國內外社交媒體個人信息保護政策研究及啟示

范昊 王賀 付少雄

摘 要：[目的/意義]基于社交媒體個人信息安全事件頻發(fā)的現(xiàn)狀，通過審核社交媒體的個人信息保護政策，以期從法律政策文本層面規(guī)范社交媒體的個人信息保護，保障個人信息合法權益與社會公共安全利益。[方法/過程]本文以國內外16款用戶量最大、使用頻次最高的社交媒體為研究對象，通過內容分析法，從個人信息采集與利用、Cookie及相關技術的提醒、個人信息儲存及保護、個人信息共享轉讓與披露、個人信息處理權益、未成年個人信息保護角度對社交媒體的個人信息保護政策進行分析。[結果/結論]政府層面亟需保障《信息安全技術 個人信息安全規(guī)范》等法律法規(guī)的底層實施，企業(yè)層面需開展個人信息保護的內部制度化建設，結合服務與產品特征細化個人信息保護政策內容，采用實名制規(guī)范未成年個人信息保護。

關鍵詞：社交媒體;個人信息;隱私保護;隱私政策;敏感信息

Abstract：[Purpose/Significance]Current personal information security incidents of social media occur frequently.To regulate the protection of personal information of social media from the legal policy text，and protect the legitimate rights and interests of personal information and the security interests of public，our paper reviews the personal information protection policy of social media.[Method/Process]This paper took 16 social media with the largest number of users and the highest frequency of use as the research object.Through content analysis，the paper analyzed the personal information protection policy of social media from the perspectives of the collection and use of personal information，reminders of cookies and related technologies，personal information storage and protection，transfer and disclosure of personal information sharing，personal information processing rights，and protection of underage personal information.[Result/Conclusion]At the government level，it is urgent to strengthen the implementation of the“Information Security Technology and Personal Information Security Code”and other laws and regulations.At the enterprise level，it is necessary to carry out internal institutionalization of personal information protection，combine the service and product features to refine the content of personal information protection policies，and adopt the real name system to improve underage personal information protection.

Key words：social media;personal information;privacy protection;privacy policy;sensitive information

我國《“十三五”規(guī)劃建議》提出實施“網絡強國戰(zhàn)略”以及“互聯(lián)網+”行動計劃，強調網絡安全面臨重大挑戰(zhàn)[1]。此后，網絡安全觀被上升為國家安全層面，指出網絡安全是國家信息化發(fā)展的基石。其中，網絡平臺用戶數(shù)據保護是網絡安全的重要議題[2]。由于社交媒體企業(yè)缺乏對于用戶信息的合理保護，當前社交媒體用戶信息泄露事件頻發(fā)，如2018年12月，社交問答平臺Quora的1億條用戶信息泄露，其中涉及用戶姓名、郵箱、密碼，以及網站分享內容;2018年8月，Instagram社交平臺數(shù)百萬用戶的郵箱地址、電話號碼等個人資料遭到泄露;2018年3月，F(xiàn)acebook的8 700多萬用戶的性格特征、行為習慣、政治傾向等個人信息遭到非法外泄進行用戶畫像分析。為此，2018年5月，我國實施《信息安全技術 個人信息安全規(guī)范》[3]。與此同時，歐盟于2018年5月出臺《通用數(shù)據保護條例》[4]。

有效社交媒體政策的制定有助于增強企業(yè)的個人信息保護意識，從法律條款層面對企業(yè)個人信息處理行為進行約束。個人信息保護政策在第三方APP中以“個人信息保護或隱私條款/聲明”形式呈現(xiàn)，是指APP運營商面向用戶個人信息保護而制定的有關義務、權利與責任的規(guī)則[5-6]。個人信息保護政策常內嵌于“網絡服務協(xié)議”、“APP服務及許可協(xié)議”等服務協(xié)議范疇中，或單獨設置個人信息/用戶隱私保護政策。當前國內外相關研究主要從用戶[7-9]、網絡平臺[10-12]、政府監(jiān)管部門[13-14]視角探究了網絡環(huán)境下的用戶個人信息保護，從制定內容[15-17]、制定現(xiàn)狀[18-19]分析了網絡平臺的個人信息保護政策。當前國內有關社交媒體個人信息保護政策的內容分析處于空白，且缺乏國內外第三方APP的個人信息保護政策對比，而社交媒體領域的個人信息保護亟需得到關注[20-21]。

