lián)邦貿(mào)易委員會(huì)展開(kāi)合作的隱私政策辦公室，……等等。

問(wèn)題探討到這里，不禁要問(wèn)：即使將對(duì)政策和法律的遵從性內(nèi)化進(jìn)企業(yè)的隱私政策中，隱私政策真的能發(fā)揮其規(guī)制企業(yè)數(shù)據(jù)處理行為的功效嗎？畢竟，幾乎沒(méi)有人有時(shí)間、精力或者決心瀏覽一遍各不相同的隱私政策。更尖刻的評(píng)論指出：“只有在臆想的世界中用戶才真正閱讀這些通知的內(nèi)容并在表明其同意之前真的理解其含義。‘通知和同意在服務(wù)者和用戶之間形成了一個(gè)不平等的有關(guān)隱私的談判平臺(tái)?！@是一種市場(chǎng)失效?！?的確，隱私政策在發(fā)揮其“告知與同意”的功能上效果大打折扣，但萬(wàn)不可忘記，企業(yè)隱私政策還有其“規(guī)范”功能，還能因其承諾屬性和合同屬性成為監(jiān)管機(jī)構(gòu)的執(zhí)法對(duì)象——“除了法律可能具有的規(guī)定之外，它們還設(shè)定了商業(yè)使用數(shù)據(jù)的界限，根據(jù)消費(fèi)者保護(hù)法規(guī)確定了可實(shí)施的法律責(zé)任。它們對(duì)信息披露的要求可以迫使公司對(duì)它們的隱私實(shí)踐進(jìn)行評(píng)估，并在其對(duì)消費(fèi)者信息的處理中強(qiáng)調(diào)紀(jì)律?！?換言之，企業(yè)絕不會(huì)因發(fā)布隱私政策就自動(dòng)獲得了數(shù)據(jù)處理的正當(dāng)性，這僅僅是一個(gè)開(kāi)始，隱私政策也絕不是一份束之高閣的宣示性材料，而是企業(yè)數(shù)據(jù)合規(guī)從文本到實(shí)踐的連接點(diǎn)。

（二）隱私政策終要落實(shí)到企業(yè)隱私實(shí)踐中

“從設(shè)計(jì)著手隱私”理論“把隱私看作一個(gè)商業(yè)問(wèn)題而不是依從性問(wèn)題，達(dá)到隱私保護(hù)和承諾功能的雙贏”。 互聯(lián)網(wǎng)企業(yè)擁抱大數(shù)據(jù)時(shí)代的正確姿勢(shì)絕非眼中只有數(shù)據(jù)收集和挖掘利用，而是要把隱私看作默認(rèn)需求，主動(dòng)而非被動(dòng)地將隱私嵌入到產(chǎn)品/服務(wù)設(shè)計(jì)中，實(shí)現(xiàn)數(shù)字經(jīng)濟(jì)和隱私保護(hù)的正和博弈。而在此過(guò)程中，出臺(tái)并將隱私政策落實(shí)到企業(yè)隱私實(shí)踐中去是至關(guān)重要的一步。

1. 隱私官員職業(yè)化

隱私官員職業(yè)化是企業(yè)數(shù)據(jù)合規(guī)實(shí)踐的第一步，稱呼或職能部門設(shè)置上可能有所不同，有的直接由法務(wù)部或其他部門人員兼任。世界范圍內(nèi)，德國(guó)是首個(gè)引入數(shù)據(jù)保護(hù)官概念的國(guó)家，旨在通過(guò)企業(yè)自我任命的隱私保護(hù)者來(lái)推進(jìn)企業(yè)的自我監(jiān)督，從20世紀(jì)70年代起，企業(yè)就負(fù)有法定義務(wù)任命數(shù)據(jù)保護(hù)官。在國(guó)內(nèi)而言，360公司是國(guó)內(nèi)首家設(shè)置首席隱私官（CPO）的大型互聯(lián)網(wǎng)企業(yè)，CPO負(fù)責(zé)處理360軟件產(chǎn)品可能涉及到用戶個(gè)人信息的各項(xiàng)事務(wù)，包括規(guī)劃和制定公司的隱私政策、審核各產(chǎn)品的用戶使用協(xié)議、監(jiān)督各產(chǎn)品的工作原理和信息處理機(jī)制等。

