网络隐私第三方认证机制初探,本文主要内容关键词为:第三方论文,隐私论文,机制论文,网络论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
随着计算机的广泛使用和网络技术的不断发展,在网络交易过程中收集、存储、加工处理和传递个人信息变得越来越迅速便捷,与此同时,个人信息遭到不当收集、恶意使用和传播的隐患随之出现,如何有效地保护个人的网络隐私成为亟待解决的问题。目前,各个国家都在以不同的方式和不同的程度介入网络隐私保护问题。为了给电子商务的发展营造一个比较宽松的环境,以美国为代表的发达国家倾向于以业界自律的方式来解决网络隐私问题。该模式最具特色也最广泛使用的一种方式是网络隐私认证计划(Online Privacy Seal Program)。
1 网络隐私认证计划简介
网络隐私认证计划是一种私人行业实体致力于实现网络隐私保护的自律形式。该计划要求那些被许可在其网站上张贴隐私认证标志的网站必须遵守在线个人信息收集的行为规则,并且服从多种形式的监督管理[1]。目前在美国有多种形式的网络隐私认证组织,最为有名的是TRUSTe和BBBOnline。本文对第三方认证机构的相关问题将以这两大隐私认证机构为代表进行分析。
TRUSTe是由美国电子前线基金会(Electronic Frontier Foundation)与CommerceNET集团在1996年共同发起成立的以倡导保护网络隐私为主旨的非赢利机构,目前TRUSTe隐私图章已经应用于2400多家网站,美国最著名的网站如雅虎、亚马逊、美国在线以及微软均是其认证成员[2]。TRUSTe为电子商务网站的隐私保护承诺提供了证明,也为全行业提供了一种标准的、低耗费的缓解消费者担忧在线个人信息安全的解决方法。
BBBOnline是1999年初美国企业促进局(Better Business Bureau,BBB)发起成立的,其主要职能就是倡导符合道德要求的在线业务和信息规范,如通过促进信息公布和事先同意的原则,来建立消费者对互联网的信任,目前已有706家网站是其隐私认证会员[3]。BBBOnline现已将其隐私认证计划服务改成可靠认证计划(Reliability SealProgram),换句话说其未来的工作重心将由对隐私实践的认证和监督转移到一般交易活动的认证,其服务重心的转变是否会降低隐私保护水平还有待未来的考证。
2 网络隐私第三方认证机制
网络隐私第三方认证(Third- party Certification)是指一具有公信力的认证机构对被认证网站是否符合认证机构制定的关于个人信息使用的相关规范与要求的查证,并对符合其认证与规范要求的网站给予隐私图章(Privacy Seal),并允许将其放在公司网站上,以代表该公司网站确实通过此第三方认证机构的检验。网络用户可以通过查看网站是否张贴隐私图章来确定其制定的隐私政策是否得到第三方认证机构的核准。若访问的网站张贴有隐私图章,用户则可以点击该图章,链接进入第三方认证机构的网站,通过查看该网站就可以核实该隐私图章是否有效,访问的网站是否遵循经过认证的隐私政策。
目前存在的网络隐私第三方认证机构均能做到让消费者核实其访问的网站是否遵循核准的隐私政策,这些机构的隐私认证过程大同小异,网站从提出申请隐私图章到认证机构授予图章包括5个步骤:①网站向某权威认证机构申请获得隐私图章。②第三方认证机构对申请网站进行检查,看它是否符合认证机构隐私保护原则。③申请网站制定的隐私政策遵循认证机构的隐私保护规章。④第三方认证机构将合格申请者列为会员。⑤认证机构授予网站隐私图章,允许在其网站主页上张贴认证机构的隐私图章标志。
这里以TRUSTe为例来说明第三方认证机构如何对网站进行初始认证、后续监督以及如何解决客户投诉。