基于此，本文以16款國內外用戶量最大、使用頻次最高的社交媒體為研究對象，通過內容分析法，從個人信息采集與利用、Cookie及相關技術的提醒、個人信息儲存及保護、個人信息共享轉讓與披露、個人信息處理權益、未成年個人信息保護角度解讀社交媒體個人信息保護政策，以期為社交媒體個人信息保護的政策制定和立法工作給予參考，并為社交媒體的個人信息安全防范提供借鑒。

1 個人信息保護政策法律解釋

1.1 個人信息保護政策概念辨析

在全國信息安全標委會實施的《信息安全技術 個人信息安全規(guī)范》（GB/T 35273-2017）中規(guī)定，個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息[3]。關于法律性質的界定，個人信息保護政策是企業(yè)保護用戶信息的關鍵舉措，政策中的條款內容也是用戶個人信息保護的最低標準[22]。在實施過程中，個人信息保護政策是互聯(lián)網服務商、軟件運營商在為用戶提供服務過程中，對用戶數(shù)據合法采集利用所作出的相應承諾[23]。其中一類是單方面的個人信息保護政策，服務商/運營商僅面向用戶數(shù)據采集作出單方面聲明，無須經過用戶明示同意，且未涉及細粒度的服務條款，因此不能被界定為合同;另一類是當前服務商/運營商普遍采取的做法，個人信息保護政策隸屬于網絡服務內容承諾的子維度，用戶只有在簽署個人信息保護政策協(xié)議的情況下才能享受服務，其屬于面向雙方當事人間的協(xié)議[24]。因此，構建在用戶閱讀且明示同意的基礎上的個人信息保護政策，屬于正式的網絡服務合同[23]。

用戶的個人信息保護政策常內嵌于APP內部，如新浪微博的個人信息保護政策位于“設置—關于微博—微博個人信息保護政策”，微信的個人信息保護政策位于“設置—隱私—微信隱私保護指引”中，YouTube的個人信息保護政策位于“賬號—條款及隱私權政策”。對于社交媒體而言，個人信息保護政策通常采用實時提醒、增強式提醒兩種模式告知用戶。首先是實時提醒，當用戶訪問相冊、備忘錄、位置信息、通訊錄等個人信息時，第三方APP會向用戶發(fā)送征求用戶同意的彈窗[22];其次是增強式提醒，當用戶首次安裝下載APP、首次賬號注冊、首次APP使用的情況下向用戶推動個人信息/隱私保護政策。雖然APP常采用上述方式通知用戶個人信息的采集與利用，但使用即許可（即使用APP便默認許可APP的個人信息保護條款）是當前互聯(lián)網服務商的基本處理模式。因此，規(guī)范和完善的個人信息保護政策及法律體系對于移動互聯(lián)網時代的個人信息保護起關鍵作用。

1.2 個人信息保護立法

為有效實施網絡強國戰(zhàn)略，保障互聯(lián)網用戶的個人信息安全，我國開展了個人信息保護的相關立法工作。國內個人信息保護立法可分為兩個階段：首先是個人信息保護立法探索階段，國務院于2000年9月發(fā)布《互聯(lián)網信息服務管理辦法》，該辦法初步涉及了個人信息保護，即要求運營商建立用戶信息安全管理制度。此后，工業(yè)和信息化部于2013年7月頒布部門規(guī)章《電信和互聯(lián)網用戶個人信息保護規(guī)定》，而部門規(guī)章的罰款額度最高為3萬元，不利于預防和懲處個人信息有關違法行為。

