社交媒體隱私政策文本視角下的用戶個人信息保護(hù)

馬永保

(安徽醫(yī)科大學(xué) 法學(xué)系, 安徽 合肥 230032)

一、問題的提出

社交媒體的出現(xiàn)極大程度上改變了人們的生活方式，特別是溝通與交流方法。用戶能夠使用社交媒體與世界相連，隨時隨地分享自己生活的多姿多彩。與此同時，人們也面臨著的個人信息和隱私方面的風(fēng)險和威脅。特別是伴隨著數(shù)據(jù)挖掘、分析和營銷等新技術(shù)的迅猛發(fā)展，人們對數(shù)據(jù)的收集、分析、使用能力不斷增強，用戶個人信息成為蘊藏?zé)o窮價值和潛在影響力的資源，個人信息數(shù)據(jù)交易成為重要的新型商業(yè)模式。社交媒體為了獲取更多的商業(yè)利益，以手中掌握的海量用戶個人信息為財富來源，從而導(dǎo)致用戶個人信息泄露、濫用等問題成為全球關(guān)注焦點，引起用戶的焦慮乃至恐慌，并成為用戶使用社交媒體的重要障礙。2018年4月份爆發(fā)的全球知名社交媒體臉書的個人信息泄露丑聞就是代表性事件。

隱私政策的出現(xiàn)，正是這種新情況的一種應(yīng)對之策。隱私政策(privacy policy)，也稱隱私權(quán)政策、隱私申明、隱私權(quán)保護(hù)聲明，它描述了社交媒體自身如何收集、處理、利用、分享和保護(hù)用戶信息的情況[1]。公布隱私政策并有效執(zhí)行，體現(xiàn)了社交媒體在提升保護(hù)個人信息透明度方面的積極努力，是消除用戶隱私憂慮的有效做法之一，也受到立法機構(gòu)的肯定和監(jiān)管機構(gòu)的認(rèn)可，能夠為社交媒體收集、使用用戶個人信息提供正當(dāng)性基礎(chǔ)。社交媒體的隱私政策，也是用戶了解其個人信息如何被收集、使用的單一的最重要的途徑[2]。

公布隱私政策早已成為國內(nèi)網(wǎng)絡(luò)社交媒體的常規(guī)做法。監(jiān)管機構(gòu)、行業(yè)協(xié)會、新聞媒體也曾多次就網(wǎng)絡(luò)平臺的隱私保護(hù)開展過評價比較。結(jié)果顯示，隱私政策文本的內(nèi)容和執(zhí)行效果方面都存在諸多問題。中國消費者保護(hù)協(xié)會在2018年6月啟動了App信息收集與隱私政策測評活動[3]，并于當(dāng)年11月28日公布了《100款A(yù)pp個人信息收集與隱私政策測評報告》。包含多家社交媒體在內(nèi)的多款A(yù)pp都存在過度收集用戶個人信息問題。從某種意義上說，隱私政策可能會成為社交媒體的麻醉劑，成為引誘用戶主動提供個人信息的誘餌[4]。

本文選擇微信、新浪微博、百度貼吧、豆瓣為研究對象，主要是考慮這幾家社交媒體處于行業(yè)領(lǐng)導(dǎo)位置，市場份額大，企業(yè)規(guī)模龐大，隱私政策也相對比較成熟，能夠代表整個行業(yè)在用戶個人信息保護(hù)方面的最高水準(zhǔn)。以這些平臺的隱私政策作為研究對象，代表性強，也符合國內(nèi)社交媒體發(fā)展的現(xiàn)實，研究結(jié)果更有意義。

二、社交媒體隱私政策文本分析

雖然用戶大都比較關(guān)心自己的個人信息，但是因為社交媒體隱私政策大都文本冗長繁雜，內(nèi)容權(quán)利義務(wù)不對稱，嚴(yán)重影響了用戶閱讀了解的興趣和對用戶個人信息保護(hù)的效果，結(jié)果是“用戶往往忽視其具體內(nèi)容而直接點擊已讀同意的按鈕”[5]，使隱私政策失去了本來的功能和應(yīng)有的價值。域外的數(shù)據(jù)顯示，74%的用戶會跳過隱私政策，直接選擇快速加入按鈕[6]。

(一)個人敏感信息與個人一般信息未能區(qū)別保護(hù)

