金城律师事务所李德成针对网络隐私权保护问题，美国高科技企业一直不希望政府方面进行干涉，要求自行解决目前所存在的问题。一个包括Air lines 、Broad vision、Double Click、Customers.com等在内的26个公司及其他团体共90多个成员组成的组织——“网上隐私联盟”成立。该联盟宗旨是：要求企业告诉用户哪些被收集的数据属于个人可以处理的范围，并允许他们从中选择1。该联盟在试图说服美国联邦贸易委员会。它们认为政府没有必要在保护网上用户隐私权方面实施管制，保护网上用户隐私权的最佳途径是让企业自己管自己。一、行业通过自律保护网络隐私权在全球电子商务规范框架中，克林顿政府提出的首要原则是“私营部门应起主导作用”，这一原则在网络隐私保护的问题上得到了具体体现。白宫强调支持私营机构正在进行的自我规范的努力，而这一努力则体现在建设一个有意义的、对消费者友善的隐私保护环境之上。关于是否立法的问题，白宫秉持其不介入的立场。克林顿政府的这一政策，遭到了美国联邦贸易委员会的质疑。（一）、美国联邦贸易委员会（FTC）意见与业界的态度FTC提出了一个立法模式。其目的：一是，向从事在线活动的商业机构施加压力，促进自我规范；二是，进行网络隐私保护立法上的探索。出于法规的具体实施会因行业的不同和技术的发展而发生变化等因素考虑，FTC在构想中建议：法规细则的撰写应当具有普遍适用性和保持技术上的中性2。可是，FTC的意见不被业界接受。由美国电子工业协会、美国工商协会以及美国AOL、美国ATT、美国IBM、美国Bank of America为首的100多家公司、组织加盟的业界组织Online Privacy Alliance ，针对FTC要求制订网络隐私权法规的报告提出了反对意见。（二）、网络隐私权保护组织在网络隐私保护的问题上，尽管在线商界存在整体规范的不足，但部分商业机构以及成立的网络隐私权保护组织所作出的自我规范的努力是不容忽略的。比如，网上隐私联盟就功不可没。2000年7月底，美国网络广告协会经过与美国商业部和联邦贸易委员会为期一年的漫长协商，出台了一种行业自律标准。要求网上销售企业在调用客户的个人资料时，须征求对方意见。不能为了发布广告，而调用涉及网页浏览者的病史、财务状况、社会保险号码和性行为的资料。网络广告协会的作法得到FTC的赞赏3。网络隐私权保护组织，由于其行为没有一个明确的标准和确切的定位，致使这些组织所采取的行动以及所采用的技术对于网络各界来讲，是仁者见仁、智者见智，因此也产生了一些误解并因此而受到批评与指责。2000年8月底，网络安全工具公司Interhack公司指责互联网隐密保护组织TRUSTe破坏该组织自己的隐私保护政策，称该组织使用了第三方internet.com公司（thecounter.com）的来访者记数器4。在美国类似的指责与辩解还有很多。由此可以清楚地看到，保证规范的普遍适用性和保持技术上的中立性是很难把握的，操作起来更是困难。但是，有两点对网络隐私权保护制度的建立与完善是有积极的借鉴意义的。一是，不能为了网络隐私权的保护一味排斥网络公司运用技术手段。这要有个度，即什么样的技术不能用，什么样的技术手段可以用，要让网络公司能够把握。对于网络隐私保护组织也是一样，TRUSTe组织受到指责的原因也就在这里。如果说，TRUSTe明确了自己所使用的技术手段，其成员也明确受其责任规则的约束；而且，TRUSTe向用户表明了使用这项技术手段的目的，并得到了用户的同意，那么，TRUSTe就不应受到指责，原因是它并没有侵犯任何人的利益。因此，不应当排斥网络公司及其他网络组织使用与其收集个人化信息资料相适应的技术手段。二是，规则一定要有，没有规则就很难辨别是非，TRUSTe受到的指责的主要原因与规则和要求不明有直接的关系。