然后是個人信息保護立法的完善階段，全國人大于2016年11月頒布《網絡安全法》在第40～45條中強調了第三方運營平臺應構建用戶信息保護制度，對用戶個人信息嚴格保密，并對個人信息的采集與利用進行規(guī)范[25]。2017年1月，工業(yè)和信息化部印發(fā)《信息通信網絡與信息安全規(guī)劃（2016-2020年）》，指出要強化用戶個人信息保護，重點從網絡數(shù)據安全管理體系建立、用戶個人信息保護強化、建立完善個人信息泄露報告與公告機制方面展開。2017年6月，國家互聯(lián)網信息辦公室頒布《網絡產品和服務安全審查辦法（試行）》，強調服務與產品提供商基于服務與產品提供的便利條件，存在非法采集、保存、處理、利用用戶個人信息的風險，并展開重點審查。2017年7月至2018年1月，工業(yè)和信息化部連續(xù)印發(fā)《移動互聯(lián)網綜合標準化體系建設指南》、《公共互聯(lián)網網絡安全突發(fā)事件應急預案》、《工業(yè)控制系統(tǒng)信息安全行動計劃（2018-2020年）》、《公共互聯(lián)網網絡安全威脅監(jiān)測與處置辦法》，指出圍繞監(jiān)測評估、技術提升、政策監(jiān)管3個方面發(fā)展移動安全防范體系，以健全包括個人信息泄露事件在內的網絡安全事件的應對能力與應急機制。2017年9月，國家互聯(lián)網信息辦公室發(fā)布《互聯(lián)網用戶公眾賬號信息服務管理規(guī)定》，第9條指出互聯(lián)網用戶公眾賬號的信息服務提供者應保護用戶個人信息安全，不得篡改、泄露、毀損，及非法出售或者向他人提供。2018年4月，公安部發(fā)布《公安機關互聯(lián)網安全監(jiān)督檢查規(guī)定（征求意見稿）》，規(guī)定出售、泄露、非法個人信息的人員，按照《網絡安全法》第64條予以處罰，構成犯罪依法追究刑責。2018年5月，國標委實施《信息安全技術 個人信息安全規(guī)范》，對個人信息控制者在采集、存儲、利用、分享、轉讓、公開披露等個人信息處理過程中的行為進行詳細的規(guī)定[3]。

此外，國外也針對個人信息保護展開了大量立法工作，如韓國2011年3月發(fā)布《個人信息保護法》，從個人信息保護的基本原則、保護基準、主體權益保障、信息自決權等維度做出全面闡述;美國2012年2月提出的《用戶隱私權利法案》確立了用戶隱私保護原則，包括安全原則、透明原則、更改與訪問、問責制原則、尊重背景原則、限制收集原則、自主控制原則[26];新加坡2014年7月生效的《個人資料保護法令》，為個人信息的采集、利用、公開、處理等方面設立標準[27];日本2017年5月實施修訂后的《個人信息保護法》，從個人信息的獲取與利用規(guī)則、保存規(guī)則、信息提供的遵循事項、保存期限、向外國第三方提供所需遵守規(guī)則等方面進行了立法;俄羅斯2017年9月實施修訂后的《俄羅斯聯(lián)邦個人資料法》，主要涵蓋個人信息處理的條件與原則、信息主體權益、信息處理者義務、個人信息處理監(jiān)管等方面;歐盟2018年5月強制實施的《通用數(shù)據保護條例》對歐盟內部機構采集與使用個人信息、非歐盟境內機構處理歐盟內部用戶的個人信息、非歐盟機構在歐盟境內處理個人信息進行了嚴格規(guī)定[4]。

2 社交媒體個人信息保護政策的內容分析

2.1 研究對象

根據凱度（KantarGroup）發(fā)布的《2018中國社交媒體影響報告》[28]，結合國內外社交媒體用戶量、下載排名，本文以國內社交媒體（微信、優(yōu)酷、QQ、百度貼吧、新浪微博、豆瓣、抖音、知乎）、國外社交媒體（Facebook、YouTube、Instagram、Google+、Twitter、Snapchat、Reddit、Quora），如表1所示。其中根據對社交媒體官方用戶數(shù)據進行調研，上述國外社交媒體的月活躍用戶皆超過1億。本文研究對象涵蓋了通訊社交媒體、交友類社交媒體、論壇類社交媒體、視頻類社交媒體，而優(yōu)酷與YouTube屬于具備社交評論功能的視頻播放平臺[28]，包含跟帖、評論、彈幕、社區(qū)、星球等服務，因此也納入本文研究范疇。

2.2 個人信息保護政策

根據調研，所有社交媒體皆制定有專門的個人信息/隱私保護政策。結合我國和歐盟于2018年5月實施的《信息安全技術 個人信息安全規(guī)范》、《通用數(shù)據保護條例》相關規(guī)定，本文從如下6個方面對國內外社交媒體個人信息保護政策進行調研。