社交媒體的隱私政策在文本開始時大都區(qū)分了個人一般信息和個人敏感信息，強調(diào)敏感信息對用戶的重大意義，以及泄露、非法提供或濫用會對用戶造成的嚴(yán)重后果。因為敏感一詞本質(zhì)上用來度量“個人信息對信息主體造成傷害或影響的程度”[7]，以突顯其對個人敏感性的重點關(guān)注。但是，并未在具體的權(quán)利、義務(wù)、責(zé)任中體現(xiàn)對敏感信息的特別重視，也沒有采取特別措施予以重點保護(hù)。如《新浪微博個人信息保護(hù)政策(修訂版)》中，個人敏感信息這一概念只出現(xiàn)過兩次，且都在開始對個人敏感信息界定的段落，之后再也沒有出現(xiàn)過。相比較而言，《微信隱私保護(hù)指引》在對待個人敏感信息方面表現(xiàn)較好，在提出敏感信息問題后，又在具體的情形中明確手機號碼、聲紋特征信息、地理位置信息、步數(shù)信息、通訊錄信息等屬于敏感信息。但也僅僅止步于此，并未進(jìn)一步提出對敏感信息提供特殊保護(hù)的措施。《知乎隱私保護(hù)指引》的內(nèi)容也類似，它采取一般界定與列舉并行的方式詮釋了個人敏感信息的含義。其中確定的個人敏感信息包括身份證件號碼、個人生物識別信息、銀行賬號、通信內(nèi)容、健康生理信息等，與《微信隱私保護(hù)指引》的具體類型差異明顯。不能實質(zhì)上落實一般信息與敏感信息的區(qū)別，也就不能為敏感信息提供更加嚴(yán)密的保護(hù)，可能會造成的后果必然更加嚴(yán)重。

何為敏感信息？因敏感一詞本身就較為寬泛，伸縮空間大，不容易準(zhǔn)確劃清范圍，因而不能由社交媒體單方確定個人敏感信息的定義、篩選標(biāo)準(zhǔn)，社交媒體也無權(quán)單方指定敏感信息的具體范圍。

(二)權(quán)利義務(wù)責(zé)任不對等，用戶利益得不到實際有效維護(hù)

盡管隱私政策由社交媒體單方制作，但鑒于采用隱私政策的初衷乃是為了取得用戶的認(rèn)可，對雙方權(quán)利義務(wù)的設(shè)定應(yīng)該相對公允和對等。但實際情況卻并非如此，各大社交媒體隱私政策中權(quán)利義務(wù)失衡現(xiàn)象比比皆是，且表現(xiàn)各異。

1.使用模糊用語，增加社交媒體權(quán)利空間，做出難以兌現(xiàn)和衡量的承諾

隱私政策本應(yīng)通俗易讀易懂，用戶才可以清楚知道隱私政策的內(nèi)涵，隱私政策的初衷才能實現(xiàn)。然而隱私政策中的很多內(nèi)容用語模糊，這會摧毀網(wǎng)絡(luò)用戶隱私政策的目標(biāo)和價值。沒有清晰肯定的陳述，隱私政策實際上是沒有任何意義的[8]。因為模糊用語賦予社交媒體廣泛的自由處分的權(quán)力，失去了明確規(guī)范的約束，容易導(dǎo)致隱私政策的初衷無法實現(xiàn)。

《百度貼吧隱私政策》強調(diào)，“以業(yè)界成熟的安全標(biāo)準(zhǔn)和規(guī)范收集、使用、存儲和傳輸用戶信息”。何為業(yè)界成熟的安全標(biāo)準(zhǔn)和規(guī)范？語焉不詳。什么樣的安全標(biāo)準(zhǔn)和規(guī)范算是成熟的，誰才能代表業(yè)界呢？以上問題實際上都缺少明確的答案，給了社交媒體過大的回旋空間。

《新浪微博個人信息保護(hù)政策(修訂版)》盡管一開始就言明“努力通過通俗的語言表述”，但落實到具體情形時，卻多使用模糊用語。如其中關(guān)于個人信息存儲期限的規(guī)定，使用的是模糊用語“實現(xiàn)目的所必需的時間”。它從社交媒體自身考慮，只要自身需要，就可以不設(shè)具體期限，甚至無期限地存儲用戶個人信息，完全不考慮用戶本人的意愿。又如，明確承諾“沒有經(jīng)過明確同意，更新后版本不會削減用戶的權(quán)利”，這樣空泛的承諾，實在難以讓人相信。

《微信隱私保護(hù)指引》約定的不需要經(jīng)過用戶授權(quán)就可以收集、使用用戶個人信息的情形，包括很多情形，其中很多非常寬泛。有的是合理的，如與犯罪偵查、起訴、審判和判決執(zhí)行等直接相關(guān)的，因為法律的執(zhí)行對保護(hù)社交媒體信息隱私和安全是完全必要的[9]。也有明顯不合理的，例如，“根據(jù)你要求簽訂和履行合同所必需的”，什么是“必需”的？“必需”的判斷標(biāo)準(zhǔn)到底何在？“必需”的評價包含哪些要素呢？都是不確定的。社交媒體完全可以根據(jù)自己的意愿，不受任何限制、不經(jīng)用戶同意，隨意去收集、使用用戶個人信息。