1)初始认证。当网站为获得TRUSTe的认证而提交了正式的申请表后,TRUSTe将检查申请网站,看它是否符合程序原则(Program Principles)。其目的是为了确保该网站的隐私政策明确指出哪类个人信息被收集,谁在收集、为何目的收集、如何使用以及与谁共享等。如果网站满足TRUSTe的认证要求,TRUSTe就会授予网站隐私图章,允许在其网站主页上张贴认证机构的隐私图章标志。
2)后续监督。当申请网站成为会员后,TRUSTe就会定期检查网站,确保网站的行为符合它公布的隐私声明,并且检查网站隐私声明的变动。初始认证和后续监督都是在网站事先不知道的情况下,通过提交特定标志符到网站来跟踪该站点个人信息的使用,并监控结果,以此来确定其信息收集使用行为是否与该站点的隐私声明相符合。
3)争端解决。当消费者认为网站侵犯其隐私权,而就隐私侵权问题不能得到会员网站恰当处理时,TRUSTe为其提供一种在线的争端解决服务,即所谓的看门狗争端解决方法(Watchdog Dispute Resolution Process)。这项服务可以免费提供给任何认为自己的网络隐私权受到侵犯的消费者。被投诉的网站必须执行TRUSTe的最终决定,否则认证机构就会取消其继续使用TRUSTe隐私图章的权利,并将其列入“不守规矩的网站”的名单中,甚至通过适当的途径向相关的法律权威部门提起诉讼,如美国贸易委员会或者消费保护机构等。这样一个认证程序逐渐为TRUSTe树立了一定的威信。
3 网络隐私第三方认证的作用原理
消费者在进行交易时需要获得与交易有关的真实、完整的信息,这样才能作出正确的决策。在B2C电子商务模式下,由于互联网交易的虚拟性,买卖双方的信息不对称,消费者对大部分网上零售商知之甚少,由此造成消费者对零售商提供的产品和服务缺少信任。Verhagen等学者的实证研究表明,消费者对电子商务网站的信任程度将影响其在线购物积极性[4-5]。为此也不断有学者研究在网络环境下信任的影响因素,其中,Hoffmann等人认为第三方认证是影响消费者信任的重要因素之一[6]。那些被许可在其网站上张贴隐私图章的会员网站必须遵守在线个人信息收集的行为规则,并且服从第三方认证机构多种形式的监督管理,它使得消费者对网站建立了一定程度的信任感[7]。以美国最有名的网络隐私第三方认证机构之一TRUSTe为例,成为TRUSTe的会员就意味着该网站的隐私保护政策是值得信任的,用户看到了网站带有TRUSTe隐私图章就能知道该网站的隐私政策是受到监督的,它使得消费者便于识别那些遵守了特定的信息收集行为规则的网站,其功能就在于能够减少用户的隐私忧虑,从而增加消费者对电子商务网站的信任感。
4 网络隐私第三方认证目前存在的问题
理想的隐私认证计划应该能够严格监督会员网站隐私实践,提供针对消费者投诉的解决方法以及恰当惩罚违规网站。但是作为一种自律措施,隐私认证计划在保护个人隐私方面仍然存在不少障碍。主要存在以下几方面的问题。
4.1 参与认证的网站数量有限
以目前会员数目最多的TRUSTe而言,至今仅有2400多家网站拥有其隐私图章。与上千万收集用户信息的网站相比,其数目微乎其微。根据美国联邦贸易委员会在2000年度的报告,年随机抽取的350个网站中只有8%;在100个最为流行的商业网站中只有45%的站点显示有隐私认证标志。其原因部分在于业界的懈怠。对于规模小的公司来说,会员费是一笔不小的负担。TRUSTe对年收入低于100万美元的公司收取649美元的年费,而BBBOnline会相对少些,对年收入低于100万美元的公司收取200美元的年费。除此之外,小公司还必须雇佣员工从事诸如制定隐私政策等文书工作以及在隐私政策执行过程中确保其隐私实践符合第三方认证机构的标准[8]。