2.2.1 個人信息采集與利用

社交媒體APP在用戶個人信息的采集和利用的規(guī)定主要涉及“個人信息”、“敏感信息”范疇的界定等5方面，調研結果如表2所示。首先，部分國內社交媒體對于“個人信息”、“敏感信息”等關鍵概念進行了明確，國外社交媒體皆未界定相關概念，如優(yōu)酷將個人敏感信息劃分為個人生物識別信息、身份證件號碼、銀行或其他資金賬號、交易信息、行蹤軌跡、財產信息、14歲以下（含）兒童的個人信息等。此外，優(yōu)酷還將涉及個人敏感信息部分通過加黑加亮加粗以提醒用戶;其次，所有社交媒體均表示了對保護用戶個人信息的責任，如知乎指出個人信息安全至關重要，將根據我國《網絡安全法》、《信息安全技術 個人信息安全規(guī)范》以及其他相關法律法規(guī)和技術規(guī)范處理用戶信息;Instagram指出會按照當?shù)胤煞ㄒ?guī)如歐盟《通用數(shù)據保護條例》保障用戶數(shù)據權益。

再者，對于明確基礎與額外服務的數(shù)據類型，多數(shù)社交媒體進行了明確，具體而言，采集的基礎信息包括用戶提供的信息和內容（包括在分享或創(chuàng)建內容、注冊帳戶，以及與他人交流或發(fā)消息時提供的信息）、用戶使用情況（如互動或查看的內容類型、使用的功能、執(zhí)行的操作、與用戶互動的帳戶或人士，以及用戶在線活動的頻率、時間與時長）、設備信息（設備屬性、設備操作、身份識別信息、設備信號、來自設備設置的信息、網絡和連接、Cookie數(shù)據）、來自合作伙伴的信息（如廣告主、發(fā)行商和應用開發(fā)者等）、關系網絡與人際網絡（如與用戶有關聯(lián)的公共主頁、人士、小組、話題標簽和帳戶的相關信息，以及用戶如何使用產品與他們互動的信息）等，額外信息包括在產品中進行交易的相關信息（如借記卡或信用卡號碼以及卡的其他信息、其他帳戶和身份驗證信息、配送、賬單與聯(lián)系方式）、他人執(zhí)行的操作和提供的有關用戶的信息（如當他人分享或評論用戶您的照片、向用戶您發(fā)消息，或者同步、上傳或導入用戶您的聯(lián)系方式時）等;然后，多數(shù)社交媒體明確了個人信息的采集用途，主要用于個性化服務、數(shù)據分析與研究、服務與產品提供、風險識別、定向推送活動、調查與活動。但僅少數(shù)APP明確指出個人信息用于其他用途需再次征得用戶同意，如新浪微博指出除個人信息保護政策中指出的場景外，其他場景的個人信息獲取需重獲用戶明示同意;此外，多數(shù)社交媒體強調了正當與合法原則，較少強調必要原則，即最少夠用原則，如優(yōu)酷指出基于合法、正當合理、誠實信用、必要的法定原則采集與處理個人信息。

2.2.2 Cookie、Beacon及相關技術的提醒

Cookie、Beacon及相關技術主要基于向物理設備發(fā)送小型數(shù)據追蹤文件，從而記錄用戶信息行為并被整理于數(shù)據庫中，使得用戶個人信息泄露風險加大。社交媒體通常在用戶首次使用服務時便向用戶發(fā)送Cookie使用提醒，如Twitter、Snapchat、Reddit等會在網頁版底端彈窗指出使用服務即表示同意Cookies的使用。本文對Cookie、Beacon及相關技術的提醒進行了調研，如表3所示。首先，多數(shù)社交媒體明確了網絡隱形追蹤技術的類型，如YouTube指出會利用各種技術采集信息，包括？Cookie、像素代碼、本地存儲（例如使用瀏覽器緩存應用數(shù)據或網絡存儲）、數(shù)據庫與服務器日志;其次，多數(shù)社交媒體也明確了Cookie、Beacon及相關技術使用的作用，主要用于運營社交媒體、用戶信息行為分析和廣告投放等，如Snapchat的Cookies使用主要用于用戶設置和偏好記錄、識別和預防安全風險、服務改進、廣告投放;再者，明確網絡隱形追蹤技術的個人信息采集模式，Reddit指出通過Cookie采集的信息是通過瀏覽器存儲并在發(fā)出請求時發(fā)回給的數(shù)據;然后，絕大多數(shù)APP皆設置有拒絕或禁止網絡隱形追蹤技術的操作指引，常表述為用戶可拒絕部分或全部瀏覽器Cookie的選項，也可從瀏覽器中刪除Cookie。此外，部分社交媒體還制定有專門的Cookie政策，如知乎的《知乎Cookie指引》;Instagram、Snapchat、Quora的《Cookie政策》等。

