网络自律认证与中介的法律问题研究

针对网络隐私权保护问题，美国高科技企业一直不希望政府方面进行干涉，要求自行解决目前所存在的问题。一个包括Air lines 、Broad vision、Double Click、eCustomers.com等在内的26个公司及其他团体共90多个成员组成的组织——“网上隐私联盟”成立。该联盟宗旨是：要求企业告诉用户哪些被收集的数据属于个人可以处理的范围，并允许他们从中选择[1]。该联盟在试图说服美国联邦贸易委员会。它们认为政府方面没有必要在保护网上用户隐私权方面实施管制，保护网上用户隐私权的最佳途径是让企业自己管自己。

一、行业通过自律保护网络隐私权

在全球电子商务规范框架中，克林顿政府提出的首要原则是“私营部门应起主导作用”。这一原则，在互联网络隐私保护的问题上得到了具体体现。白宫强调支持私营机构正在进行的自我规范的努力，而这一努力则体现在建设一个有意义的，对消费者友善的隐私保护环境之上。关于是否立法的问题，白宫秉持其不介入的立场。克林顿政府的这一政策，遭到了美国联邦贸易委员会的质疑。

（一）、美国联邦贸易委员会（FTC）意见与业界的态度

由联邦贸易委员会主持的一项抽样调查发现，在1400个被抽查的网站中，只有14％的网站告知到访者采集的信息将被如何使用。其主要原因是：一方面由于没有相关法规的制约，许多商业网站不公布网络隐私保护政策，出售用户的个人信息获取利润并有效地逃避制裁；另一方面因为没有相应的机制保证自我规范的实施。这一调查结果使联邦贸易委员会确信，有必要进行立法以确保网络隐私权得到保护。所以，尽管联邦贸易委员会在原则上仍然以为商业机构自我规范要优于政府规范，它还是提出了一个立法模式构想。其目的：一则是向从事在线活动的商业机构施加压力，促进其自我规范的产生作用；再则是进行网络隐私保护立法上的探索。联邦贸易委员会也认识到法规的具体实施，将会因行业的不同和技术的发展而发生变化，所以在构想中建议：法规细则的撰写应当具有普遍适用性和保持技术上的中性[2]。

可是，FTC的意见不被业界接受。由美国电子工业协会(American Electronics Association）、美国工商协会（The United States Chamber of Commerce）等主要团体以及包括美国AOL、美国AT&T、美国IBM、美国Bank of America为首的大企业的100多家公司、组织加盟的业界组织Online Provacy Ailiance (OPA)，针对FTC要求制订网络隐私权法规的报告也提出了反对意见。根据FTC1999年调查，刊登隐私条款的网站还不到10%，而到2000年已经增加到了90%，说明情况得到了大幅度的改善。可以认为，经过改善后消费者是可能选择适当的网站的。而此时，克林顿政府的观点却有了一些变化。2000年3月初，克林顿对高科技企业发出严厉的警告，要求行业尽快制定并采用网络隐私权保护的标准，否则，美国政府将制定一个标准，以使网络隐私权得到切实保护。

（二）、网络隐私权保护组织

在网络隐私保护的问题上，尽管在线商界存在整体规范的不足，但部分商业机构以及成立的网络隐私权保护组织所作出的自我规范的努力是不容忽略的。比如，网上隐私联盟就功不可没。2000年7月底，在美国联邦政府的参与下，一批美国网络广告商公布了一系列新的行业标准。从今以后，网上销售企业在调用客户的个人资料时，须征求对方意见。网上企业不能为了更有针对性地发布广告，而调用涉及网页浏览者的病史、财务状况、社会保险号码和性行为的资料。在网络广告领域占有九成市场份额的网络广告协会，旗下拥有DoubleClick、Engage Technologies、MatchLogic、24/7 Media、AdForce等知名网上广告公司。经过与美国商业部和联邦贸易委员会为期一年的漫长协商，终于出台了上述标准，作为一种行业自律措施，网络广告协会的作法也得到FTC的赞赏[3]。

