網站只要存在個人信息收集行為,便須受《網絡安全法》的法律約束。我們因此分析了這500家網站收集個人信息的概況,並依據五個類別(即政府類、社會組織類、教育類、商業類、敏感信息類)進行歸類統計(見表1)。我們發現:收集個人信息的網站在所有類別網站中都佔據了極高比例。教育類網站收集比例最高,高達100%,因為所有教育類網站都需要通過學號(或其他帳號)以及密碼來登陸,以查詢成績、課程表、考試日程等個人不同情況。敏感信息網站作為挑選出的一個單獨類別,收集個人信息的比例也高達95%。另外,絕大部分網站均需要進行身份識別。商業類網站需要身份識別的也達到84%。再者,除了教育類網站,大部分網站是為了註冊需要而採集個人信息的。尤其是敏感類網站,為了註冊需求收集個人信息的近90%。最後,我們發現不少網站允許用虛假個人信息註冊。在所有類別的網站中,社會組織類的網站允許用虛假個人信息註冊的比例最高,達到34%;其次是政府類網站,也高達26%。在這些網站中,雖然有些服務(如使用市長信箱)需要用個人真實信息註冊才能使用,但是用戶可以用虛假信息進行註冊並享受服務。
鑑於絕大部分網站都在收集個人信息,因此我們有必要知道這些網站在收集信息的時候,是否較好遵守了《網絡安全法》的相關規定。如前所示,《網絡安全法》要求所有網站必須明示收集信息的目的、方式和範疇。這是個硬性要求,集中體現在各個網站的隱私政策聲明(含信息保護政策)是否合規上。因此,我們對各網站的隱私政策進行了如下內容分析:
(一)隱私政策的發布
首先,我們審查了收集個人信息的網站中提供隱私政策聲明的比例,在此基礎上評估了三項明示要求的遵守程度。主要指標包括:該政策是否包含數據收集的目的;該政策是否包含數據收集的方式;該政策是否包含數據收集的範圍。其中,第一項指標在下文中會有具體分析。第二項指標不限於用戶自身提供個人信息的方式,也包括第三方來源,通過cookies、web beacon等技術手段收集信息的方式。第三項指標主要涉及所收集個人信息的類型等。
表2顯示,各類網站發布隱私政策的情況存在較大差異。在相互獨立的四類網站中,商業類網站提供隱私聲明比例最高,為66%;比例最低的是教育類網站,只有4%;73%的敏感信息類網站提供了相關政策,顯示出相對較高的合規性。
然而,大部分發布隱私政策的網站,圍繞《網絡安全法》明示原則的合規程度不容樂觀。在相互獨立的四類網站中,明示原則合規程度最高的是商業類網站,但商業類網站中包含數據收集的目的、方式、範圍等信息的網站仍均未過半,其中告知用戶數據收集的範圍的比例最高。敏感信息網站對於三類信息的明示表現出較高的合規性,但也只是略微過半。可見,大部分網站都沒有明確告知用戶明示原則所要求的三類信息,尤其是教育類網站在此方面的表現最差(但其收集信息的比例卻最高)。
(二)個人信息收集的目的
《網絡安全法》明確要求向個人信息主體明示數據收集的目的。目前,一些網站收集個人信息的目的確實是為了優化服務,比如了解用戶的興趣點,以推出個性化服務;或者優化網站的整體性能,以更好地和用戶交流。另有一些網站允許用戶對其數據進行一定程度的控制,提供選擇性加入或退出機制,比如允許用戶訂閱或退訂網站的廣告郵件、RSS服務等。在我們看來,這些都是很好的個人信息保護實踐。為此,我們對相關網站的隱私政策進行了進一步分析,結果如下:
可以看出,商業類網站為優化服務收集信息的比例相對較高,但也不到50%。相比之下,只有2%的教育類網站聲明收集個人數據是為了優化網站服務,是所有類別網站中最少的。此外,部分網站隱私政策中包含了選擇性退出機制,但比例都不高。其中,商業類網站和敏感類網站勉強達到20%以上,其他類型的網站均不超過5%。包含選擇性加入機制的網站比例也不高,除了社會組織類網站超過20%之外,其他類型的網站均不超過6%。大部分網站均表示,註冊本網站就表明已默認將接受相關推送服務。
(三)信息保密性與安全保障
《網絡安全法》第42條要求網絡運營者應採取措施確保信息安全,第49條還要求網絡運營者建立網絡信息安全投訴、舉報制度,並公布投訴、舉報方式等信息。為此,我們審查了各類網站的隱私政策是否包含信息安全保障聲明以及更加細化的安全保障舉措等信息。考慮到僅表明建立了信息安全投訴、舉報制度而並未公布投訴、舉報方式是毫無意義的,我們還審查了網站隱私政策中是否包含投訴、舉報方式等信息。