而且TRUSTe和BBBOnline都要求申请成为会员的网站制定的隐私政策必须遵循美国联邦贸易委员会FTC提出的隐私保护标准,即通知(Notice)、选择(Choice)、访问(Access)和安全(Security)。为此,小公司如果要获得TRUSTe图章必须制定隐私政策,其中也必须指出网站所收集的是何种个人信息、将如何使用该个人信息、允许消费者对信息的使用方式进行选择、同意用户访问其个人信息并修改不实信息、采取安全措施保护个人信息及保证遵守第三方认证机构制定的标准,等等。由于上述的原因,采纳网络隐私认证计划将加重小公司的负担,不利于其发展,所以第三方隐私认证通常对小公司并不具备吸引力。第三方隐私认证计划只对那些加入认证的网站起到一定的约束作用,而对那些非会员网站起不到任何作用。加入认证的网站数量较少难以形成普遍的影响力,可想而知其在隐私保护方面的效果有多大。
4.2 监督机制不够健全
第三方认证机构对网站的监督并不能保证网站的行为符合图章授予机构制定的隐私保护指南。FTC质疑第三方认证机构能否在不需要联邦管制的情况下有效地监督网站隐私实践。例如,FTC调查表明将近一半的被授权张贴隐私图章的网站并没有满足公平信息行为准则(Fair Information Practices)[9]。
一旦给予网站隐私保护策略认证,第三方认证机构的后续监控力度就有所减弱。如TRUSTe每个季度都会对获得其认证的网站进行审核以确定会员是否遵循隐私保护条例,但是其并没有去查看网站的财务账簿以确定是否出售过用户个人资料,也没有检查他们的程序源代码中有没有可以将用户信息暗度陈仓的语句[10]。TRUSTe不能有效地监督认证网站的隐私实践,主要原因在于对会员进行初始认证与认证合格后的后续监督成本较高。在成本较高的情况下,第三方认证机构可能就倾向于将有限的资源用于吸引潜在会员而不是监督现有会员执行隐私保护条例的情况[5]。
4.3 争端解决机制不完善
除了监督不完善外,第三方认证机构也并不积极采取严厉措施解决隐私投诉问题。对违反隐私保护章程的会员网站采取措施时,第三方认证机构考虑更多的是信息处理者而不是消费者的利益[11]。在2002年TRUSTe收到1801件与隐私相关的投诉,而据TRUSTe的管理人F.Maier称只在两起案例中网站被取消张贴隐私图章[12]。另外,TRUSTe要求消费者将投诉传递到网站上,但却需要30天的时间才能收到认证机构的第一次响应,而且也没有将投诉进行公示或者找到解决争端的对策[13]。
基于网络隐私认证计划存在的一些局限性,尤其是在侵犯隐私被发现的可能性以及违法成本相对较低的情况下,一些网络商家就有可能不执行严格的认证规章[5]。这在一定程度上了削弱了网络隐私认证计划保护个人隐私的力度。因此获得隐私认证并不能保证网站不会侵犯用户的隐私。像Microsoft和RealNeworks这样的互联网巨型企业虽然都通过了TRUSTe的认证,但都曾被指控有侵犯用户个人隐私的行为。Rifon等调查表明加入认证的网站比没有加入认证的网站,其收集的消费者个人信息更易被侵犯,加入认证的网站仍然会从事侵犯消费者隐私的行为,例如在未告知消费者的情况下与第三方共享个人信息[13]。
5 完善第三方认证机制的策略建议
5.1 与法律保护相结合
网络隐私认证计划作为行业自律的一种形式,尽管要使其在隐私保护中充分发挥作用还有一段距离,但毫无疑问它将会是网络隐私保护机制中不可缺少的一个环节。基于网络隐私认证计划在实践中仍面临着诸如民间组织自我约束无论是意识上还是能力上存在局限、不愿意对违反章程的组织成员采取措施以及考虑更多的是信息处理者而不是消费者利益的问题,为使网络隐私第三方认证对会员网站更具有约束力,必须要和法律保护相结合。在由立法对隐私保护规定最低标准的情况下,各行业可根据自身的特点和具体情况,遵循收集限制原则、目的明确化原则、使用限制原则、个人参与原则制定更加细化、更加灵活的措施。只有这样,才能在发展电子商务的同时更有效地保护消费者网络隐私安全。