应当明确地指出是：网络隐私权保护组织，由于其行为没有一个明确的标准和确切的定位，致使这些组织所采取的行动以及所采用的技术对于网络各界来讲，是仁者见仁、智者见智，因此也产生了一些误解并因此而受到批评与指责。2000年8月底，网络安全工具公司Interhack公司指责互联网隐密保护组织TRUSTe破坏该组织自己的隐么保护政策。称该组织使用了第三方internet.com公司thecounter.com的来访者记数器。争论焦点，目前集中于thecounter.com使用的一项技术。尽管Interhack公司承认，目前尚不清楚哪些资料已经被误用，但指出这意味着许多用户及其使用者的信息将直接与thecounter.com公司相关。这一争议令人回忆起，毒品管制政策办公室在自己的Freevibe网址上使用DoubleClick公司技术，所引发的争论。TRUSTe迅速终止了thecounter.com这一技术系统的使用，但是并未承认有任何过错。internet.com公司称，这项技术只能为网站提供一些用户的基本信息，这将帮助网站依此发展网页，只利用这些资料进行数字统计。而Interhack公司却认为：TRUSTe组织没有告知用户自己正在使用thecounter.com，及其追踪技术设置，其行为破坏了该组织与及用户之间的协议。做为隐私权保护组织，必须使自己内部的体系清清白白。事实上TRUSTe成员已经同意thecounter.com公司的技术编码在自己的网址上出现，这意味着这些成员也应受到使用这项技术的条件与规定限制[4]。针对上述指责与辩解，可以清楚地看到，保证规范的普遍适用性和保持技术上的中立性，是很难把握的，操作起来更是困难。

但是，有两点对网络隐私权保护制度的建立与完善是有积极的借鉴意义的。一是，不能为了网络隐私权的保护一味排斥网络公司运用技术手段。这要有个度，即什么样的技术不能用，什么样的技术手段可以用，要让网络公司能够把握。对于网络隐私保护组织也是一样，TRUSTe组织受到指责的原因也就在这里。如果说，TRUSTe明确了自己所使用的技术手段，其成员也明确受其责任规则的约束；而且，出向用户表明了使用这项技术手段的目的，并得到了用户的是意，那么，就不应受到指责。因为，这时再对其指责是没有任何意义的，它并没有侵犯任何人的利益；所以，不应当排斥网络公司及其他网络组织使用相应的，与其收集个人化信息资料相适应的技术手段；二是，规则一定要有，没有规则就很难辨别是否，TRUSTe受到的指责的主要原因与规则和要求不明有直接的关系。

二、自律性规范与第三方认证的保护方式

网络隐私权联盟提出了自我规范原则及第三方机构监督执行机制。网络隐私权联盟认为这一机制是建立公众信任，保证自我规范实施的最佳途径。凡加入第三机构的商业网站必须通过这一机构的网络隐私保护合格认证，获得这一机构颁发的易识别的徽章或记号，业界又称为“保护程度标志化”。勿需多做解释，不难发现自律性规范与第三方认证相结合的科学性。一是，可以在一定程度上保证自律性规范的落实；二是，可以达到保护程度明示的目的。网络隐私权联盟目前在网络隐私权保护历程中的地位与影响，与此不无关系，但是，事实上这个观点的提出并不是网络隐私权联盟之首创，其功不可没之处在于进一步完善这个意见。

（一）、日本的“个人信息保护JIS规格”

索尼伞下的因特网服务商So-net公司，于2000年底宣布取得了“个人信息保护标志”，并于12月7日在网上加以表示。“个人信息保护标志”是由日本情报处理开发协会（JIPDEC）于1998年4月制定的[5]。主要用于涉及到个人信息的企事业单位。1999年4月起，该协会按照1999年3月通过的“个人信息保护JIS规格（简称JISQ15001）”开始进行审核认定工作。日本野村综合研究所、东洋情报系统等信息服务公司共92家取得了该标志。该信息标志本身并不具有法律效力。So-net在取得该标志之前，已率先在公司内部成立了个人信息保护组织，制定了个人信息的使用原则。所以，So-net公司通过第三方评估的主要目的，是向社会及用户表明该公司的态度，以提高用户对公司的依赖性并进一步塑造企业的良好形象。

