|
近日, Facebook超过5000万用户信息数据泄露事件沸沸扬扬,用户信息保护问题引起高度重视。那么,我国网站对个人信息保护处于什么样的状况呢?上海交通大学邵国松教授等选取了我国500家颇具影响力的网站,对其隐私政策声明(含个人信息保护政策)进行分析,审查这些网站是否很好地执行了《网络安全法》相关条款,结果并不乐观—— 绝大部分网站都收集个人信息 网站只要存在个人信息收集行为,便须受《网络安全法》的法律约束。我们因此分析了这500家网站收集个人信息的概况,并依据四个类别(即政府类、社会组织类、教育类、商业类)进行归类统计,同时在这四类网站中再选取100家可能收集个人婚恋、金融等敏感信息的网站加以分析。 我们发现:收集个人信息的网站在所有类别网站中都占据了极高比例。教育类网站收集比例最高,高达100%,因为所有教育类网站都需要通过学号(或其他账号)以及密码来登陆,以查询成绩、课程表、考试日程等个人不同情况。敏感信息网站作为挑选出的一个单独类别,收集个人信息的比例也高达95%。另外,绝大部分网站均需要进行身份识别。商业类网站需要身份识别的也达到84%。再者,除了教育类网站,大部分网站是为了注册需要而采集个人信息的。尤其是敏感类网站,为了注册需求收集个人信息的近90%。最后,我们发现不少网站允许用虚假个人信息注册。在所有类别的网站中,社会组织类的网站允许用虚假个人信息注册的比例最高,达到34%;其次是政府类网站,也高达26%。在这些网站中,虽然有些服务(如使用市长信箱)需要用个人真实信息注册才能使用,但是用户可以用虚假信息进行注册并享受服务。
表1 各类网站个人信息收集概况 鉴于绝大部分网站都在收集个人信息,因此我们有必要知道这些网站在收集信息的时候,是否较好遵守了《网络安全法》的相关规定。《网络安全法》要求所有网站必须明示收集信息的目的、方式和范畴。这是个硬性要求,集中体现在各个网站的隐私政策声明(含信息保护政策)是否合规上。因此,我们对各网站的隐私政策进行了如下内容分析。
隐私政策发布:明示原则合规程度最高的是商业类网站 首先,我们审查了收集个人信息的网站中提供隐私政策声明的比例,在此基础上评估了三项明示要求的遵守程度。主要指标包括:该政策是否包含数据收集的目的;该政策是否包含数据收集的方式;该政策是否包含数据收集的范围。其中,第一项指标在下文中会有具体分析。第二项指标不限于用户自身提供个人信息的方式,也包括第三方来源,通过cookies、web beacon等技术手段收集信息的方式。第三项指标主要涉及所收集个人信息的类型等。 表2显示,各类网站发布隐私政策的情况存在较大差异。在相互独立的四类网站中,商业类网站提供隐私声明比例最高,为66%;比例最低的是教育类网站,只有4%;73%的敏感信息类网站提供了相关政策,显示出相对较高的合规性。 表2 明示原则的合规比例 然而,大部分发布隐私政策的网站,围绕《网络安全法》明示原则的合规程度不容乐观。在相互独立的四类网站中,明示原则合规程度最高的是商业类网站,但商业类网站中包含数据收集的目的、方式、范围等信息的网站仍均未过半,其中告知用户数据收集的范围的比例最高。敏感信息网站对于三类信息的明示表现出较高的合规性,但也只是略微过半。可见,大部分网站都没有明确告知用户明示原则所要求的三类信息,尤其是教育类网站在此方面的表现最差(但其收集信息的比例却最高)。
个人信息收集的目的:优化服务? 《网络安全法》明确要求向个人信息主体明示数据收集的目的。目前,一些网站收集个人信息的目的确实是为了优化服务,比如了解用户的兴趣点,以推出个性化服务;或者优化网站的整体性能,以更好地和用户交流。另有一些网站允许用户对其数据进行一定程度的控制,提供选择性加入或退出机制,比如允许用户订阅或退订网站的广告邮件、RSS服务等。在我们看来,这些都是很好的个人信息保护实践。为此,我们对相关网站的隐私政策进行了进一步分析,结果如下: 表3 包含信息收集目的和选择性退出/加入机制的网站比例 可以看出,商业类网站为优化服务收集信息的比例相对较高,但也不到50%。相比之下,只有2%的教育类网站声明收集个人数据是为了优化网站服务,是所有类别网站中最少的。此外,部分网站隐私政策中包含了选择性退出机制,但比例都不高。其中,商业类网站和敏感类网站勉强达到20%以上,其他类型的网站均不超过5%。包含选择性加入机制的网站比例也不高,除了社会组织类网站超过20%之外,其他类型的网站均不超过6%。大部分网站均表示,注册本网站就表明已默认将接受相关推送服务。