歐盟《一般數(shù)據(jù)保護(hù)條例》第37條規(guī)定了數(shù)據(jù)控制者或處理者“應(yīng)當(dāng)”或“可以”委任數(shù)據(jù)保護(hù)官的情形，并在第38條規(guī)定了數(shù)據(jù)保護(hù)官的職位保障。隱私官員職業(yè)化的重要性在于，他們可以向不同的外部利益相關(guān)者傳輸消費(fèi)者隱私期待的力量，并且作為企業(yè)和外部利益相關(guān)者“最佳實(shí)踐方式”的聯(lián)系橋梁，這一點(diǎn)可以通過(guò)《一般數(shù)據(jù)保護(hù)條例》第39條“數(shù)據(jù)保護(hù)官的任務(wù)”體現(xiàn)出來(lái)。數(shù)據(jù)保護(hù)官不僅對(duì)企業(yè)數(shù)據(jù)處理行為進(jìn)行隱私風(fēng)險(xiǎn)評(píng)估、職員隱私保護(hù)意識(shí)和崗位培訓(xùn)、制定并監(jiān)督遵守隱私政策，還要與監(jiān)管機(jī)構(gòu)進(jìn)行合作，充當(dāng)監(jiān)管機(jī)構(gòu)的聯(lián)系人。可見(jiàn)，數(shù)據(jù)保護(hù)官職位雖為企業(yè)所設(shè)，其職責(zé)或者說(shuō)利益指向并不是“一切為了企業(yè)”，而是充當(dāng)監(jiān)管機(jī)構(gòu)、企業(yè)以及消費(fèi)者三方的協(xié)調(diào)、聯(lián)絡(luò)角色。當(dāng)然，企業(yè)最初設(shè)立隱私官員的初衷是復(fù)雜的，有的是為了遵守法律，有的是為了樹(shù)立標(biāo)桿形象，但不管怎樣，“結(jié)構(gòu)決定功能”，“如果能夠從結(jié)構(gòu)上構(gòu)筑信息控制者積極主動(dòng)作為的組織體系，就完全有可能改變其行為方式，使個(gè)人信息保護(hù)成為其內(nèi)生機(jī)制的一部分?！?隱私官員的職業(yè)化會(huì)逐漸釋放其“結(jié)構(gòu)性”紅利，隨著設(shè)置隱私官員的企業(yè)數(shù)量的增加，我們看到用戶隱私在企業(yè)的生存和發(fā)展中占據(jù)日益重要的地位。隱私官員也開(kāi)始有了自己的組織，即國(guó)際隱私專家協(xié)會(huì)。

2. 隱私政策標(biāo)準(zhǔn)化和技術(shù)化

面對(duì)形形色色的各類企業(yè)隱私政策，有心人會(huì)思考有沒(méi)有“標(biāo)準(zhǔn)版”的隱私政策呢？如果有，那消費(fèi)者就不必?fù)?dān)心因無(wú)心看冗長(zhǎng)的隱私政策而錯(cuò)過(guò)了自己的最佳選擇。原因很簡(jiǎn)單，“消費(fèi)者一般都?xì)g迎標(biāo)準(zhǔn)：他們不必面對(duì)本想選擇勝利者卻選擇了失敗者的風(fēng)險(xiǎn)。在單一的網(wǎng)絡(luò)或無(wú)縫互聯(lián)的網(wǎng)絡(luò)中，他們可以享受最大的網(wǎng)絡(luò)效應(yīng)?！?隱私政策是否可以標(biāo)準(zhǔn)化呢？答案是能也不能。說(shuō)“不能”是因?yàn)榛ヂ?lián)網(wǎng)企業(yè)所提供的產(chǎn)品/服務(wù)千差萬(wàn)別，所需收集和使用的數(shù)據(jù)類型也各有不同，自然做不到隱私政策的標(biāo)準(zhǔn)化;而說(shuō)“能”則基于數(shù)據(jù)保護(hù)原則的同質(zhì)以及隱私政策文本結(jié)構(gòu)的趨同，這更多地體現(xiàn)為一個(gè)技術(shù)問(wèn)題。

還有另外一種理解隱私政策標(biāo)準(zhǔn)化的思路，是與隱私政策貫徹落實(shí)的技術(shù)化聯(lián)系在一起的。原理如下：政府要求企業(yè)張貼隱私政策，但是，并不是每位用戶都會(huì)閱讀這些隱私政策，即使閱讀了，用戶又能記住多少企業(yè)的隱私政策呢？你能清楚地分辨提供不同產(chǎn)品/服務(wù)的企業(yè)所提供的隱私政策有何區(qū)別嗎？在這里，政府忽略了一件事，它沒(méi)有要求隱私政策應(yīng)當(dāng)為計(jì)算機(jī)所識(shí)別。而一旦隱私政策可以被計(jì)算機(jī)所識(shí)別，那發(fā)展P3P的前景就光明了。P3P（Platform of Privacy Preferences Project）又稱為隱私偏好平臺(tái)項(xiàng)目，由萬(wàn)維網(wǎng)聯(lián)盟開(kāi)發(fā)，能將用戶偏好與網(wǎng)站隱私政策進(jìn)行比對(duì)。P3P協(xié)議包括引導(dǎo)瀏覽器的規(guī)則，引導(dǎo)瀏覽器讀取和解析網(wǎng)站的隱私政策，同時(shí)，用戶的偏好將被嵌入瀏覽器，這樣，P3P只允許用戶在與其偏好一致的網(wǎng)站上提供個(gè)人數(shù)據(jù)。當(dāng)用戶進(jìn)入數(shù)據(jù)收集范圍超出其意愿提供的信息范圍的網(wǎng)站時(shí)，或進(jìn)入擁有讓用戶感到不適的隱私政策的網(wǎng)站時(shí)，瀏覽器將會(huì)向用戶提供警告。 換句話講，網(wǎng)站通過(guò)P3P協(xié)議提交一個(gè)請(qǐng)求，我們將其視為有約束力的要約。如果用戶接受了該要約，則合同成立。 可見(jiàn)，P3P最大的好處就是推動(dòng)隱私政策的簡(jiǎn)化和標(biāo)準(zhǔn)化，因?yàn)殡[私政策必須以機(jī)器可讀格式存儲(chǔ)，而不能用晦澀難懂的法律術(shù)語(yǔ)來(lái)表達(dá)。 當(dāng)然，P3P也不是萬(wàn)能鑰匙，它無(wú)法保證隱私政策的執(zhí)行，也無(wú)權(quán)追查那些故意違背隱私政策的企業(yè)。但不管怎樣，P3P代表了一代試圖通過(guò)技術(shù)手段讓用戶披露自己個(gè)人信息的控制能力與網(wǎng)站隱私政策共生的努力，隨著P3P這樣的互聯(lián)網(wǎng)技術(shù)架構(gòu)進(jìn)一步成熟，更有可能在消費(fèi)者隱私保護(hù)和經(jīng)濟(jì)效率之間達(dá)致平衡。