与此相类似的还有一些，如Better Business Bureau Online (BBB Online)设计了一个徽标，各公司可以在网页上放置此徽标，以示它们自愿遵守BBB Online有关隐私保护的指导原则。BBB Online希望以此证明业界的自律性。在网站上张贴BBB Online徽标,就表示该网站同意公开它将从访问者那里获得什么样的信息，并公开网站将如何使用这些数据。网站若向第三方透露其客户名单，必须事先通知客户，并留出一定时间，看客户是否要将自己从名单中删除。据BBBOnline透露，Dell是第一个在其网站上放置该徽标的公司，另有350家在申请[6]。

（二）、“美国因特网保健基金会”的行规

通过自律性行规与第三方认证相结合的方式，对网上隐私保护较为成功的实例要数“美国因特网保健基金会”的行规了。1997年4月，HON在其网站上推出了著名的八条准则。指导网站开发商在提供信息方面，遵循基本的道德准则，并确保访问者了解所阅读内容的来源和目的。这些准则得到了广泛的传播，并为许多著名的医学保健网站所认可。到2000年1月，共有2800个网站在HON注册，接受了这八条准则。希望通过注册成为HON成员的网络组织，需要提出正式的申请，在回答了有关问卷表的全部问题以后，HON将提示申请者可以注册成为其成员或者对申请者的网站提出改进意见，其后再被接受为该组织成员。被允许注册的网站申请者会收到一份电子邮件，其中有一个HON标志代码，并包含了一个注册用户的号码。HON拥有一批专家，他们定期随机抽查已注册成员的网站，监督其是否确实遵守了HON准则，并保留中止其资格的权利。该准则实际上为网上的医疗保健网站提出了一份重要的行规，其基础是医学保健方面的基本伦理道德，并进一步促使网站开发者对用户负责。由于医疗保健网站的数量庞大，HON本身也不是执法机构，因此对各个网站自身来说，最主要还是要靠“HON准则”的成员实行自律[7]。

  （三）、美国医学会（AMA）的准则

医疗保健网站隐私权保护的自律性规范，最为全面的文件是美国医学会（AMA）的准则（Guidelines for Medical and Health Information Sites on the Internet）。该准则针对隐私权保护问题规定了15项原则，主要包括：1、网站主页应明确标出有关隐私权保护政策的内容及链接，网站和在网站上投放广告的客户应严格遵守该项隐私政策；2、网站不应自行收集访问者的个人信息，除非在告知访问者如何使用这类信息，并由他们自愿提供；3、对用户的上述选择权，应详细地加以说明；4、当AMA确信个人非医疗方面的信息的收集、保存和使用有助于其他访问者对产品的了解时，则会向他们提供此类信息，但这方面的应用应严格限制在现行法律、法规的框架之内；5、未经网站访问者的同意，网站不能向第三方提供他们的姓名和电子邮件地址，网站不应以商业目的与其他组织共享他们的电子邮件内容与个人信息。例如用户在网站注册的信息等；6、AMA不收集个人的医疗信息（健康状况、查找保健信息的方式，对药物和治疗方法的咨询），也不允许第三方收集此类信息；7、网站如向用户提供“cookies”文件，应为他们提供选择的权利，或者提示用户可以在浏览器中屏蔽这项功能；8、不应鼓励网站以电子邮件发送保密信息；9、网站或者委任机构作的市场调查应予以清楚的标明；10、网站发送的各种电子刊物（Newsletter）应为用户提供退订功能。不仅如此，该准则还针对医疗保健网站及提供服务不断出现的许多问题，包括内容的准确性和严肃性，广告与网站的关系，用户的隐私问题及电子商务的有效性、安全性等，提出了一套新的准则。在其中规定了，网站中有关病人的信息应遵循病人的隐私权保护原则和匿名原则，网站的论坛和聊天室也应遵循这些原则。如果病人在网上提供了（关于隐私权）这类信息，监管人员应询问该病人是否打算发布这种敏感的医疗信息，如果是医学专业人员供了此类信息，监管人员应询问此人是否得到被报道病人的同意；在电子商务原则中规定了，应允许用户选择是否保留他们的用户名称和口令，是否允许网站追踪他们的个人信息[8]。