二、自律性规范与第三方认证的保护方式网络隐私权联盟提出了自我规范原则及第三方机构监督执行机制。这一机制是建立公众信任，保证自我规范实施的最佳途径。凡加入第三机构的商业网站必须通过这一机构的网络隐私保护合格认证，获得这一机构颁发的易识别的徽章或记号，业界又称为“保护程度标志化”。勿需多做解释，不难发现自律性规范与第三方认证相结合的科学性。一是，可以在一定程度上保证自律性规范的落实; 二是，可以达到保护程度明示的目的。下面介绍几个典型的例子。（一）、日本的“个人信息保护JIS规格”“个人信息保护标志”是由日本情报处理开发协会（JIPDEC）于1998年4月制定的5。主要用于涉及到个人信息的企事业单位。该信息标志本身并不具有法律效力。通过第三方评估的主要目的，是向社会及用户表明该公司的态度，以提高用户对公司的依赖性并进一步塑造企业的良好形象。与此相类似的还有一些，如Better Business Bureau Online 设计了一个徽标，各公司可以在网页上放置此徽标，以示它们自愿遵守BBB Online有关隐私保护的指导原则6。（二）、“美国因特网保健基金会”的行规1997年4月，HON在其网站上推出了着名的八条准则。指导网站开发商在提供信息方面，遵循基本的道德准则，并确保者了解所阅读内容的和目的。这些准则得到了广泛的传播，并为许多着名的医学保健网站所认可。到2000年1月，共有2，800个网站在HON注册，接受了这八条准则。HON拥有一批专家，他们定期随机抽查已注册成员的网站，监督其是否确实遵守了HON准则，并保留中止其资格的权利。该准则实际上为网上的医疗保健网站提出了一份重要的行规，其基础是医学保健方面的基本伦理道德，并进一步促使网站开发者对用户负责。由于医疗保健网站的数量庞大，HON本身并不是执法机构，其规则的执行最主要还是要靠“HON准则”成员自律7。（三）、美国医学会（AMA）的准则医疗保健网站隐私权保护的自律性规范，最为全面的文件是美国医学会（AMA）的准则（Guidelines for Medical and Health Information Sites on the Internet）。该准则针对隐私权保护问题规定了15项原则，主要包括：1、网站主页应明确标出有关隐私权保护政策的内容及链接，网站和在网站上投放广告的客户应严格遵守该项隐私政策；2、网站不应自行收集者的个人信息，除非在告知者如何使用这类信息，并由他们自愿提供; 3、对用户的上述选择权，应详细地加以说明；4、当AMA确信个人非医疗方面的信息的收集、保存和使用有助于其他者对产品的了解时，则会向他们提供此类信息，但这方面的应用应严格限制在现行法律、法规的框架之内; 5、未经网站者的同意，网站不能向第三方提供他们的姓名和电子邮件地址，网站不应以商业目的与其他组织共享他们的电子邮件内容与个人信息，例如用户在网站注册的信息等; 6、AMA不收集个人的医疗信息（健康状况、查找保健信息的方式、对药物和治疗方法的咨询），也不允许第三方收集此类信息；7、网站如向用户提供“cookies文件，应为他们提供选择的权利，或者提示用户可以在浏览器中屏蔽这项功能；8、不应鼓励网站以电子邮件发送保密信息；9、网站或者委任机构作的市场调查应予以清楚的标明; 10、网站发送的各种电子刊物（Newsletter）应为用户提供退订功能。不仅如此，该准则还针对医疗保健网站及提供服务不断出现的许多问题，包括内容的准确性和严肃性，广告与网站的关系，用户的隐私问题及电子商务的有效性、安全性等，提出了一套新的准则。其中规定: 网站中有关病人的信息应遵循病人的隐私权保护原则和匿名原则，网站的和聊天室也应遵循这些原则。