3. 隱私政策問(wèn)責(zé)制

當(dāng)前，整個(gè)數(shù)據(jù)保護(hù)法或者說(shuō)隱私規(guī)范的重心正在轉(zhuǎn)向問(wèn)責(zé)，“知情與同意”模式僅有助于數(shù)據(jù)初次收集的“合法化”，但數(shù)據(jù)資源的價(jià)值多體現(xiàn)在二級(jí)用途上。所以，我們需要設(shè)立一個(gè)不一樣的隱私保護(hù)模式，這個(gè)模式應(yīng)該更著重于數(shù)據(jù)使用者為其行為承擔(dān)責(zé)任，而不是將重心放在收集數(shù)據(jù)之初取得個(gè)人同意上。 再則，將責(zé)任從民眾轉(zhuǎn)移到數(shù)據(jù)控制者也存在充足的理由，因?yàn)閿?shù)據(jù)控制者比民眾更明白如何利用數(shù)據(jù)以及從中受益。

在企業(yè)數(shù)據(jù)合規(guī)的問(wèn)責(zé)體系中，隱私政策地位凸顯。政府“懷疑”與“巡視”的目光常聚焦于企業(yè)隱私政策，企業(yè)數(shù)據(jù)處理行為的合規(guī)性論證也“求助”于隱私政策，消費(fèi)者數(shù)據(jù)安全與隱私保護(hù)的訴求也仰賴于隱私政策，如此，政府、企業(yè)與消費(fèi)者不約而同地將視線轉(zhuǎn)向隱私政策。以數(shù)據(jù)安全為例，之前企業(yè)可能不太會(huì)斥巨資、花大力氣來(lái)研發(fā)、改進(jìn)數(shù)據(jù)安全防護(hù)技術(shù)、認(rèn)證安全保護(hù)等級(jí)、制定安全事件應(yīng)急預(yù)案，但一旦讓企業(yè)為數(shù)據(jù)泄露負(fù)責(zé)，結(jié)果可能會(huì)向好的方向發(fā)展。企業(yè)在大規(guī)模信息泄露事件中固然是受害者，但絕不是無(wú)辜的受害者，真正無(wú)辜受害的是消費(fèi)者。2017年Uber數(shù)據(jù)泄露事件中，5000萬(wàn)乘客的姓名、電郵和電話被盜;同年美國(guó)知名信用機(jī)構(gòu)Equifax遭到黑客攻擊，大約1.43億用戶敏感信息泄露;2018年Facebook發(fā)生數(shù)據(jù)泄露丑聞，超8700萬(wàn)用戶信息外泄。一系列安全事件中，企業(yè)存在過(guò)錯(cuò)（至少是重大過(guò)失）的情形比比皆是，比如Uber曾經(jīng)花10萬(wàn)美元向黑客買封口費(fèi)，F(xiàn)acebook授權(quán)政治數(shù)據(jù)分析公司Cambridge Analytica收集用戶信息。2017年國(guó)內(nèi)暗網(wǎng)市場(chǎng)知名供應(yīng)商雙旗拋售10億條從中國(guó)互聯(lián)網(wǎng)巨頭盜取的大量數(shù)據(jù)（包括網(wǎng)易、騰訊控股、TOM集團(tuán)、新浪、搜狐公司等），有些數(shù)據(jù)是明文呈現(xiàn)，有些是很容易就能破解的MD5散列值?？梢?jiàn)，企業(yè)并沒(méi)有重視數(shù)據(jù)安全保護(hù)，而這就是企業(yè)承擔(dān)責(zé)任的原罪。之前，大規(guī)模數(shù)據(jù)泄露所需要付出的代價(jià)，都由數(shù)據(jù)被泄露的人承擔(dān)了，在經(jīng)濟(jì)學(xué)上，這被稱為外在性（Externality）：某個(gè)決定的后果不由決策人承擔(dān)。外在性限制了公司提升自身安全性的動(dòng)力。 現(xiàn)在，是時(shí)候通過(guò)提高數(shù)據(jù)泄露的成本，讓企業(yè)花費(fèi)更多力氣去保護(hù)消費(fèi)者的數(shù)據(jù)隱私了。

三、面向企業(yè)隱私政策的執(zhí)法

通過(guò)隱私政策實(shí)現(xiàn)數(shù)據(jù)合規(guī)離不開(kāi)“面向企業(yè)隱私政策的執(zhí)法”，因?yàn)槭袌?chǎng)的天性是逐利，你不可能讓一個(gè)“利潤(rùn)至上”的企業(yè)自縛手腳。