《知乎隱私保護(hù)指引》中不需用戶授權(quán)同意即可共享、轉(zhuǎn)讓、公開披露個人信息的具體情形同樣模糊、寬泛。如“包括出于維護(hù)用戶或其他個人的生命、財產(chǎn)等重大合法權(quán)益但又很難得到本人同意的”，這句話中多個概念缺少具體、確定的內(nèi)涵和外延?！捌渌麄€人”是否可以包括任何自然人？“重大合法權(quán)益”到底有無一定的限制？何種情況屬于“很難得到本人同意”？“很難”到底是難到什么程度？社交媒體到底做了哪些努力無法實現(xiàn)，才能被界定為很難？諸如此類，不一而足。

《豆瓣隱私政策》承諾會全力并按業(yè)界成熟的安全標(biāo)準(zhǔn)保護(hù)用戶個人信息，“全力”“業(yè)界成熟的標(biāo)準(zhǔn)”都是模糊不清、不易界定的表述。是否全力保護(hù)用戶個人信息，完全是主觀的標(biāo)準(zhǔn)，且判斷的主動權(quán)全部在社交媒體，用戶無法有效判斷豆瓣是否確實“全力”。至于業(yè)界成熟的安全標(biāo)準(zhǔn)本就是虛無縹緲的概念，業(yè)界是否有所謂成熟的安全標(biāo)準(zhǔn)本就存疑，豆瓣是否遵從這一標(biāo)準(zhǔn)，更是無從考證。

有時雖然對概念、用語進(jìn)行了界定和解釋說明，但解釋本身模糊不清，并不能幫助用戶形成清楚、明確的認(rèn)知。解釋沒有實質(zhì)性作用，仍然不能解決對社交媒體過度賦權(quán)的問題?！吨蹼[私保護(hù)指引》中規(guī)定，社交媒體可以不經(jīng)用戶同意就將個人信息與關(guān)聯(lián)公司和合作伙伴共享。其后又解釋了關(guān)聯(lián)公司的含義，強調(diào)關(guān)聯(lián)公司之間控制、被控制的關(guān)系，并對控制進(jìn)行了說明。但綜合全部解釋說明，用戶仍然對知乎的關(guān)聯(lián)公司到底包含哪些，沒有具體的印象，《知乎隱私保護(hù)指引》也沒有劃定關(guān)聯(lián)公司的具體界限，這會導(dǎo)致用戶個人信息流動如脫韁野馬般不可控，增加了隱私泄露、被濫用的可能性和空間。而合作伙伴范圍極其廣泛，并且隨時可能增加，僅《知乎隱私保護(hù)指引》就列舉了廣告、分析服務(wù)類的授權(quán)合作伙伴，供應(yīng)商、服務(wù)提供商和其他合作伙伴等多種類型。知乎等社交媒體發(fā)展迅猛，規(guī)模龐大，經(jīng)營范圍廣泛，合作伙伴自然是數(shù)量龐大，可能獲得共享個人信息的主體會以千萬計，甚至更多。這些合作伙伴規(guī)模大小不一，對用戶個人信息重視程度有別，其中可能會潛藏著不懷好意者。盡管隱私政策中一再承諾，保證會要求合作伙伴按照知乎的說明、指引，以及其他任何相關(guān)的保密和安全措施來處理用戶的個人信息，且合作伙伴無權(quán)將共享的個人信息用于任何其他用途，但知乎如何能夠保證其合作伙伴會嚴(yán)格遵守知乎的要求呢？用戶又如何相信呢？尤其是分析服務(wù)類的授權(quán)合作伙伴，其合作的主要業(yè)務(wù)可能就是對用戶個人信息在內(nèi)的各種數(shù)據(jù)開展挖掘、分析、利用，對用戶個人信息利用范圍和深度都超出一般的合作單位，未經(jīng)用戶就共享個人信息的后果無法估量。用戶個人信息還可能通過知乎合作伙伴流向其他主體，造成個人信息的徹底失控。

2.使用專業(yè)詞匯，限制用戶權(quán)利

社交媒體隱私政策中使用專業(yè)詞匯，卻不對這些詞匯作出簡明易懂的解釋，導(dǎo)致用戶不能準(zhǔn)確理解其真實含義，這就賦予了社交媒體隨意設(shè)定自己權(quán)利的機會和空間，導(dǎo)致社交媒體與用戶之間權(quán)利與義務(wù)之間失去平衡。