2.2.3 個人信息儲存及保護

對于個人信息的存儲，社交媒體主要對個人信息的地域、期限及物理媒介等方面進行明確，如微信強調會將境內的用戶個人信息存儲于中國境內;優(yōu)酷指出僅在成本政策所需目的范圍內存儲用戶個人信息，除非得到用戶同意或法律強制留存，保存期限過后會注銷、清除或匿名化處理個人信息;百度貼吧將個人信息的存儲期限界定為百度貼吧服務和產品使用期內，個人信息皆存儲于中國境內，涉及跨境傳輸會按照法律進行嚴格出境安全評估以保障個人信息安全;Reddit將在100天后刪除除了用于創(chuàng)建帳戶以外收集的所有IP地址。此外，部分個人信息還會存儲于用戶移動設備中，如當用戶使用微博搜索服務時，為提升搜索服務效率，部分信息會存儲于本地設備中。

對于個人信息的保護，SSL（Secure Sockets Layer）等加密技術、標簽化處理、去標識化處理、匿名化處理等是社交媒體個人信息保護的常規(guī)方式。去標識化是指基于對個人信息的技術化處理，使其在不借助額外信息的情況下，無法識別個人信息主體的過程，且匿名化會使處理后的信息不能被復原。同時，社交媒體會進行信息保護安全測評，如微信通過國際信息安全管理體系（International Information Security Management Systems）、ISO27001、TRUSTArc等國際權威信心安全認證，并通過國家網絡安全等級保護（3級）的備案與測評。此外，社交媒體還會從企業(yè)制度層面制定信息保護措施，如YouTube指出會審查在采集、存儲和處理信息方面的做法（包括實體安全措施），以防止未經授權的人員訪問系統(tǒng)。

2.2.4 個人信息共享、轉讓與披露

社交媒體皆明確了會在用戶明示同意或指示下共享、轉讓或披露個人信息，如Twitter指出當用戶授權第三方Web客戶端或應用程序訪問個人帳戶時、當用戶指示我們與企業(yè)分享用戶您的反饋時、當用戶與通過第三方服務訪問Twitter的其他人共享直接消息或受保護推文等信息時，Twitter可能與第三方服務共享個人信息;Reddit指出會在征得用戶同意、與附屬公司、與合作伙伴等情形下分享用戶個人信息;Quora表示不會將用戶個人信息轉讓給第三方用于營銷目的。

但各社交媒體還指出在未得到用戶明示同意情形下共享、轉讓或披露個人信息的條件，如優(yōu)酷將條件劃定為法定情形下披露與共享、與關聯(lián)方共享個人信息、與授權方共享個人信息、爭議處理協(xié)助;YouTube的條件涵蓋與域管理員分享、用于外部處理（即向關聯(lián)公司或其他可信商家或個人提供個人信息）、出于法律原因;Snapchat指出在遵守政府要求或適用的法律、規(guī)則或法規(guī)，調查、補救或執(zhí)行潛在的服務條款違規(guī)行為，保護企業(yè)、企業(yè)的用戶或其他人的權利、財產和安全，檢測并解決任何欺詐或安全問題的情況下可能披露和共享用戶個人信息。

2.2.5 個人信息處理權益

所有社交媒體均表示用戶具有訪問、改正、移植、停用和刪除個人信息的權益。根據《信息安全技術 個人信息安全規(guī)范》，互聯(lián)網服務及產品在采集用戶個人信息時，應通過各類方式向用戶明示，并取得用戶同意，如百度貼吧指出用戶可隨時收回或給予授權同意、進行個人信息刪除等操作;YouTube指出用戶可隨時從Google帳號中導出個人信息的副本，也可以將其從Google帳號中刪除。此外，部分國外社交媒體還明確了用戶有權限制與反對對個人信息的特定處理，如Facebook和Instagram指出用戶有權反對將個人信息用于執(zhí)行符合公共利益或者追求平臺自身或第三方合法權益的任務、用戶有權反對將個人信息用于直接營銷，可使用營銷信息中的“退訂”鏈接來行使相關權益。