（一）對(duì)隱私政策進(jìn)行執(zhí)法的必要性

互聯(lián)網(wǎng)企業(yè)可能會(huì)引用“買者自負(fù)”原則，聲明用戶自愿簽署這種浮士德式交易。隱私政策文本中也存在諸多免責(zé)條款，如《酷狗隱私政策》7.5條就列明四種情形下酷狗不承擔(dān)任何責(zé)任。但問(wèn)題在于，不管隱私政策文本中列明的免責(zé)條款合法性及合理性有多少，企業(yè)對(duì)自身處理消費(fèi)者個(gè)人數(shù)據(jù)的行為要負(fù)起責(zé)任來(lái)。換句話講，企業(yè)主一直強(qiáng)調(diào)的“知情同意”并不是所有數(shù)據(jù)處理行為的免責(zé)金牌。一直被詬病的用戶服務(wù)協(xié)議之“格式合同”屬性在消費(fèi)者與企業(yè)資源與能力上的巨大差異面前盡覽無(wú)疑。梅迪庫(kù)斯講過(guò)，“私法自治作為一種形式上的人人平等的自由，沒(méi)有顧及到實(shí)際上并非人人平等的事實(shí)。人與人之間在財(cái)產(chǎn)、體能和精神能力，在市場(chǎng)地位和掌握信息以及在其他許多方面，到處都存在著差異?！?人與人之間尚且如此，更何況人與企業(yè)。無(wú)論對(duì)隱私政策賦予何種屬性以規(guī)范企業(yè)的數(shù)據(jù)處理行為，消費(fèi)者點(diǎn)擊同意隱私政策的過(guò)程都是在一個(gè)雙方地位不對(duì)等的平臺(tái)上。

隱私已經(jīng)成為數(shù)字經(jīng)濟(jì)良性、健康發(fā)展的重大挑戰(zhàn)，隱私問(wèn)題得不到解決，數(shù)字經(jīng)濟(jì)的高樓大廈終歸建基于砂礫之上。對(duì)隱私政策進(jìn)行執(zhí)法，是當(dāng)前可行的重要數(shù)據(jù)保護(hù)實(shí)踐路徑。一方面，數(shù)據(jù)（個(gè)人信息）保護(hù)法遲遲未能出臺(tái)，個(gè)人面對(duì)無(wú)處不在的數(shù)據(jù)收集與處理又無(wú)能為力，只有將希冀的目光轉(zhuǎn)向企業(yè)及其隱私政策。即使相關(guān)法律出臺(tái)，其最終落實(shí)還是要看企業(yè)的數(shù)據(jù)合規(guī)實(shí)踐。再者，有遠(yuǎn)見(jiàn)的企業(yè)高管也愿意將數(shù)據(jù)合規(guī)打造成品牌或榮譽(yù)，成為新的客戶增長(zhǎng)點(diǎn)。在這其中，隱私政策作為溝通企業(yè)與消費(fèi)者的隱私橋梁，對(duì)雙方都有特別的意義。對(duì)消費(fèi)者而言，隱私政策是目前可見(jiàn)的、能接觸到的數(shù)據(jù)保護(hù)的最重要一根稻草，淳樸的消費(fèi)者認(rèn)為隱私政策體現(xiàn)出了企業(yè)對(duì)消費(fèi)者的尊重;對(duì)企業(yè)而言，隱私政策不僅是數(shù)據(jù)合規(guī)的需要，更是戰(zhàn)略發(fā)展的需要，消費(fèi)者所需即企業(yè)改進(jìn)的方向。另一方面，隱私政策公布后，企業(yè)會(huì)認(rèn)真遵循嗎？企業(yè)的天性是逐利，而消費(fèi)者數(shù)據(jù)將是決定未來(lái)誰(shuí)能成為贏家的決定性因素，所以企業(yè)絕不會(huì)放過(guò)任何能獲取到的數(shù)據(jù)。事實(shí)也確實(shí)如此，斯坦福大學(xué)主持的一項(xiàng)研究發(fā)現(xiàn)，“在64家作為研究對(duì)象的擁有線上廣告業(yè)務(wù)的公司（包括谷歌、雅虎、美國(guó)在線和微軟）中，有一半在持續(xù)開(kāi)展數(shù)字跟蹤活動(dòng)，即便對(duì)象用戶已經(jīng)點(diǎn)選了不被跟蹤選項(xiàng)。因此，即使用戶已經(jīng)就隱私問(wèn)題積極主動(dòng)地采取了前攝性措施，也不代表那些收集者們針對(duì)用戶的信息收集行為就將被真正阻止?！?原因很簡(jiǎn)單，單純依靠自由市場(chǎng)機(jī)制來(lái)扭轉(zhuǎn)隱私侵害的趨勢(shì)是不太可能的，“在控制掠奪性收集信息的問(wèn)題上，信息商品交易的回報(bào)和營(yíng)銷利潤(rùn)太高，單純依靠市場(chǎng)的力量難以實(shí)現(xiàn)這種控制。” 所以，必須在自由市場(chǎng)之外，有強(qiáng)有力的政府監(jiān)管介入，以糾正當(dāng)前隱私保護(hù)市場(chǎng)的失靈。