《新浪微博個人信息保護(hù)政策(修訂版)》有專門的部分涉及Cookie及web beacon，但沒有說明什么是Cookie及web beacon?？赡苌缃幻襟w認(rèn)為，用戶知道或者理應(yīng)知道何為Cookie及web beacon，但Cookie及web beacon既是專業(yè)詞匯，也是英文詞匯，普通用戶很難理解，對此不作說明和解釋，用戶不明白、不理解其含義，自然難以知曉自己面臨的風(fēng)險、可以享受的權(quán)利以及社交媒體應(yīng)然的義務(wù)和責(zé)任，社交媒體也就可以隨意而為了。實際上，Cookie和web beacon會動態(tài)地收集用戶個人信息，“是隱私政策無法說明、無法預(yù)知的模糊地帶”[10]。

與之類似的是，《微信隱私保護(hù)指引》使用的ISO27001、國際信息安全管理體系、TRUSTArc等術(shù)語，也沒有詳細(xì)說明，用戶在閱讀過程中可能會產(chǎn)生誤解或者不當(dāng)?shù)穆?lián)想。

3.使用復(fù)雜句式，暗藏不公平條款

社交媒體用戶在文化程度、閱讀能力方面差異很大，對隱私政策文本的認(rèn)知能力自然也不同。但隱私政策中使用不少表述冗長、結(jié)構(gòu)復(fù)雜的句式，加重用戶的閱讀負(fù)擔(dān)。

《知乎隱私保護(hù)指引》中有不少復(fù)雜句式。有的并列內(nèi)容多，諸如“包括但不限于”等表述。有的采取例外表述方式，列舉了復(fù)雜的例外情形。有的轉(zhuǎn)折部分復(fù)雜，一般用戶難以讀懂，如“此外，在您使用瀏覽和收藏功能的過程中，我們會自動收集您使用知乎的詳細(xì)情況，并作為有關(guān)的網(wǎng)絡(luò)日志保存，包括但不限于您輸入的搜索關(guān)鍵詞信息和點擊的鏈接，您瀏覽和發(fā)布的內(nèi)容及評論信息，您上傳的圖片信息、您的交易信息、您使用的語言、訪問的日期和時間、及您請求的網(wǎng)頁記錄、操作系統(tǒng)、軟件版本號、登錄IP信息”，僅僅一句話，用了140多個漢字，信息十分豐富，對社交媒體的授權(quán)非常廣泛，除非專業(yè)人士，一般用戶根本不可能在有限的閱讀時間內(nèi)真正理解。

(三)強制用戶接受，剝奪用戶選擇權(quán)

社交媒體隱私政策中多處使用用戶不接受隱私政策、不提供個人信息，就不得、不能使用社交媒體這類表述。這種強制用戶作出選擇的做法，實際上并未給用戶任何選擇機會。《新浪微博個人信息保護(hù)政策(修訂版)》中規(guī)定，用戶不愿意提供個人信息的結(jié)果就是，“無法使用微博的全部或部分功能和服務(wù)，或無法獲得更個性化的功能，或無法參加某些活動，或無法收到我們的通知等”。這幾乎就是宣布用戶根本無法實際使用新浪微博。最終，用戶只能且必須按照微博的要求提供各種個人信息，沒有任何商量的余地。《豆瓣隱私政策》也有類似規(guī)定。

有些情形下，用戶接受了服務(wù)，不論用戶此時真實意愿如何，都被社交媒體推定為同意提供個人信息。實際上，用戶接受服務(wù)并不意味著就會意識到個人信息將被收集、加工、使用，更不意味著用戶同意社交媒體對個人信息的收集、使用、共享等。用戶接受社交媒體的服務(wù)，不能以無條件提供個人信息為代價，否則對用戶是非常不公平的。因為個人信息特別是個人敏感信息，有不少是帶有較強人身性的。如《豆瓣隱私政策》開篇即規(guī)定，一旦你開始使用豆瓣的各項服務(wù)，即表示你已充分理解并同意本政策。后面進(jìn)一步推定，用戶繼續(xù)使用豆瓣，即意味著同意修訂后的隱私政策，而不在乎用戶是否了解隱私政策是否修改，修改的程度如何，修改了哪些內(nèi)容，用戶的權(quán)利義務(wù)發(fā)生了什么樣的改變?！缎吕宋⒉﹤€人信息保護(hù)政策(修訂版)》規(guī)定，用戶注冊時即表示已默認(rèn)知悉且同意新浪微博記錄個人信息，至于用戶是否實際知曉并且同意，并不重要。