（四）、对网站的审计与监督

  网站如何保护用户的网络隐私权，以及如何履行自己的隐私保护声明与自律性规范，需要第三方对其进行审计与监督。这里对这一问题作简要介绍[9]。对TRUSTe已经不再陌生了，但是对于该组织是如何通过实际的操作，来实现对用户网络隐私权的保护，并不是很清楚。TRUSTe的主要业务之一是专门制作标签和证书。它是由电子前线基金会和加利福尼亚州的CommerceNet创办的。后者是SmartValley在1996年建立的另一家非营利机构。 TRUSTe拥有一群可以为其增添信誉的赞助商和合伙人，其中包括网景和IBM。两家著名的会计公司——Coopers&Lybrand和 KPMG。帮助它设计方案和查验各网站上的隐私权声明；最明显的部分是Trustmarks，它说明某一网站对隐私权问题的做法，允许客户自行选择是否进入某一特定的网站。

  Trustmarks共有三种“强度”形式：

  1、无交换(Noexchange)：除了收费和进行交易时以外，带有此标记的网站不获取任何其他有关用户个人化信息资料；

  2、一对一交换(1一to一1exchange)：该服务不会向第三方泄露有关个人或交易的数据。个人的使用习惯和交易数据只能在与客户进行直接交流时使用。

  3、第三方交换(Third—Partyexchange)：该服务可以向第三方泄露有关个人化信息或交易的数据。只要告知了，哪些有关个人化信息资料会被收集，这些信息将用于什么样的目的，以及该信息会与何人分享，就可以了。这时，用户就要考虑到允许网站或其他网络公司收集个人化信息资料所产生的后果，“上面谈到的第三方也受TRUSTe限制吗?”，这是用户不得不考虑的问题。

  TRUSTe怎样对那些打出它的标识的网站进行核实呢

  首先，TRUSTe与这些网站直接交谈，要求网站填写问卷并签署一份具有法律约束力的合同，并力促它们将其数据处理系统交由一家会计公司审计。同进，TRUSTe也对网站进行随机抽查。 TRUSTe还从搞直邮的人那里学来了过去常用的一招：为了发现一个一次性使用的邮递名单是否被再次或重复多次使用，邮递名单经纪人会在名单中悄悄写进他岳母的地址。同样地，TRUSTe也在网站中“植入”虚假的数据。通过这种方式，TRUSTe代表用户出面对此技术加以利用。

  如果有人违背了 TRUSTe的要求怎么办?

  惩罚手段是取消违规网站使用其标识的权利，并将该网站列入“不守规矩的网站”的名单中。评估违规行为的费用必须由网站支付，它还可能最后因欺诈罪而被推上法庭。除了 TRUSTe的“植入”技术和会计公司的现场审计以外，违规行为还可能由网站内部的工作人员告发，或是由那些数据被误用的用户投诉而对这些网站进行处罚

本文认为，通过第三方认证的方式对自律性规范的制定和执行都是有着积极的推动作用的。至于以后有多大比例的网络公司通过这种方式进行自律，这有待于进一步观察。但是，将第三方认证与行业自律有机地结合起来对消费者网上隐私权加以保护的积极尝试，是值得给予肯定的。

三、第三方认证所存在的问题及对策

最近发生的事件使网络隐私权问题变得更加复杂。5月19日，位于马萨诸塞州的儿童网站Toysmart宣布关门大吉；7月21日，网站在“华尔街”杂志刊登广告，称其要出售其所拥有的用户资料，于是，引起一阵轩然大波[10]。Toysmart也因此成为第一家违反联邦儿童在线隐私保护法的网络公司。人们不禁要问，网站的声明一诺几何，第三方的认证有没有“后退的底线”。