萊斯格教授認(rèn)為，真正有效社會(huì)規(guī)范的前提條件是，“社會(huì)規(guī)范的實(shí)施群體必須包括那些被規(guī)制行為的成本負(fù)擔(dān)者。換句話說(shuō)，建立社會(huì)規(guī)范進(jìn)行自我規(guī)制的行業(yè)并不承擔(dān)使用所獲信息的成本。成本——消費(fèi)者的隱私是由個(gè)體而非公司來(lái)承擔(dān)的，而消費(fèi)者并不是社會(huì)規(guī)范的制定者?！?斯皮內(nèi)洛也指出，企業(yè)間的“數(shù)據(jù)銷售或交換給數(shù)據(jù)主體強(qiáng)加了一個(gè)成本：出售他或她的信息導(dǎo)致隱私的喪失。這一成本不是由交易雙方來(lái)承擔(dān)，而是由數(shù)據(jù)主體不情愿地承擔(dān)了?！?如何改變這種默認(rèn)規(guī)則，讓企業(yè)真正擔(dān)負(fù)起數(shù)據(jù)處理行為的責(zé)任來(lái)，唯有依靠隱私政策從文本到實(shí)踐功能的轉(zhuǎn)變。隱私政策絕不是企業(yè)逃避合規(guī)義務(wù)的盾牌，而是企業(yè)承擔(dān)數(shù)據(jù)保護(hù)社會(huì)承諾、社會(huì)責(zé)任的體現(xiàn)，是消費(fèi)者尋求隱私保護(hù)的信賴規(guī)范，從而，隱私政策毫無(wú)疑問(wèn)應(yīng)成為數(shù)據(jù)合規(guī)實(shí)踐中監(jiān)管機(jī)構(gòu)的重要執(zhí)法對(duì)象。

（二）對(duì)隱私政策進(jìn)行執(zhí)法的類型

對(duì)隱私政策進(jìn)行執(zhí)法的類型主要有兩種：一是對(duì)企業(yè)的數(shù)據(jù)處理行為是否符合企業(yè)發(fā)布的隱私政策進(jìn)行執(zhí)法;二是對(duì)企業(yè)發(fā)布的隱私政策是否合乎數(shù)據(jù)（隱私）保護(hù)法進(jìn)行執(zhí)法。

先看第一種。美國(guó)Toysmart公司是一家從事網(wǎng)上銷售幼教玩具的公司，其隱私政策曾承諾：“您可以放心，您的信息永遠(yuǎn)不會(huì)與第三方共享”。然而天有不測(cè)風(fēng)云，公司倒閉了。在破產(chǎn)清算程序中，Toysmart公司打算出售它的消費(fèi)者信息。該事件引發(fā)了隱私倡導(dǎo)者的強(qiáng)烈批評(píng)，美國(guó)聯(lián)邦貿(mào)易委員會(huì)也起訴該公司違背隱私承諾，是一種不公平、欺詐行為。 后來(lái)，Toysmart公司與聯(lián)邦貿(mào)易委員會(huì)達(dá)成和解協(xié)議：禁止Toysmart公司將消費(fèi)者個(gè)人信息作為資產(chǎn)單獨(dú)出售;Toysmart只能將公司與消費(fèi)者信息打包出售給有資格的買家;有資格的買家必須遵守Toysmart之前制定的隱私聲明，如果要改變信息收集和使用方式的話必須事先征求消費(fèi)者的明示同意。谷歌和Facebook也先后遭遇過(guò)類似的執(zhí)法。2010年2月，谷歌推出一項(xiàng)社交服務(wù)（Google Buzz），Buzz推出的當(dāng)天，Gmail用戶就收到郵件勸說(shuō)他們使用新服務(wù)，并給予兩個(gè)選項(xiàng)“看看Buzz”和“不，去我的收件箱”。然而，即便選擇了后者的用戶仍然被納入了其社交網(wǎng)絡(luò)之中，選擇了“看看Buzz”的用戶也并未被明確告知：他們郵件中的常用聯(lián)系人名單將會(huì)默認(rèn)公開(kāi)出現(xiàn)在Buzz社交網(wǎng)絡(luò)中。該服務(wù)引發(fā)了谷歌用戶的大量投訴，而當(dāng)時(shí)谷歌的隱私政策聲稱：“當(dāng)您使用一項(xiàng)需要注冊(cè)的服務(wù)時(shí)，我們會(huì)要求您提供個(gè)人信息。如果我們以不同于收集時(shí)的目的使用這些信息，我們會(huì)在使用之前征求您的同意”。Facebook也曾因未能遵守隱私政策而遭到聯(lián)邦貿(mào)易委員會(huì)的起訴，聯(lián)邦貿(mào)易委員會(huì)列舉了一些Facebook違背其隱私政策的事例，如Facebook曾更改網(wǎng)站設(shè)置，將原本設(shè)置為私人信息的內(nèi)容改為公開(kāi)，卻未曾告知消費(fèi)者，也沒(méi)有事先獲得授權(quán)。對(duì)上述事件分析可見(jiàn)，美國(guó)聯(lián)邦貿(mào)易委員會(huì)執(zhí)法的依據(jù)正是互聯(lián)網(wǎng)企業(yè)自身發(fā)布的隱私政策。根據(jù)《聯(lián)邦貿(mào)易委員會(huì)法》第五條，聯(lián)邦貿(mào)易委員會(huì)有禁止不公平和欺詐性商業(yè)行為的職權(quán)，聯(lián)邦貿(mào)易委員會(huì)正是通過(guò)對(duì)該條的充分解釋和援引，對(duì)企業(yè)隱私政策進(jìn)行執(zhí)法。在具體案件中，“被認(rèn)為是具有誤導(dǎo)性或欺騙性的行為包括錯(cuò)誤的口頭或書(shū)面表述，誤導(dǎo)性的報(bào)價(jià)，未經(jīng)充分披露而出售有風(fēng)險(xiǎn)或系統(tǒng)缺陷的產(chǎn)品，未披露傳銷信息，使用引誘和轉(zhuǎn)換的方法，未履行所承諾的服務(wù)，未實(shí)現(xiàn)擔(dān)保義務(wù)”，都被認(rèn)為是對(duì)第五條的違反。