如果病人在网上提供了（关于隐私权）这类信息，监管人员应询问该病人是否打算发布这种敏感的医疗信息，如果是医学专业人员供了此类信息，监管人员应询问此人是否得到被报道病人的同意；在电子商务原则中还规定，应允许用户选择是否保留他们的用户名称和口令，是否允许网站追踪他们的个人信息。三、对网站的审计与监督网站如何保护用户的网络隐私权，以及如何履行自己的隐私保护声明与自律性规范，需要第三方对其进行审计与监督。这里以TRUSTe为例对这一问题作简要介绍8。TRUSTe的主要业务之一是专门制作标签和证书。共有三种“强度”形式：1、无交换: 除了收费和进行交易以外，带有此标记的网站不获取任何其他有关用户个人化信息资料；2、一对一交换: 该服务不会向第三方泄露有关个人或交易的数据。个人的使用习惯和交易数据只能在与客户进行直接交流时使用；3、第三方交换: 该服务可以向第三方泄露有关个人化信息或交易的数据。只要告知哪些有关个人化信息资料会被收集、这些信息将用于什么样的目的、该信息会与何人分享就可以了。这时，用户就要考虑到允许网站或其他网络公司收集个人化信息资料所产生的后果。TRUSTe怎样对那些打出它的标识的网站进行核实呢？首先，TRUSTe与这些网站签署一份具有法律约束力的合同，并力促它们将其数据处理系统交由一家会计公司审计。同时，对网站进行随机抽查。如果有人违背了 TRUSTe的要求怎么办？惩罚手段是取消违规网站使用其标识的权利，并将该网站列入“不守规矩的网站”的名单中。评估违规行为的费用必须由网站支付，它还可能最后因欺诈罪而被推上法庭。除了 TRUSTe的随机抽查和会计公司的现场审计以外，违规行为还可能由网站内部的工作人员告发，或是由那些数据被误用的用户投诉而对这些网站进行处罚。本文认为，通过第三方认证的方式对自律性规范的制定和执行都是有着积极的推动作用的。至于以后有多大比例的网络公司通过这种方式进行自律，这有待于进一步观察。但是，将第三方认证与行业自律有机地结合起来对消费者网上隐私权加以保护的积极尝试，是值得给予肯定的。四、行业自律与第三方认证所存在的问题最近发生的事件使网络隐私权问题变得更加复杂。5月19日，位于马萨诸塞州的儿童网站Toysmart宣布关门大吉；7月21日，网站在“华尔街”杂志刊登广告，称其要出售其所拥有的用户资料，于是，引起一阵轩然大波9。（一）、对认证机构的质疑从目前情况来看，网站通过这些保护组织的认证是需要付费的。本文认为，这无可厚非，因为这些组织对网络隐私权保护所实施的行为是需要成本的，关键问题在于，效果如何，这些对网站进行审计监督的网络隐私权保护组织能否完全独立。业界对此不是没有看法。还以TRUSTe为例，有人批评它，一旦给予其成员网络隐私权保护的认证，其监控的力度就减弱了。还有人指出，TRUSTe是由受它审核的公司组建起来的，其运作与发展过多的依靠这些发起人和支持者Microsoft公司。TRUSTe否认了这个说法，称85%的资金来自于许可证收费，没有哪一个发起人会通过财务手段对其产生影响。但是，从成立至今的三年多来，TRUSTe还没有撤销过一个成员的认证，只有不到2%的申请被拒绝10。（二）、认证机构目前所存的问题1、如何保证独立性目前情况，拥有较多比较有名的网站和网络公司的网络隐私权保护组织，绝大多数是行业自律性组织。这些知名的成员是该组织的发起人或主要支持者。从理论上讲，用户对这些网络隐私权保护组织的公正性与审计监督的真实性，是有理由怀疑的。从某种意义上讲，用户对此提出疑问是必然的，只不过是在时间和对象上不同而已。2、如何解决第三方的收集问题绝大多数的网络隐私权保护都没有将第三方包括进去。如果这一问题不能够得到妥善解决，以后通过其注册向导软件搜集用户信息的事件还会很多，而这一点对用户来讲太重要了。3、认证是否代表真正的保护一个网站获得了网络隐私保护策略认证说明了什么？