（一）、对认证机构的质疑

从目前情况来看，有一大堆的网络隐私权保护组织在制定保护策略和发放认证标志，TRUSTe一直是比较大的一个。这里还以它的现状为例，来分析目前情况下，对认证机构的质疑。网站要通过这些保护组织的认证需要付费，因具体情况不同，在美国从299至4999美元不等。除了Enonymo us.com等是按照自己的标准给网站评级的组织，不收费以外。象TRUSTe、BBBOnline和CPA Webtrust也同样收取审核和认证费用。本文认为，这无可厚非，因为这些组织对网络隐私权保护所实施的行为是需要成本的，关键问题在于，效果如何，这些对网站进行审计监督的网络隐私权保护组织能否完全独立。业界对此不是没有看法。有人批评TRUSTe，说它一旦给予其成员网络隐私权保护的认证，其监控的力度就减弱了。虽然TRUSTe每个季度都会对获得其认证资料的成员进行审核，但是，并不否认审核没有深入，并没有去查看网站的财务账簿以确定其是否出售过用户个人化信息资料，也没有检查这些成员的技术系统的源代码中有没有可以将用户信息暗渡陈仓的程序。还有人指出，TRUSTe是由受它审核的公司组建起来的，其动作与发展过多的依靠这些发起人和支持者Microsoft公司。TRUSTe否认了这个说法，称85%的资金来自于许可证收费，没有哪一个发起人会通过财务手段对其产生影响。从成立至今的三年中，TRUSTe还没有撤销过一个成员的认证，只有不到2%的申请被拒绝[11]。

（二）、认证机构目前所存的问题

从上面扫集到的关于TRUSTe组织的新闻事实来看，网络隐私权保护组织确实存在着不少问题。主要表现如下：

1、如何保证独立性

从目前情况，拥有较多比较有名的网站和网络公司的网络隐私权保护组织，绝大多数行业自律性组织，而且这些知名的成员是该组织的发起人或主要支持者。网络隐私权保护组织产生与发展的历史，可以很清楚的说明这一点。从理论上讲，用户对这些网络隐私权保护组织的公正性与审计监督的真实性，是有理由怀疑的。从某种意义上讲，用户对此提出疑问是必然的，只不过是在时间和对象上不同而已。

2、如何解决第三方的收集问题

TRUSTe的认证并不涉及那些由RealJukebox 和Windows98下载的东西，这也是受到批评的原因之一。可以讲绝大多数的网络隐私权保护策略都没有将第三方包括进去。如果这一问题不能够得到妥善解决，以后Microsoft通过其注册向导软件搜集用户信息的事件还会很多，而这一点对用户来讲太重要了。

3、认证是否代表真正的保护

一个网站获得了网络隐私保护策略认证说明了什么？这只能说明这样网站的网络隐私权保护政策符合了某个自律性规范的标准，达到了其要求，但是，认证并不表明这个网站能够在掏用户个人化信息资料信息方面，比没有获得认证的网站在实际上做的更好。因特网的一些巨型企业，Microsoft、Deja 和BenlNetworks的网站都通过了TRUSTe的认证，但是1999年都被指控犯有侵犯用户网络隐私权的行为。像这样一来，关于这一问题的讨论又回到了，“如何监督网站的行为使其完全符合了认证的要求”这一实际的问题上来了。这一问题如何解决。

（三）、对认证机构目前存在问题的策略

要肯定的是，网络隐私权保护组织以行业自律与第三方认证相结合的保护方式所做的努力，以及所取得的成绩；要明确的这些组织的做法是在创新，对其不能一味地去苛刻要求，网络环境中的各个主体都有义务为网络隐私权的保护做出一些实质性的工作，任何有意义的尝试都具有它不可忽视的作用。所有的规则与制度都有一个从不完善到完善的过程，行业自律与第三方认证相结合的方式，其科学性已经非常明显。鉴于此，本文提出以下几点意见，期望能为“通过行业自律与第三方认证相结合的网络隐私权保护方式”，提出一些积极的建议。