三、社交媒體隱私政策優(yōu)化的方向和路徑

社交媒體隱私政策的規(guī)范，需要在促進(jìn)社交媒體行業(yè)發(fā)展與保護(hù)用戶個人信息之間協(xié)調(diào)和平衡。

(一)糾正、修正違法或不公正的內(nèi)容

1.社交媒體應(yīng)履行更多義務(wù)，承擔(dān)更加積極的角色

隱私政策是用來對外公開宣示在保護(hù)用戶個人信息方面的努力，以獲取用戶信任的。其主旨是設(shè)定社交平臺收集、處理、分享用戶個人信息的行為規(guī)范，而不是向用戶宣示免責(zé)條款。社交媒體在草擬隱私政策過程中，必須以更多實在的權(quán)利吸引用戶。

同時，社交媒體通過收集用戶個人信息而占有海量的數(shù)據(jù)資源，是用戶個人信息的掌握者、使用者和受益者。社交媒體因處理用戶個人信息，掌握了用戶的需求、癖好，實現(xiàn)了精準(zhǔn)營銷，因分享、出售個人信息而獲取收益。既然社交媒體從用戶那里獲得了收益，就應(yīng)承擔(dān)保證其安全的義務(wù)。

為此，社交媒體應(yīng)該轉(zhuǎn)變角色，承擔(dān)起更大責(zé)任、更多的義務(wù)，真正將自己定位為利害關(guān)系方，而非用戶的對立面，應(yīng)該倍加愛護(hù)用戶個人信息，在真正保護(hù)用戶個人信息的同時獲取正當(dāng)收益。

社交媒體為了維護(hù)能夠決定自身發(fā)展前途命運的用戶個人信息之安全和價值，應(yīng)該加大投入，采取更先進(jìn)的技術(shù)，維護(hù)信息存儲系統(tǒng)的安全，保證信息利用流程的穩(wěn)定。

2.限制用戶個人信息被應(yīng)用的場景

社交媒體用戶提供的各種個人信息尤其是敏感個人信息被無限制地用于各種場景，違背了最小化、必要性原則。隱私政策中應(yīng)當(dāng)具體列明收集到的信息會被使用的具體場景和用途，不能直接規(guī)定社交媒體可以自主判斷、自由決定，也不能使用模糊語句造成實質(zhì)上的寬泛授權(quán)。

3.未經(jīng)用戶再次同意，社交媒體不得將用戶個人信息與包括關(guān)聯(lián)公司在內(nèi)的第三方共享

用戶在個人信息問題上授權(quán)社交媒體，是限于特定主體的具體授權(quán)，社交媒體無權(quán)將其擴張至第三方，包括其關(guān)聯(lián)公司和合作伙伴。社交媒體在向任何一家包括關(guān)聯(lián)公司、合作伙伴在內(nèi)第三方分享用戶個人信息時，應(yīng)專門通知用戶，并告知用戶共享的主體、共享的范圍、可能的后果等內(nèi)容，由用戶自主決定是否授權(quán)分享。

4.區(qū)分不同類型個人信息

在隱私政策的具體權(quán)利義務(wù)設(shè)定中區(qū)分一般個人信息與敏感個人信息。敏感個人信息不僅對用戶重要，對社交平臺來說價值更高。因此社交平臺更愿意積極收集、處理、利用與分享，由此造成個人敏感信息被損害的可能性更大，后果更嚴(yán)重。

在信息收集時，對敏感信息的收集必須基于合法、明確和特定目的，禁止對特別重要的個人敏感信息進(jìn)行隨意采集、記錄和存儲。隱私政策中應(yīng)列明必須經(jīng)過用戶特別逐一授權(quán)同意，并以粗體字、單獨列舉方式提醒用戶特別關(guān)注，謹(jǐn)慎決定是否授權(quán)同意。在使用、分享、公開、披露、傳播時，必須匿名化、假名化處理，避免用戶信息被輕易識別，匿名化處理必須是不可逆的。要預(yù)防重新識別的風(fēng)險，要保證不會在處理后與其他信息聯(lián)系又被識別。判斷標(biāo)準(zhǔn)為是否窮盡“合理方式”仍不可能進(jìn)行識別[11]。當(dāng)然，匿名化、假名化不等于用戶可以隨意向社交媒體平臺提供虛假個人信息，因為社交媒體為了解決用戶與社交媒體、第三方之間可能的爭議，有權(quán)要求注冊、登錄、使用的用戶提供真實信息[12]。

5.強化信息披露，民眾行使知情權(quán)、監(jiān)督權(quán)

社交媒體用戶知識水平、認(rèn)識能力畢竟有差異，不可能詳細(xì)、充分地掌握個人信息保護(hù)方面的知識。社交媒體粗略地描述用戶個人信息被收集使用的圖景，用戶并不能借助隱私政策具體、詳細(xì)、清晰地了解自己的個人信息被收集、處理、使用、共享的路徑，很難知曉它將給自身帶來的影響。盡管幾乎每一個社交媒體用戶都曾或多或少受到垃圾廣告、推銷廣告的騷擾，但用戶并不知道自己在什么時間、地點被誰泄露了個人信息，更不知道信息泄露到何種程度，作了什么用途，會造成什么樣的影響。