再看第二種。如果將第一種視為企業(yè)遵循所承諾規(guī)范的話，那第二種就是對(duì)所遵循的規(guī)范的合法性進(jìn)行審查。歐美基于不同的數(shù)據(jù)保護(hù)模式，對(duì)這兩種執(zhí)法類型各有側(cè)重。美國(guó)以分散立法和行業(yè)自律為主的消費(fèi)者隱私保護(hù)模式更側(cè)重于第一種類型的執(zhí)法，因?yàn)閬?lái)自同業(yè)成員和市場(chǎng)的巨大競(jìng)爭(zhēng)壓力使得企業(yè)大多數(shù)情況下信守承諾;相比之下，采取統(tǒng)一立法模式的歐盟更側(cè)重于第二種執(zhí)法。如西班牙與法國(guó)的企業(yè)很大程度上將隱私職能作為遵守確定的法律命令，哪怕自己懷疑做不到也要嚴(yán)格執(zhí)行。 在此理念下，企業(yè)遵守隱私政策是企業(yè)數(shù)據(jù)合規(guī)實(shí)踐的應(yīng)有之意，而在此之前，隱私政策首先要合規(guī)。所以，面對(duì)谷歌2012年更新隱私政策，將60余種產(chǎn)品/服務(wù)的隱私政策打通之事件，歐盟和美國(guó)表現(xiàn)極為不同。美國(guó)聯(lián)邦貿(mào)易委員會(huì)不僅未對(duì)谷歌的新隱私政策作出處罰，加利福尼亞州的聯(lián)邦地方法院甚至在隱私組織EPIC對(duì)聯(lián)邦貿(mào)易委員會(huì)的不作為告上法庭的案件中作出裁決：雖然法院承認(rèn)谷歌改變隱私政策給消費(fèi)者隱私帶來(lái)的問(wèn)題的嚴(yán)重性，但法院沒(méi)有權(quán)力強(qiáng)制聯(lián)邦貿(mào)易委員會(huì)進(jìn)行執(zhí)法。 但在歐洲，情況卻截然不同，西班牙、英國(guó)、德國(guó)、意大利、法國(guó)、荷蘭等國(guó)都對(duì)谷歌新隱私政策展開(kāi)調(diào)查。據(jù)英國(guó)《衛(wèi)報(bào)》網(wǎng)站2013年12月20日?qǐng)?bào)道，西班牙隱私監(jiān)察委員會(huì)對(duì)谷歌在未提前告知用戶、未給出合理理由、未取得用戶同意的前提下，將不同在線服務(wù)的隱私政策進(jìn)行整合從而獲取用戶個(gè)人信息的行為作出90萬(wàn)歐元的處罰。據(jù)英國(guó)路透社2014年1月8日?qǐng)?bào)道，法國(guó)國(guó)家信息自由委員會(huì)對(duì)谷歌罰款15萬(wàn)歐元，其理由是：谷歌將60款隱私政策打通的行為，并未給用戶提供退出此方案的選項(xiàng)，并且谷歌也沒(méi)有向法國(guó)用戶充分告知個(gè)人數(shù)據(jù)被處理的情況，也未明確告知處理這些數(shù)據(jù)的目的。更嚴(yán)重的處罰發(fā)生在《一般數(shù)據(jù)保護(hù)條例》生效后的2019年1月21日，法國(guó)國(guó)家信息自由委員會(huì)向谷歌開(kāi)出了5000萬(wàn)歐元的罰款。其理由是：谷歌在兩個(gè)方面違反了《一般數(shù)據(jù)保護(hù)條例》，一是未滿足透明度和信息相關(guān)要求（數(shù)據(jù)最小化），二是沒(méi)有為其數(shù)據(jù)處理流程獲得法律依據(jù)。在涉及隱私政策部分，法國(guó)國(guó)家信息自由委員會(huì)指出，用戶許可不夠具體，因?yàn)楣雀枰蟊仨毻耆怆[私政策中的服務(wù)條款和數(shù)據(jù)處理?xiàng)l款，而非區(qū)分各種不同目的（如個(gè)性化廣告或語(yǔ)音識(shí)別等）來(lái)同意各項(xiàng)條款。