對于社交媒體是否在個人信息保護政策中明示用戶處理權益的操作，本文進行了調研，國內社交媒體多通過操作指示進行明確，如微信明確推薦通訊錄朋友關閉操作（點擊“我—設置—隱私—關閉向我推薦通訊錄朋友”）、微信支付銀行卡刪除操作（點擊“我—錢包—銀行卡—選擇銀行卡—點擊右上角解除綁定”）等;國外社交媒體多通過鏈接進行操作指示，如Google+在隱私政策中提供有刪除特定Google產品與賬號（包括與這些產品關聯(lián)的個人信息）的鏈接，Twitter提供訪問、糾正與刪除個人信息的鏈接，如表4所示。

2.2.6 未成年個人信息保護

社交媒體皆制定有針對未成年個人信息保護政策，對于國內社交媒體，未成年個人信息保護條款相似度較高，主要包含如下條款：①本服務與產品主要面向成年人，若用戶是未滿14周歲的未成年人，在使用服務與產品前，應在父母或其他監(jiān)護人指導、監(jiān)護下共同仔細閱讀本隱私政策;②若您是18周歲以下的未成年人，在使用服務前，應事先取得您的法定監(jiān)護人或家長的書面同意;③若您是未成年人的監(jiān)護人，當您對您所監(jiān)護的未成年人的個人信息有相關疑問時，請與我們聯(lián)系;④對于經父母或監(jiān)護人同意使用我們的產品或服務而收集未成年人個人信息的情況，我們只會在法律法規(guī)允許、父母或監(jiān)護人明確同意或者保護未成年人所必要的情況下使用、共享、轉讓或披露此信息;⑤如果我們發(fā)現(xiàn)在未事先獲得可證實的父母同意的情況下收集了未成年人的個人信息，將會采取措施盡快刪除相關信息。對于上述條款，國內皆未采取強制措施確保未成年人的社交媒體使用已得到監(jiān)護人同意，如新浪微博指出，如果18周歲以下用戶在微博上申請注冊賬號，微博將默認為用戶已得到監(jiān)護人的同意。此外，部分社交媒體的國際版與國內版的未成年個人信息保護政策具有差異性，如QQ國際版明確指出兒童不得出于任何目的使用服務，且不會在知情的情況下允許任何未年滿16歲的人士提供個人身份識別信息。

對于國外社交媒體，F(xiàn)acebook會為保護未成年人，采取特殊保障措施，如對成年人聯(lián)系未成年人設限。同時，F(xiàn)acebook針對青少年社交媒體使用制定了指導原則：不要讓陌生人進入你的空間、保護好密碼、每隔一段時間更換一次密碼、如果看到讓你不適的內容請發(fā)聲、不要將個人信息泄露給剛認識的人等;YouTube專門針對未成年制定有《YouTube兒童隱私聲明》，并設置有兒童須知，包括對兒童個人信息的采集、分享、家長訪問與控制等;Instagram指出所有年滿13歲的用戶均被視為經授權的帳戶持有人，家長不具備對子女賬戶的訪問權限，并設有專門條款幫助未成年人舉報冒犯性/不恰當材料或不良行為，以及欺凌或騷擾行為。

3 社交媒體個人信息保護政策的啟示

本文以國內外社交媒體為研究對象，采用內容分析法探究了社交媒體的個人信息保護政策制定現(xiàn)狀，以期從法律層面對個人信息的非法采集、泄露、濫用等行為進行約束?；趯ι缃幻襟w個人信息保護政策的實證調研，可為社交媒體個人信息保護政策完善以及互聯(lián)網安全空間的營造提供如下借鑒：

1）個人信息保護法律法規(guī)的落實。雖然國家層面制定了《網絡安全法》等系列法律法規(guī)以規(guī)范互聯(lián)網個人信息采集與利用行為，但由于缺乏針對社交媒體等類型APP隱私保障與信息安全的審核流程，國內社交媒體普遍未能達到最新《信息安全技術 個人信息安全規(guī)范》的標準。應針對《信息安全技術 個人信息安全規(guī)范》的具體規(guī)定，明確法律法規(guī)條款對應的懲處措施，政府層面應通過制定個人信息保護監(jiān)管標準加強行政審核[29]。同時，還可建立國內的個人信息安全認證制度，對企業(yè)個人信息安全保障程度進行定級，以實現(xiàn)個人信息合法權益與社會公共安全利益的最大保障。此外，中國互聯(lián)網協(xié)會、中國互聯(lián)網上網服務行業(yè)協(xié)會等互聯(lián)網行業(yè)組織可充分發(fā)揮行業(yè)自律的引導作用，面對移動互聯(lián)網環(huán)境下的個人信息保護問題，制定互聯(lián)網行業(yè)的個人信息保護標準，且定期對行業(yè)內企業(yè)的個人信息保護政策進行審核，使其得到定時的更新與完善。