因此需要社交媒體以隱私政策為媒介，進(jìn)一步詳細(xì)披露對用戶個人信息處理方法、應(yīng)用場景，重點是披露對用戶個人信息處理、使用、共享可能的后果，對用戶的影響。隱私政策中信息披露用語要明白暢曉，應(yīng)該以普通用戶可以理解掌握作為衡量標(biāo)準(zhǔn)，以樸素的語言說明個人信息在社交媒體的流動路徑，切忌花哨的詞句。隱私政策的披露應(yīng)該動態(tài)化，根據(jù)對信息的不斷使用、合成以及分享情況，持續(xù)申明用戶個人信息面臨的風(fēng)險。

(二)尊重用戶的選擇同意權(quán)

用戶的授權(quán)同意是社交媒體對用戶個人信息處分的前提和基礎(chǔ)，用戶的同意應(yīng)當(dāng)是簡單、明了且自愿、直接的。

1.禁止強制同意，同意必須出于自愿

以用戶放棄使用權(quán)作為威脅手段，強迫用戶同意隱私政策內(nèi)容，承擔(dān)額外的義務(wù)和負(fù)擔(dān)，反映出社交媒體在處理用戶個人信息方面的隨意和霸道。深究背后根源，還是立法的缺失和監(jiān)管部門的執(zhí)法不嚴(yán)和選擇性執(zhí)法。社交媒體既然通過改變用戶的交流習(xí)慣、模式而獲利，成為網(wǎng)絡(luò)巨頭或獨角獸，就應(yīng)當(dāng)承擔(dān)起作為大企業(yè)的社會責(zé)任。社交媒體，特別是行業(yè)領(lǐng)先者，其提供的服務(wù)依然具有公共服務(wù)的特色，應(yīng)當(dāng)履行強制締約義務(wù)，不得隨意為追逐自身利益而拒絕提供服務(wù)。應(yīng)該考慮在立法中嚴(yán)禁社交媒體以同意提供個人信息作為享受服務(wù)的代價和條件，要求社交媒體研發(fā)更多的服務(wù)模式和樣態(tài)，保證用戶在不提供或者部分提供個人信息情況下仍然能夠享受社交媒體服務(wù)。設(shè)定用戶諸多權(quán)利的最終目的乃是為了保證用戶能夠控制其個人信息，進(jìn)而通過控制自主決定衡量采集、使用或披露其個人信息的成本與收益。[13]

2.禁止推定同意，同意必須明示，更不能間接、推定

隱私政策中應(yīng)刪除使用社交媒體就意味著同意隱私政策的錯誤規(guī)定，因為推定的同意，不能排除推定本身可能是錯誤的，并未反映用戶的真實意思。社交媒體獲得的同意，應(yīng)當(dāng)是用戶以直接、肯定、具體的意思表示做出的，不能含糊其詞。同時，獲取用戶同意的意思表示必須具體、表述簡單，因為內(nèi)容翔實具體、表述親切淺顯的隱私政策更能吸引用戶去閱讀[14]，用戶的同意才更有實際價值。

(三)以第三方認(rèn)證機制督促隱私政策的完善和落實

行業(yè)認(rèn)證是自律模式下最重要的做法之一。主要做法是網(wǎng)站申請，第三方認(rèn)證機構(gòu)考察檢視網(wǎng)站在用戶個人信息保護(hù)方面的做法決定是否予以認(rèn)證。如果認(rèn)證，則網(wǎng)站可以使用認(rèn)證標(biāo)志以提升其信譽，獲得更多用戶的認(rèn)可。獲得認(rèn)證后，第三方認(rèn)證機構(gòu)會定期檢查網(wǎng)站在隱私保護(hù)方面做法的持續(xù)性情況。有的第三方認(rèn)證機構(gòu)還提供用戶與網(wǎng)站平臺個人信息保護(hù)方面糾紛解決服務(wù)，網(wǎng)站必須無條件接受其處理結(jié)果，否則網(wǎng)站可能會被列入黑名單。當(dāng)然，整個認(rèn)證過程，第三方認(rèn)證機構(gòu)會收取一定的服務(wù)費用。由于認(rèn)證是由獨立第三方為網(wǎng)站背書，能夠較大尺度提升網(wǎng)站在用戶隱私保護(hù)方面的公信力和信譽，讓用戶有理由充分相信網(wǎng)站的個人信息保護(hù)水平達(dá)到了要求的高度，同時也能督促網(wǎng)站不斷改進(jìn)隱私政策，提高隱私政策保護(hù)水平，因而受到不少網(wǎng)站的歡迎，特別是各行業(yè)處于領(lǐng)先地位的大型網(wǎng)站，大都接受了認(rèn)證服務(wù)。國外比較知名的隱私政策認(rèn)證機構(gòu)包括TrustArc(原來稱TRUSTe)、BBB Online，都有一套相對成熟的做法，保證其認(rèn)證的水平和公信力。認(rèn)證標(biāo)準(zhǔn)如the U.S-E.U. Safe Harbor Agreement (SHA)，能夠劃定美國公司遵循確保符合嚴(yán)厲的歐盟信息隱私法的一整套信息隱私實踐框架，也可以被公司用作表明信任的封條。[15]