这只能说明这样的网站符合了某个自律性规范的标准，达到了其要求，但是，认证并不表明这个网站能够在用户个人化信息资料问题上，比没有获得认证的网站做的更好。因特网的一些巨型企业，Microsoft、Deja 和BenlNetworks的网站都通过了TRUSTe的认证，但是1999年都被指控犯有侵犯用户网络隐私权的行为。关于这一问题的讨论又回到了“如何监督网站的行为使其完全符合了认证的要求”这一实际的问题上来了。五、对认证机构目前存在问题的策略网络隐私权保护组织以行业自律与第三方认证相结合的保护方式所做的努力，以及所取得的成绩，是值得肯定的，这些组织的做法是在创新，对其不能一味地去苛刻要求。网络环境中的各个主体都有义务为网络隐私权的保护做出一些实质性的工作，任何有意义的尝试都具有它不可忽视的作用，所有的规则与制度都有一个从不完善到完善的过程。行业自律与第三方认证相结合的方式，其科学性已经非常明显，要解决的是进一步完善的问题。鉴于此，本文提出以下几点意见，期望能为“通过行业自律与第三方认证相结合的网络隐私权保护方式”，提出一些积极的建议。（一）认证机构要进一步独立网络隐私权保护组织以及第三方认证机构，要逐步地独立出来。否则永远无法消除用户的担心与顾虑。当然，这不能简单地由政府对独立做出硬性规定。在目前情况下，可以说几乎所有的网络隐私权保护组织与第三方认证机构的前身，都是自律性组织，其发起人与主要支持者当然是获得该组织发放的认证标志的成员。但是，这是一个历史的过度，并不影响这些机构独立出来，成为一个完全自主、相当透明的认证与审计、监督的机构。以为，这只是个时间的问题，只是一个条件的成熟问题。但特别在中国要注意的是：不宜直接的规定所有的网络隐私权保护组织及第三方认证机构都完全独立于其组织成员，特别是在目前情况下。个中道理非常简单，不论网络隐私权保护组织还是第三方认证机构都是民间组织，可以通过一些规范性的措施要求它们在网络隐私权制度的建立与完善过程中发挥更大的作用，但是，事情总是有它的另一面，不要忘了这些组织和机构所作的一切都是需要成本的，其支出从何而来，单靠认证费用行吗？网站都不参加这些认证，这些组织和机构赖以维持运转的费用即认证费还会有吗？难道说，可以由政府或国会作出规定，强令所有的网站都要取得某某组织或机构的认证吗？如果是这样，这些组织与机构还是行业自律性质吗？网站取得这些认证的行为还是主动的吗？回答了上述问题以后，不难发现这样做等于是政府包揽这一切。这是一个错误的思路。首先这种做法违反价值规律，要明确一个道理：并不是所有的事情都由政府做，人们才相信，有些事情由政府去做了人们反而不相信了。这样的例子有很多，比如，会计师事务所、律师事务所就是这样。其次，这种做法忽视了社会力量，过高的评估了政府行为的价值。要知道漠视网络主体积极参与和违反其科学的价值趋向所产生的不良后果。网络环境中，政府要做的是宏观管理与间接引导。所以本文所提出的策略是：进一步独立，以最终达到完全独立的目的。第三，之所以要避免由政府进行规范，并不是因为政府监督的不好。行政机关与司法机关能够为网络隐私保护组织与第三方认证机构更好地发挥作用提供必要的积极的支持，只是与政府规范相比，在一线客户的积极参与下由网络隐私权保护组织及第三方认证机构进行规范，可以更灵活和积极地对真实情况作出反应。由用户与网站等其他网络公司积极地参与，将给予各方的选择，同时使媒介的信誉能够得到逐步地提高。可以选择适合自己的个人化信息控制办法，而无需面对一刀切的窘境。本文并不是要特意地去淡化或漠视政府的作用，只是想提醒一下，市场主体对政府的过份依赖并不利于市场经济的发展。（二）规范第三方行为，完善第三方的权利与义务在网络隐私保护策略中应当规定，网站有告知用户有哪些第三方可以通过该网站收集个人化信息资料的义务。