5.2 政府加强监督,建立有效的处罚机制
为防止第三方认证机构提供虚假认证信号,政府必须对第三方认证机构进行监督。由民间组织管理的第三方认证机构不愿意对违反隐私保护条例的组织成员采取严格措施,但如果由政府主管个人信息保护的部门对第三方认证机构的运行进行监督管理,通过划分认证机构的信用等级,提高认证机构的准入标准,对违反规则的第三方认证机构给予暂停执业、责令改正、取消其认证资格等处分并在媒体上给予公布,则可以保证网络隐私第三方认证的正常运行。网络隐私认证计划作为自律机制的一种方式,虽然其在运作过程中存在不少缺陷,但如果是在政府监督下进行运作,必定会是保护网络隐私多种方式当中一支积极有力的力量。
5.3 对网络用户进行教育
为使隐私认证计划更有效,必须对用户进行教育让他们理解什么是网络隐私认证计划,TRUSTe,BBBOnline等是什么样的机构,对网络隐私的保护起到什么作用,当网站侵犯了用户的隐私权时如何通过第三方认证机构进行自我权益的保护以及获得相应的赔偿。通过对消费者进行教育,让他们明白网站张贴隐私图章可以在一定程度上约束网站收集利用个人信息的行为,这样一定程度上可以建立消费者对具有隐私图章网站的信任。另一方面,网站为了在消费者心目中树立良好的隐私保护形象,也会积极加入网络隐私认证计划。在消费者和网站共同参与下,网络隐私认证计划影响范围将更广,对保护网络隐私将起更大的作用。当然,基于前面提到的局限性,消费者也不能盲目信任隐私图章。为确保自己的个人隐私免受侵犯,应亲自阅读访问网站的隐私声明,并且应尽所能有效利用各种途径去监督个人信息到底是怎样被使用的。如果发现个人信息遭到不当使用,应向第三方认证机构投诉,如若得不到有效地解决,可将问题诉诸法律部门,寻求司法救济。
5.4 加强第三方认证机构的独立性
要让公众更加信任第三方认证机构,必须保证其认证业务的独立性。经济上依赖会员网站的认证机构是很难做到真正的独立。为弥补认证和审核等过程产生的成本,可考虑部分运作成本由政府部门资助。值得注意的是目前BBBOnline国际自律计划运作成本是由美国商务部国际贸易处和市场发展合作计划共同资助的。可见美国政府正积极促进网络隐私认证计划的发展。
6 网络隐私认证计划对我国的借鉴
目前我国的电子商务正处于发展的初期,但由于担心个人信息得不到有效的保护,人们对使用基于互联网的各种服务心存疑虑,严重影响到我国电子商务的健康发展。为应对个人信息安全危机,我国正在加快个人信息保护法制化进程。但是仅仅通过立法手段保护消费者的网络隐私还是不够的,基于行业自律比法律规范更具灵活性,更能根据具体的情况制定灵活的措施,可以弥补法律规制的滞后性,我国可考虑借鉴国外的经验,立足本国的国情,将法律规范和业界自律相结合。就本文提到的行业自律措施之一网络隐私认证计划而言,目前在我国并没有第三方认证机构对电子商务网站的隐私保护行为进行认证和监督,随着我国电子商务的发展,消费者网络隐私意识的增强,对网络隐私保护的需求将日益迫切。在完善立法保护个人信息的同时,我国可考虑成立达标的网络隐私认证机构,对网站制定的隐私声明进行评估,对符合网络隐私保护要求的网站授予隐私图章。认证网站可通过隐私图章在消费者中确立良好的隐私保护形象,从而增强消费者网上购物的信心,随着加入认证网站数量的增加以及隐私认证机制的不断完善,将促使我国电子商务在一个健康的环境中获得更大的发展。
收稿日期:2008—12—08