1、认证机构要进一步独立

网络隐私权保护组织以及第三方认证机构，要逐步地独立出来。否则，永远无法消除用户的担心与顾虑。当然，这不能简单地由政府来个硬性规定说独立就独立的，因为，目前可以说几乎是所有的网络隐私权保护组织与第三方认证机构的前身，都是自律性组织，其发起人与主要支持者当然是获得该组织发放的认证标志的成员。但是，这是一个历史的过度，并不影响这些机构独立出来，成为一个完全自主、相当透明的认证与审计、监督机构。窃以为，这只是个时间的问题，只是一个条件的成熟问题。但是，要注意的，特别在中国要注意的是，不宜于直接的规定所有的网络隐私权保护组织及第三方认证机构，都完全独立于其组织成员，特别是在目前情况下。个中道理非常简单，不论网络隐私权保护组织还是第三方认证机构都是民间组织，可以通过一些规范性的措施要求它们地网络隐私权制度的建立与完善过程中发挥更大的作用，但是，事情总是有它的另一面，不要忘了这些组织和机构所作的一切都是需要成本的，其支出从何而来，单靠认证费用行吗？网站都不参加这些认证，这些组织和机构赖以维持运转的费用即认证费还会有吗？难道说，可以由政府或国会作出规定，强令所有的网站都要取得某某组织或机构的认证吗？如果是这样，这些组织与机构还是行业自律性质吗？网站取得这些认证的行为还是主动的吗？

回答了上述问题以后，不难发现这样做等于是政府包揽这一切。这是一个错误的思路。一方面违反价值规律，要明确一个道理：并不是所有的事情都由政府做，人们才相信。有些事情由政府去做了人们反而不相信了。这样的例子有很多，比如，会计师事务所、律师事务所就是这样；另一方面忽视了社会力量，过高的评估了的政府行为的价值。要知道漠视网络主体积极参与与违反其科学的价值趋向所产生的不良后果，付出的代价是惨痛的。网络环境中，政府要做的是宏观管理与间接引导。所以本文所提出的策略是：进一步独立，以最终达到完全独立的目的。

另外还有一个理由：之所以要避免由政府进行规范，并不是因为政府监督的不好。行政机关与司法机关，能够为网络隐私保护组织与第三方认证机构更好地发挥作用提供必要的积极的支持。只是与政府规范相比，在一线客户的积极参与下由网络隐私权保护组织及第三方认证机构进行规范，可以更灵活和积极地对真实情况作出反应。由用户与网站等其他网络公司积极地参与，将给予各方更多的选择，同时使媒介的信誉能够得到逐步地提高。可以选择适合自己的个人化信息控制办法，而无需面对一刀切的窘境。

本文并不是要特意地去淡化或漠视政府的作用，只是想提醒一下，市场主体对政府的过份依赖并不利用市场经济的发展。在中国，不论是经济的发展过程中，还是法律的完善过程中，因此而犯过的错误不是没有过！

2、规范第三方行为，完善第三方的权利与义务

在网络隐私保护策略应当规定，网站有告知用户有那些第三方可以通过该网站收集个人化信息资料的义务。逐步地将网络隐私权保护组织与第三方认证机构的作用延伸到，第三方，或者成立与第三方有关的中间认证机构。比如，在网站上发布网络广告的广告商，利用技术措施通过网站来收集用户的个人化信息资料的，一方面可以由网站的自律性组织或第三方认证机构在认证与审计监督时，对网络广告商的行为间接地强以规范；另一方面，可以由网络广告的自律性组织或第三方认证机构，对其行为加以认证、审计和监督。从前不久，美国网络广告商协会的自律性规范的出台，本文以此有理由认为，这是一个趋势。更进一步地完善，可以是直接收集用户网络个人化信息资料主体与间接收集用户网络个人化信息资料的的主体，各自的自律性组织与第三方认证机构有机地结合起来，加强合作，互取所长、避己所短。

3、加强审计监督、重在规范的落实

说到底，不论是网络隐私权保护组织还是第三方认证，也不论是行业自律，还是与第三方认证相结合，其最主要的目的是要切实地使用户的网络隐私权得到保护。所以，只有网络隐私权的保护策略和网站网络隐私权保护政策以及第三方发放的认证标志，都只是一个形式问题，最主要的是使所有的收集用户网络个人化信息资料的主体，都能讲的清楚，都能按其所承诺的去做，都能为其声明做出积极地努力。谁承而不兑、言而不行，责任就要落到谁的头上。所以要加强审计与监督，只有这样才能更好地发现所存在的问题，才能清楚地知道做出承诺和声明的主体，有没有切实地履行；也只有这样也才能有追究违约者的责任；也只有追究了违约者的责任，网络隐私权保护组织和第三方认证机构的作用才能体现出来，用户的网络隐私权的保护才能落到实处。

1