統計顯示,各類網站對「提供信息安全保障聲明」這一舉措的執行程度不一,與網站是否 「提供隱私政策」的比例數據比較一致。其中,敏感網站比例最高,達到72%;其次為商業網站,達到67%;政府類和社會組織類基本持平,分別為30%和32%;教育類網站最低,僅為4%。
在有信息安全保障聲明的網站中,提供詳細保障聲明的,社會組織類和教育類均達到100%。需要說明的是,教育類網站中有且僅有一個網站提供了數據保護聲明,且比較詳細,因此出現100%的比例。商業類網站提供詳細聲明的比例也達到了91%,政府類則為75%,敏感信息類網站則達到了94%。
雖然大部分提供數據保護聲明的網站都提供了詳細的數據保護聲明,但是其中包含了投訴、舉報方式的網站比例明顯較低。在四個獨立分類網站,「包含投訴、舉報」方式的一項中,佔比最高的是社會組織類網站,達到69%。其次是教育類網站,為50%(但適合統計的基數較小)。商業類網站所佔的比例僅有47%,政府類網站為37%,基本上僅為「提供詳細保障聲明的」一項數據的二分之一。敏感網站提供投訴、舉報方式的比例為46%,其網絡安全的反饋機制也有待進一步完善。
(四)刪除權與更正權
《網絡安全法》第43條規定用戶有權刪除和更正其個人信息。與信息保密和安全保障職責一樣,該法並未規定用戶的刪除權與更正權應予以明示,但網站有義務尊重用戶的刪除權與更正權,我們因此審查了網站隱私政策中是否提供了這樣的信息。
統計顯示,在四類獨立分類並具有隱私政策的網站中,「聲稱用戶有權刪除其個人信息」這一項,政府類網站的比例最高,達到52%,商業類網站則為30%,社會組織類則僅為16%。教育類網站中,沒有一個網站提供用戶有權刪除其個人信息的聲明。敏感網站此項數據僅為30%。
而「聲稱用戶有權更正其個人信息」的統計結果則比前項稍高。按類別分,比例最高的仍為政府類網站,達到74%。商業類網站達到了50%以上,社會組織類則僅為21%。教育類網站雖然達到了50%,但同樣是基數較小所致。敏感網站的該項數據為58%,顯示其對於用戶數據的準確性和更新較為重視。
(五)隱私政策的可見性
隱私政策如果明顯可見,無疑有助於提升用戶的信息保護意識和實踐,也可進一步彰顯網站保護用戶信息的誠意和決心。假設隱私政策可見度非常高,那麼它應該擁有一個獨特的、易發現的標題,其次還應充分考慮其他影響可見性的因素。具體來說,我們從以下幾個方面對隱私政策的可見性進行檢測:主頁是否有隱私政策聲明,該聲明是否採用了獨特的標題(比如包含「隱私」、「數據保護」等字眼),該聲明是否包含在服務協議等相關材料中,該聲明在網站主頁的位置,網站的主頁是否可連結到隱私政策聲明。
表6顯示,四類含有隱私聲明的網站中,社會組織類網站「主頁有隱私政策聲明」的比例最高,佔58%;其次為政府類網站,佔55%;商業類網站佔比最低,僅為45%。統計範圍內的教育類網站中,僅有兩個網站具有隱私政策聲明,在主頁顯示隱私政策的教育類網站僅一個。敏感網站在主頁顯示隱私聲明的比例僅為52%。
在主頁有隱私政策聲明的四類網站中,教育類和政府類的隱私聲明全部包含「隱私」字眼。商業類網站和社會組織類網站主頁隱私政策聲明中包含「隱私」字眼的比例依次為84%和64%。敏感信息類網站在這一項目的統計指標中也並不是特別突出,僅為82%。相比於關鍵詞「隱私」來看,隱私政策聲明在主頁中以「數據保護」等為關鍵詞的比例較低,最高為社會組織類,達到55%,教育類和政府類則均未出現「數據保護」等關鍵詞。
在四類網站中,隱私政策包含在服務協議等相關聲明中佔比例最高的是商業類網站,達84%;政府類網站僅為39%,佔比最低。教育類網站雖達到100%,但是由於僅有兩個網站具有隱私聲明,該兩家網站的隱私聲明均包含在服務協議等聲明中。
在主頁有隱私政策聲明的四類網站中,絕大部分的隱私聲明發布於網頁底部。僅有3%的隱私聲明出現在商業類網站主頁頂端,9%的隱私聲明出現在主頁中部。而主頁具有隱私聲明的敏感信息類網站中,則分別有3%和2%出現在主頁的頂部和中部。
此外,社會組織類、商業類均出現了隱私聲明連結不可用的情況。在具有隱私聲明的網頁分類統計中,社會組織類連結不可用情況達到5%以上,商業類則達到了5%。而在具有隱私聲明的敏感信息類網站中也有3%的網站隱私聲明連結不可用。