2）企業(yè)個人信息保護的制度化建設。由于社交媒體企業(yè)的規(guī)模普遍較大，社交媒體基本建立了較為完善的用戶個人信息/隱私保護政策，但個人信息保護政策的實施依托于企業(yè)管理，較少社交媒體的個人信息保護政策涉及了組織與制度的建設。鑒于當前國內外社交媒體個人信息泄露事件頻發(fā)的現(xiàn)狀，社交媒體應設立專門的用戶個人信息保護團隊或部門，構建個人信息重大安全事故的責任制，將個人信息在內的數(shù)據保護納入企業(yè)戰(zhàn)略，安全、法務、產品、技術、交互等不同部門在執(zhí)行層面承擔個人信息保護的具體職責。同時，社交媒體企業(yè)應建立起個人信息保護制度，對個人信息相關數(shù)據進行監(jiān)控與限制，確保非必要的工作人員不能接觸到用戶個人信息，離職時簽訂個人信息保密協(xié)議。此外，社交媒體企業(yè)可開展定期個人信息保護課程與培訓，加強隱私文化的建設，提升工作人員的個人信息保護意識，如騰訊的隱私保護PBD價值觀建設。

3）國內個人信息保護政策的細化。國外社交媒體的個人信息保護政策多針對自身APP產品和服務的特征而設置，如Reddit指出用戶購買Reddit Gold時會采集用戶交易信息，包括用戶姓名、地址、電子郵件地址以及Reddit Gold的相關信息;Snapchat會采集用戶與其服務的互動信息，包括用戶在Discover上觀看的故事、是否使用Spectacles等。相較于國外社交媒體，國內社交媒體個人信息保護政策覆蓋面與完整性較高，對于個人信息保護各方面皆有涉及，但是相關條例相似度較高，應針對自身產品和服務特點制定政策，如國內社交媒體的未成年個人信息保護政策多為未成年人需先取得法定監(jiān)護人或家長的書面同意，或未成年個人信息的使用、共享、轉讓或披露需要父母或監(jiān)護人明確同意，未明確未成年個人信息保護的具體舉措，但國外部分社交媒體制定有未成年個人信息保護的具體舉措與指導原則。由于網絡實名制已在國內得到推廣，為使國內未成年個人信息保護政策更具針對性與可操作性，可通過如實名制等模式對未成年用戶進行確認，采取強制措施確保未成年人的社交媒體使用已得到監(jiān)護人同意。

參考文獻

[1]鄧若伊，余夢瓏，丁藝，等.以法制保障網絡空間安全構筑網絡強國——《網絡安全法》和《國家網絡空間安全戰(zhàn)略》解讀[J].電子政務，2017，（2）：10-43.

[2]杜超楠，袁勤儉，岳泉.我國隱私問題研究現(xiàn)狀及熱點主題分析——基于2004-2016年國家自然科學基金立項數(shù)據的研究[J].情報科學，2018，36（3），99-104.

[3]全國信息安全標委會.國家標準GB/T 35273-2017 《信息安全技術 個人信息安全規(guī)范》[EB/OL].https：//www.tc260.org.cn/front/postDetail.html？id=20180124211617，2018-12-11.

[4]付少雄，林艷青.歐盟開放科學云計劃：規(guī)劃綱領、實施路徑及啟示[J/OL].圖書館論壇，2019.http：//kns.cnki.net/kcms/detail/44.1306.G2.20181121.1528.004.html，2018-12-28.

[5]涂萌，張綿偉.第三方支付用戶個人信息安全風險及對策研究[J].情報理論與實踐，2018，41（12）：70-75.

[6]朱侯，張明鑫，路永和.社交媒體用戶隱私政策閱讀意愿實證研究[J].情報學報，2018，37（4）：362-371.

[7]Vishwanath A，Xu W，Ngoh Z.How People Protect Their Privacy on Facebook：A Cost-benefit View[J].Journal of the Association for Information Science and Technology，2018，69（5）：700-709.