需要指出的是，歐盟與美國(guó)關(guān)于前述兩種類型的執(zhí)法側(cè)重只是相對(duì)而言，隨著數(shù)據(jù)國(guó)際傳輸和保護(hù)的趨勢(shì)增強(qiáng)，兩種執(zhí)法模式可能都會(huì)出現(xiàn)。比如歐盟與美國(guó)達(dá)成的隱私盾項(xiàng)目，美國(guó)商務(wù)部會(huì)審核申請(qǐng)加入該項(xiàng)目企業(yè)提交的加入申請(qǐng)和隱私聲明，包括隱私聲明是否與隱私盾原則相悖，歐洲數(shù)據(jù)保護(hù)機(jī)關(guān)可以要求企業(yè)履行合規(guī)義務(wù)，民事原告可以把企業(yè)告到法院。 盡管隱私盾協(xié)議已于2020年7月16日被歐盟法院認(rèn)定無(wú)效（用于保護(hù)數(shù)據(jù)隱私的標(biāo)準(zhǔn)格式條款仍合法），但相信在美國(guó)與歐盟開(kāi)啟討論、籌備的新制度中，隱私政策仍是數(shù)據(jù)監(jiān)管的重要對(duì)象。從本質(zhì)上講，對(duì)企業(yè)隱私政策的執(zhí)法與數(shù)據(jù)（隱私）保護(hù)的政府監(jiān)管是一脈相承的，前者是后者的重要組成部分。在數(shù)據(jù)合規(guī)實(shí)踐中，我們必須對(duì)企業(yè)經(jīng)營(yíng)有明確的態(tài)度，制定一套被廣泛接受的標(biāo)準(zhǔn)讓企業(yè)遵守，不能讓企業(yè)將自己視為自身社會(huì)責(zé)任的唯一裁決人。

注釋：

① 參見(jiàn)[美]狄樂(lè)達(dá)：《數(shù)據(jù)隱私法實(shí)務(wù)指南——以跨國(guó)公司合規(guī)為視角》，何廣越譯，法律出版社2018年版，第14—15、21、29頁(yè)。

② [美]斯蒂文·沙維爾：《法律經(jīng)濟(jì)分析的基礎(chǔ)理論》，趙海怡等譯，中國(guó)人民大學(xué)出版社2012年版，第302頁(yè)。

③ [美]理查德·A. 波斯納：《法律的經(jīng)濟(jì)分析》，蔣兆康譯，法律出版社2012年版，第546頁(yè)。

④ 周輝等：《網(wǎng)絡(luò)環(huán)境下消費(fèi)者數(shù)據(jù)的隱私保護(hù)——在全球數(shù)字經(jīng)濟(jì)背景下保護(hù)隱私和促進(jìn)創(chuàng)新的政策框架》，《網(wǎng)絡(luò)法律評(píng)論》2013年第1期。

⑤ [美]霍華德·R.鮑恩：《商人的社會(huì)責(zé)任》，肖紅軍等譯，經(jīng)濟(jì)管理出版社2015年版，第53、53頁(yè)。

⑥ [美]理查德·斯皮內(nèi)洛：《鐵籠，還是烏托邦——網(wǎng)絡(luò)空間的道德與法律》，李倫等譯，北京大學(xué)出版社2007年版，第148、145、145、145頁(yè)。

⑦ Scott Killingsworth， Minding Your Own Business： Privacy Policies in Principle and in Practice， Journal of Intellectual Property Law， 1999， 7（57）.

⑧ 談詠梅、錢小平：《我國(guó)網(wǎng)站隱私保護(hù)政策完善之建議》，《現(xiàn)代情報(bào)》2006年第1期。

⑨ 參見(jiàn)甘肅省天水市中級(jí)人民法院（2016）甘05民終第427號(hào)民事判決書(shū)。

⑩ [美]拉里·唐斯：《顛覆定律：指數(shù)級(jí)增長(zhǎng)時(shí)代的新規(guī)則》，劉睿譯，浙江人民出版社2014年版，第18、101頁(yè)。

See Dyer v. Nw. Airlines Corps.， 334 F. Supp. 2d 1196， 1200 （D. N. D. 2004）.

See Deborah Davis Boykin， Survey of E-Contracting Cases： Browsewrap， Clickwrap， and Modified Clickwrap Agreements， Business Lawyer （ABA）， 2012， 257（68）.

高秦偉：《個(gè)人信息保護(hù)中的企業(yè)隱私政策及政府規(guī)制》，《法商研究》2019年第2期。

王融：《大數(shù)據(jù)時(shí)代：數(shù)據(jù)保護(hù)與流動(dòng)規(guī)則》，人民郵電出版社2017年版，第73頁(yè)。

轉(zhuǎn)引自[美]布魯斯·施奈爾：《數(shù)據(jù)與監(jiān)控——信息安全的隱形之戰(zhàn)》，李先奇、黎秋玲譯，金城出版社2018年版，第187—188頁(yè)。

Janice Y. Tsai， Serge Egelamn， Lorrie Cranor， Alessandro Acquisti， the Effect of Online Privacy Information on Purchasing Behavior： An Experimental Study， Information Systems Research， 2011， 2（22）.