當(dāng)然，國外包括社交媒體在內(nèi)，網(wǎng)站在隱私政策第三方認(rèn)證方面也存在不少的問題，例如認(rèn)證不夠充分，覆蓋面不夠廣泛等。域外調(diào)查顯示，在調(diào)查的249份隱私政策中，只有27%實際上宣稱遵守了至少十五個第三方標(biāo)準(zhǔn)其中之一[15]。

國內(nèi)社交媒體隱私政策普遍缺少第三方認(rèn)證，有的在隱私政策中根本就未提及第三方認(rèn)證事宜，如《新浪微博個人信息保護(hù)政策(修訂版)》《百度貼吧隱私政策》；有的社交媒體在隱私政策中陳述獲得了相關(guān)認(rèn)證，但鮮有獲得獨立第三方特別是知名獨立第三方隱私保護(hù)認(rèn)證的，如《知乎隱私保護(hù)指引》中只是提及與第三方測評機構(gòu)建立了良好的協(xié)調(diào)溝通機制，并未明確獲得第三方認(rèn)證。僅有《微信隱私保護(hù)指引》清楚地表明隱私保護(hù)已經(jīng)達(dá)到ISO27001、國際信息安全管理體系、TRUSTArc等要求的標(biāo)準(zhǔn)，并獲得了認(rèn)證，微信也在其隱私政策下方使用了TRUSTArc的認(rèn)證標(biāo)志。此外，用戶對第三方認(rèn)證知之甚少，不知曉第三方認(rèn)證的作用和價值，從而并不看重和認(rèn)可第三方認(rèn)證的吸引力和公信力，導(dǎo)致社交媒體獲得第三方認(rèn)證的積極性并不高。

國內(nèi)缺少權(quán)威性高、用戶認(rèn)可的個人信息保護(hù)第三方認(rèn)證機構(gòu)，也是造成第三方認(rèn)證并不普遍的重要原因?，F(xiàn)有的第三方認(rèn)證機構(gòu)，特別是影響力大的，都是域外的機構(gòu)，國內(nèi)并無權(quán)威的第三方個人信息保護(hù)認(rèn)證機構(gòu)，甚至是一般的都很少。因此，設(shè)立權(quán)威的第三方認(rèn)證組織是緊迫的工作。第三方認(rèn)證機構(gòu)或為商業(yè)性質(zhì)機構(gòu)，或為非營利機構(gòu)。從追求權(quán)威性、公正性角度來看，我國建立的第三方認(rèn)證機構(gòu)以非營利性為宜。由監(jiān)管部門或者行業(yè)協(xié)會組織成立，專職從事隱私政策認(rèn)證。不以營利為目的，不向被認(rèn)證對象收取費用，消除利益沖突的可能性。

我國社交媒體第三方認(rèn)證機構(gòu)需要進(jìn)一步做的工作主要是研制一套完整、系統(tǒng)的個人信息保護(hù)評價體系，審查檢討被認(rèn)證網(wǎng)站是否達(dá)到要求的標(biāo)準(zhǔn)，并確保被認(rèn)證網(wǎng)站在用戶個人信息保護(hù)方面持續(xù)性地達(dá)到要求的水平。建立獨特有效的追索權(quán)實現(xiàn)機制，第三方認(rèn)證機構(gòu)應(yīng)該保證投訴、追索用戶的訴求能夠以簡單、方便、快速的方式得以實現(xiàn)，獲取用戶的認(rèn)可和信任。對第三方認(rèn)證機構(gòu)開展行之有效的監(jiān)督，督促其履行持續(xù)監(jiān)督社交媒體遵從認(rèn)證標(biāo)準(zhǔn)。美國FTC就曾針對未能有效監(jiān)督被認(rèn)證企業(yè)提起三起訴訟[15]。