[8]Karwatzki S，Dytynko O，Trenz M，Veit D.Beyond the Personalization-Privacy Paradox：Privacy Valuation，Transparency Features，and Service Personalization[J].Journal of Management Information Systems，2017，34（2）：369-400.

[9]王娜，許大辰.移動社交網絡中個人信息保護現(xiàn)狀的調查與分析——從用戶行為習慣視角出發(fā)[J].情報雜志，2015，34（1），185-189，194.

[10]張曉娟，李貞貞.信息隱私關注、信任與智能手機用戶的個人信息安全行為意向[J].現(xiàn)代情報，2018，38（3）：45-50.

[11]劉魯川，張冰倩，李旭.社交媒體用戶焦慮和潛水行為成因及與信息隱私關注的關系[J].情報資料工作，2018，39（5）：72-80.

[12]梁曉丹，李穎灝，劉芳.在線隱私政策對消費者提供個人信息意愿的影響機制研究——信息敏感度的調節(jié)作用[J].管理評論，2018，30（11）：97-107，151.

[13]譚春輝，童林.我國個人信息保護政策工具的分析與優(yōu)化建議[J].圖書情報工作，2017，61（23）：67-75.

[14]王肅之.讀者個人信息保護的層次化與規(guī)范化——基于《中華人民共和國公共圖書館法》與《信息安全技術，個人信息安全規(guī)范》分析[J].圖書館工作與研究，2018，（6）：5-9.

[15]王莉.大數(shù)據時代社交媒體“數(shù)據隱私”的合理使用——知情同意、未知情同意與參與式同意[J].編輯之友，2018，（1）：36-39.

[16]姬蕾蕾.個人信息保護立法路徑比較研究[J].圖書館建設，2017，（9）：19-25.

[17]Cradock E，Millard D，Stalla-Bourdillon S.Investigating Similarity Between Privacy Policies of Social Networking Sites as a Precursor for Standardization[C]//Proceedings of the 24th International Conference on World Wide Web.Florence，Italy，May18-22，2015：283-289.

[18]楊翱宇.個人信息保護的特別機制研究——以澳門《個人資料保護法》為考察樣本[J].圖書館，2018，（3）：68-74.

[19]謝衛(wèi)紅，樊炳東，李忠順，等.電子商務環(huán)境下網絡隱私顧慮維度的評估與測量[J].現(xiàn)代情報，2019，39（1）：137-147.

[20]Sunyaev A，Dehling T，Taylor P L，et al.Availability and Quality of Mobile Health App Privacy Policies[J].Journal of the American Medical Informatics Association，2015，22（1）：28-33.

[21]付少雄，陳曉宇，仝晶晶，等.數(shù)字生活情境下的數(shù)據、信息和知識 ——第十九屆“亞太數(shù)字圖書館國際會議”綜述[J].圖書館論壇，2018，（1）：144-154.

[22]易斌，劉穎，方錦平，等.電子資源供應商網站隱私 政策調查與思考[J].圖書館，2013，（5）：52-54.

[23]何培育，王瀟睿.智能手機用戶隱私安全保障機制研究——基于第三方應用程序 “隱私條款” 的分析[J].情報理論與實踐，2018，41（10）：40-46.

[24]談詠梅，錢小平.我國網站隱私保護政策完善之建議[J].現(xiàn)代情報，2006，（1）：215-217.

[25]宜春市政府信息公開網.《網絡安全法》[EB/OL].http：//xxgk.yichun.gov.cn/ycsjyj/xxgk/fgwj/201802/t20180226_535815.html，2018-12-25.

[26]White House of America.Consumer Privacy Bill of Rights[EB/OL].https：//epic.org/privacy/white_house_consumer_privacy_.html，2019-01-25.

[27]付少雄，陳曉宇，趙海平，等.新加坡高校的科學數(shù)據管理實踐體系[J].圖書館論壇，2019，（2）：141-148.

[28]凱度.2018年凱度中國社交媒體影響報告[EB/OL].https：//cn.kantar.com/媒體動態(tài)/社交/2018/2018年凱度中國社交媒體影響報告/，2019-01-05.

[29]趙蓉英，余波.網絡信息安全研究進展與問題探析[J].現(xiàn)代情報，2018，38（11）：118-124.

（責任編輯：孫國雷）