逐步地将网络隐私权保护组织与第三方认证机构的作用延伸到第三方，或者成立与第三方有关的中间认证机构。比如，在网站上发布网络广告的广告商，利用技术措施通过网站来收集用户个人化信息资料的，一方面可以由网站的自律性组织或第三方认证机构在认证与审计监督时，对网络广告商的行为间接地加以规范; 另一方面，可以由网络广告的自律性组织或第三方认证机构，对其行为加以认证、审计和监督。前不久，美国出台了网络广告商协会的自律性规范，本文以此有理由认为，这是一个趋势，但要更进一步地完善。直接收集信息资料主体与间接信息资料的主体，各自的自律性组织与第三方认证机构要有机地结合起来，加强合作、互取所长、避己所短。（三）加强审计监督、重在规范的落实说到底，不论是网络隐私权保护组织还是第三方认证，也不论是行业自律，还是与第三方认证相结合，其最主要的目的是要切实地使用户的网络隐私权得到保护。所以，网络隐私权的保护策略、网站网络隐私权保护政策以及第三方发放的认证标志，都只是一个形式问题，最主要的是使所有的收集用户网络个人化信息资料的主体，都能按其所承诺的去做，都能为其声明做出积极地努力。谁承而不兑、言而不行，责任就要落到谁的头上。所以要加强审计与监督，只有这样才能更好地发现所存在的问题，才能清楚地知道做出承诺和声明的主体，有没有切实地履行；也只有这样也才能追究违约者的责任；也只有追究了违约者的责任，网络隐私权保护组织和第三方认证机构的作用才能体现出来，用户的网络隐私权的保护才能落到实处。□——————————注：12000年4月1日《在线隐私联盟成立》； 2000年3月8日《隐私权怎么保护？ 美企业要求自己解决》。见http：//www.easy.com.cn/2孙川：《互联网上的隐私保护》检察日报1999年5月26日引自http://www.china-judge.com/fnsx/fnsx127.htm3子木：《美网络广告商就隐私问题出台自律措施》2000/07/28 18:09 科技http://www./4 《Interhack公司指责一隐私保护组织违规》http://www.china.internet.com2000/08/28 17:3851999年12月9日凤凰新闻：《So-net公司打关阵，率先取得“个人信息保护标志”》6陈运迪：《隐私权：网络世界不容忽视的问题》（2000年1月31日） http://chinabyte.com/staticpages/column/column_page/viewpoint/column_page_viewpoint_913.html7王卫国：《美国医疗保健网站的行规与自律》载《hr世界》2000年7月3日D6版。8 《数字化时代的生活设计》见http://www.cultureview.com/community/community.htm9侗晾：《Toysmart出售用户资料的争论》CCIDNet2000年7月28日http://www.peopledaily.com.cn/GB/channel5/745/20000728/163564.html10 《您应该信任Toysmart吗？》载2000年6月《产品世界》□【关于转载文章及付酬的声明】此篇文章原登载于《电子知识产权》杂志。本网站依据《中华人民共和国着作权法》第三十二条和《最高人民法院关于审理涉及hr网络着作权纠纷案件适用法律若干问题的解释》第二条、第三条的规定予以合法转载。本网站依据国家相关规定准备了相应的稿酬，但由于客观原因无法支付。如您是这篇文章的着作权人或其他权利人，请与本网站联系。本网站在确认您的身份后将予以支付。如果您有任何其他意见，请与本网站联系，本网站将在进行核实后24小时内采取相关措施。谢谢合作！中国电子商务法律网电话：65518443邮件：deofar@vip.sina.com