(四)法律責(zé)任

1.創(chuàng)設(shè)新型權(quán)利，為用戶追究法律責(zé)任鋪設(shè)根基

盡管每個人都清楚個人信息的重要性，但在現(xiàn)有的法律框架下，存在用戶的個人信息究竟屬于何種權(quán)利，權(quán)能包括哪些，權(quán)利的邊界在何處，諸如此類問題。應(yīng)當(dāng)考慮在民法典或者專門的個人信息保護(hù)法中就個人信息、個人數(shù)據(jù)權(quán)利的性質(zhì)、權(quán)利主體、權(quán)利客體、權(quán)利內(nèi)容等方面進(jìn)行規(guī)定，明確用戶在社交媒體等平臺中信息數(shù)據(jù)的歸屬、權(quán)利分配等問題，杜絕社交媒體對個人信息權(quán)的非法侵蝕。

2.在隱私政策中增加清晰表明責(zé)任的條款

信息安全保障責(zé)任。隱私政策中既要承諾采取的積極措施和技術(shù)手段，更加需要列明在各種情形下用戶個人信息被竊取、被泄露等情況下，社交媒體應(yīng)當(dāng)承擔(dān)責(zé)任的情形和具體責(zé)任形式。

社交媒體應(yīng)該投保網(wǎng)絡(luò)個人信息侵權(quán)損害責(zé)任保險、分散風(fēng)險，防范大規(guī)模用戶個人信息泄露后無力承擔(dān)責(zé)任。投保費用應(yīng)由社交媒體籌集并繳納，因為風(fēng)險主要是社交媒體收集、處理、利用程序中產(chǎn)生的，而這一過程也是社交媒體追逐利潤的過程。

通過設(shè)立網(wǎng)絡(luò)侵權(quán)損害救助基金等方式彌補責(zé)任保險的不足部分?；鹬饕獊碓从谏缃幻襟w利潤，按照一定比例提取。在責(zé)任保險索賠后仍然得不到全部救濟的情況下，用戶可以申請救助基金獲取救濟資金支持。獲得救濟后，需要將索賠請求權(quán)轉(zhuǎn)讓給基金，由后者決定是否追償。

3.完善用戶維權(quán)追究責(zé)任的路徑和程序

社交媒體隱私政策中缺乏對責(zé)任尤其是自身法律責(zé)任方面的內(nèi)容。盡管社交媒體隱私政策中一再聲明，會保障用戶個人信息安全，會履行義務(wù)，積極保障用戶的各項權(quán)利，但鮮有明確如果不履行隱私政策中設(shè)定的各項義務(wù)的后果和法律責(zé)任。用戶個人信息被侵犯，能夠獲得的救濟途徑也單一且不利。如《百度貼吧隱私政策》給出的救濟途徑是通過用戶隱私投訴平臺聯(lián)系，處理的期限是30天。用戶可以與百度貼吧直接聯(lián)系，具體途徑是郵寄有關(guān)材料去公司法務(wù)部，要求提供的材料包括身份證明、有效聯(lián)系方式和書面請求及相關(guān)證據(jù)，用戶只有身份被確認(rèn)后訴訟才會被處理。用戶也可以在權(quán)利受損時提起民事訴訟，但必須選擇百度貼吧所在地作為受訴法院。其他幾家社交媒體對爭議解決也有類似規(guī)定，《豆瓣隱私政策》的聯(lián)系方式是電子郵件，回復(fù)時間是15天，起訴管轄法院也是豆瓣所在地?！段⑿烹[私保護(hù)指引》告知的聯(lián)系方式包括網(wǎng)站、電子郵箱和現(xiàn)實地址，答復(fù)期限為30日?！吨蹼[私保護(hù)指引》告知了用戶能夠通過知乎官方帳號“知乎小管家”電子郵箱聯(lián)系，回復(fù)期限是30日，起訴法院也是知乎所在地法院，同時用戶還能夠選擇向有關(guān)部門反映，但有關(guān)部門究竟是哪個部門，并未明確?！缎吕宋⒉﹤€人信息保護(hù)政策(修訂版)》僅涉及網(wǎng)站、電子郵件和現(xiàn)實地址通知，答復(fù)期為30天，并未涉及如何訴訟以及訴訟管轄法院的選定問題。

為解決用戶維權(quán)難問題，需要發(fā)展網(wǎng)絡(luò)救濟機構(gòu)，建立網(wǎng)上投訴中心，處理侵犯用戶個人信息受害投訴；建立網(wǎng)上調(diào)解機構(gòu)，協(xié)調(diào)用戶與社交平臺的爭議；創(chuàng)設(shè)在線網(wǎng)上仲裁機構(gòu)，強制雙方發(fā)生爭議必須選擇仲裁，為用戶提供具有法律效力的仲裁救濟；構(gòu)建網(wǎng)絡(luò)簡易訴訟制度，縮短審理期限，建立一審終審、巡回法庭辦案等制度。