[美]肯尼斯·A.班貝格、迪爾德麗·K.穆麗根：《書(shū)本上的隱私和實(shí)踐中的隱私》，魏凌譯，載張民安主編《隱私權(quán)的性質(zhì)和功能》，中山大學(xué)出版社2018年版，第253、269頁(yè)。

See Stuart L. Pardau&Blake Edwards， The FTC，

the Unfairness Doctrine， and Privacy by Design： New Legal Frontiers in Cybersecurity， Journal of Business and Technology Law， 2017， 227（12）.

Michael Froomkin， Regulating Mass Surveillance As Privacy Pollution： Learning From Environmental Impact St-atements， University of Illinois Law Review， 2015， 1713.

參見(jiàn)中國(guó)信息通信研究院互聯(lián)網(wǎng)法律研究中心、騰信研究院法律研究中心：《網(wǎng)絡(luò)空間法治化的全球視野與中國(guó)實(shí)踐》，法律出版社2016年版，第279頁(yè)。

張民安：《公開(kāi)他人私人事務(wù)的隱私侵權(quán)》，中山大學(xué)出版社2012年版，第527頁(yè)。

Quoted in James Gleick， Big Brother Is Us， New York Times， September 29， 1996.

Julie E. Cohen， DRM and Privacy， Berkeley Technology Law Journal， 2003， 609（18）.

轉(zhuǎn)引自[美]達(dá)爾·尼夫：《數(shù)字經(jīng)濟(jì)2.0：引爆大數(shù)據(jù)生態(tài)紅利》，大數(shù)據(jù)文摘翻譯組譯，中國(guó)人民大學(xué)出版社2018年版，第206頁(yè)。

Gautham Nagesh， Kerry and McCain Throw Their Weight Behind Privacy Bill of Rights， Hillicon Valley， April 12， 2011.

[美]保羅·M·施瓦茨：《網(wǎng)絡(luò)隱私權(quán)和國(guó)家》，廖嘉嫻譯，載張民安主編《公開(kāi)他人私人事務(wù)的隱私侵權(quán)》，中山大學(xué)出版社2012年版，第506—508頁(yè)。

參見(jiàn)汪靖：《不被洞察的權(quán)利——互聯(lián)網(wǎng)精準(zhǔn)廣告與消費(fèi)者隱私保護(hù)研究》，復(fù)旦大學(xué)出版社2016年版，第143、19、175、185—186頁(yè)。

參見(jiàn)[美]特倫斯·克雷格等：《大數(shù)據(jù)與隱私——利益博弈者、監(jiān)管者和利益相關(guān)者》，趙亮、武青譯，東北大學(xué)出版社2016年版，第33、55—56頁(yè)。

參見(jiàn)吳偉光：《大數(shù)據(jù)技術(shù)下個(gè)人數(shù)據(jù)信息私權(quán)保護(hù)論批判》，《政治與法律》2016年第7期。

[美]馬克·羅滕伯格等主編：《無(wú)處安放的互聯(lián)網(wǎng)隱私》，苗淼譯，中國(guó)人民大學(xué)出版社2017年版，第170—171頁(yè)。

劉雅輝等：《大數(shù)據(jù)時(shí)代的個(gè)人隱私保護(hù)》，《計(jì)算機(jī)研究與發(fā)展》2015年第1期。

周漢華：《探索激勵(lì)相容的個(gè)人數(shù)據(jù)治理之道——中國(guó)個(gè)人信息保護(hù)法的立法方向》，《法學(xué)研究》2018年第2期。

[美]卡爾·夏皮羅、[美]哈爾·R.范里安：《信息規(guī)則：網(wǎng)絡(luò)經(jīng)濟(jì)的策略指導(dǎo)》，孟昭莉、牛露晴譯，中國(guó)人民大學(xué)出版社2017年版，第190頁(yè)。

Simpson， G.R.， the Battle Over Web Privacy， The Wall Street Journal， March 21， 2001.

William McGeveran， Programmed Privacy Promises： P3P and Web Privacy Law， New York University Law Review， 2001， 76.

[德]Christopher Kuner：《歐洲數(shù)據(jù)保護(hù)法——公司遵守與管制》，曠野、楊會(huì)永等譯，法律出版社2008年版，第42頁(yè)。

[英]維克托·邁爾—舍恩伯格、肯尼思·庫(kù)克耶：《大數(shù)據(jù)時(shí)代：生活、工作與思維的大變革》，盛楊燕、周濤譯，浙江人民出版社2013年版，第220頁(yè)。

[美]布魯斯·施奈爾：《數(shù)據(jù)與監(jiān)控——信息安全的隱形之戰(zhàn)》，李先奇、黎秋玲譯，金城出版社2018年版，第288頁(yè)。

[德]迪特爾·梅迪庫(kù)斯：《德國(guó)民法總論》，邵建東譯，法律出版社2013年版，第144頁(yè)。

Daniel. J. Solove & Woodrow Hartzog， The FTC and the New Common Law of Privacy， Columbia Law Review， 2014， 583（114）.

作者簡(jiǎn)介：李延舜，河南大學(xué)法學(xué)院副教授，河南開(kāi)封，475001。

（責(zé)任編輯 ?李 ?濤）