信息保密性与安全保障:有保护声明但缺乏投诉路径 《网络安全法》第42条要求网络运营者应采取措施确保信息安全,第49条还要求网络运营者建立网络信息安全投诉、举报制度,并公布投诉、举报方式等信息。为此,我们审查了各类网站的隐私政策是否包含信息安全保障声明以及更加细化的安全保障举措等信息。考虑到仅表明建立了信息安全投诉、举报制度而并未公布投诉、举报方式是毫无意义的,我们还审查了网站隐私政策中是否包含投诉、举报方式等信息。
表4 包含信息安全保障声明的网站比例 统计显示,各类网站对“提供信息安全保障声明”这一举措的执行程度不一,与网站是否 “提供隐私政策”的比例数据比较一致。其中,敏感网站比例最高,达到72%;其次为商业网站,达到67%;政府类和社会组织类基本持平,分别为30%和32%;教育类网站最低,仅为4%。 在有信息安全保障声明的网站中,提供详细保障声明的,社会组织类和教育类均达到100%。需要说明的是,教育类网站中有且仅有一个网站提供了数据保护声明,且比较详细,因此出现100%的比例。商业类网站提供详细声明的比例也达到了91%,政府类则为75%,敏感信息类网站则达到了94%。 虽然大部分提供数据保护声明的网站都提供了详细的数据保护声明,但是其中包含了投诉、举报方式的网站比例明显较低。在四个独立分类网站,“包含投诉、举报”方式的一项中,占比最高的是社会组织类网站,达到69%。其次是教育类网站,为50%(但适合统计的基数较小)。商业类网站所占的比例仅有47%,政府类网站为37%,基本上仅为“提供详细保障声明的”一项数据的二分之一。敏感网站提供投诉、举报方式的比例为46%,其网络安全的反馈机制也有待进一步完善。 删除权与更正权:不太支持删除,更倾向更正 《网络安全法》第43条规定用户有权删除和更正其个人信息。与信息保密和安全保障职责一样,该法并未规定用户的删除权与更正权应予以明示,但网站有义务尊重用户的删除权与更正权,我们因此审查了网站隐私政策中是否提供了这样的信息。
表5 声称用户有删除权与更正权的网站比例 统计显示,在四类独立分类并具有隐私政策的网站中,“声称用户有权删除其个人信息”这一项,政府类网站的比例最高,达到52%,商业类网站则为30%,社会组织类则仅为16%。教育类网站中,没有一个网站提供用户有权删除其个人信息的声明。敏感网站此项数据仅为30%。 而“声称用户有权更正其个人信息”的统计结果则比前项稍高。按类别分,比例最高的仍为政府类网站,达到74%。商业类网站达到了50%以上,社会组织类则仅为21%。教育类网站虽然达到了50%,但同样是基数较小所致。敏感网站的该项数据为58%,显示其对于用户数据的准确性和更新较为重视。
隐私政策的可见性:绝大部分声明在网页底部 隐私政策如果明显可见,无疑有助于提升用户的信息保护意识和实践,也可进一步彰显网站保护用户信息的诚意和决心。假设隐私政策可见度非常高,那么它应该拥有一个独特的、易发现的标题,其次还应充分考虑其他影响可见性的因素。具体来说,我们从以下几个方面对隐私政策的可见性进行检测:主页是否有隐私政策声明,该声明是否采用了独特的标题(比如包含“隐私”、“数据保护”等字眼),该声明是否包含在服务协议等相关材料中,该声明在网站主页的位置,网站的主页是否可链接到隐私政策声明。 表6 隐私政策的可见性分析 四类含有隐私声明的网站中,社会组织类网站“主页有隐私政策声明”的比例最高,占58%;其次为政府类网站,占55%;商业类网站占比最低,仅为45%。统计范围内的教育类网站中,仅有两个网站具有隐私政策声明,在主页显示隐私政策的教育类网站仅一个。敏感网站在主页显示隐私声明的比例仅为52%。 在主页有隐私政策声明的四类网站中,教育类和政府类的隐私声明全部包含“隐私”字眼。商业类网站和社会组织类网站主页隐私政策声明中包含“隐私”字眼的比例依次为84%和64%。敏感信息类网站在这一项目的统计指标中也并不是特别突出,仅为82%。相比于关键词“隐私”来看,隐私政策声明在主页中以“数据保护”等为关键词的比例较低,最高为社会组织类,达到55%,教育类和政府类则均未出现“数据保护”等关键词。 在四类网站中,隐私政策包含在服务协议等相关声明中占比例最高的是商业类网站,达84%;政府类网站仅为39%,占比最低。教育类网站虽达到100%,但是由于仅有两个网站具有隐私声明,该两家网站的隐私声明均包含在服务协议等声明中。 在主页有隐私政策声明的四类网站中,绝大部分的隐私声明发布于网页底部。仅有3%的隐私声明出现在商业类网站主页顶端,9%的隐私声明出现在主页中部。而主页具有隐私声明的敏感信息类网站中,则分别有3%和2%出现在主页的顶部和中部。 此外,社会组织类、商业类均出现了隐私声明链接不可用的情况。在具有隐私声明的网页分类统计中,社会组织类链接不可用情况达到5%以上,商业类则达到了5%。而在具有隐私声明的敏感信息类网站中也有3%的网站隐私声明链接不可用。
|
|
|
来自: alayavijnana > 《媒介创意》
