从“3Q之争”看网民隐私保护

　　最近的“3Q之争”已经牵动了太多的眼球，政府出面干预，网民千里拍砖……在争端双方的相互妥协下，该事件似乎要划上句号了。但是，这一事件却带来了另一个话题——网民的隐私，谁来保护？

　　现在各种软件、各个网站，或出于为了给用户提供更加贴心的服务的目的，或出于其他一些难以摆上台面的目的，都在大量的收集互联网使用者的个人信息。尽管这些软件、网站在用户使用之前，都会让用户签订加入了个人信息授权的长长的服务条款。但这难道就代表用户真的知道这些软件、网站会获取用户的那些个人信息了吗？就代表用户同意他们获取这些信息了吗？就代表这些企业可以肆意的获取和利用这些信息了吗？

　　条款是服务商单方拟定的，用户没有任何交涉的权利，有的用户甚至都没有意识到自己有这样的权利。而此后，服务商整个信息获取和信息使用的过程，又完全是在内部无监督的情况下进行。这样的一种机制，如何去保障用户的隐私权益不受侵害呢？

　　美国是互联网的故乡，也是目前互联网相关管理机制最为完善的国家，我们其实可以学习学习他们的做法。美国是个宣扬个人权益的国家，因此很早开始就对互联网的隐私保护进行了规范。总的来说，美国在网络隐私权保护方面主要是采取政策性引导下的行业自律模式，更多是靠行业和企业的力量。其最具特色的形式是建议性的行业指引（Suggestive Industry Guidelines）和网络隐私认证计划（Online Privacy Seal Program）。建议性的行业指引是由网络隐私权保护的自律组织制订的，参加该组织的成员都承诺将遵守的保护网络隐私权的行为指导原则。最典型代表是美国隐私在线联盟（OPA, Online Privacy Alliances）的隐私指引。网络隐私认证计划是一种私人行业实体（也就是一些认证组织，）致力于实现网络隐私保护的自律形式，要求那些被许可在其网站上张贴其隐私认证标志的网站必须遵守在线资料收集的行为规则，并且服从多种形式的监督管理，其中最为有名的是电子信任组织（TRUSTe）和商业促进局在线组织（BBBonline，Better Business Bureau Online）。此外，还有一种方式，就是通过第三方的软件实现——个人隐私选择平台P3P（Personal Privacy Preference Platform）是目前最著名的技术保护形式，得到P3P软件的用户可以将他个人的隐私偏好设定在该软件的选项中，当受访问的站点收集或贩卖个人数据时，P3P就会禁止该站点或者提醒用户，由用户做出选择是否进入该站点。

　　总的来说，首先是行业内部达成一种共识，形成一种行为准则；然后是通过第三方的监督来达到对企业行为的限制，这个第三方可以采用从企业端来限制也可以采用从用户端来限制。可以看出，这个第三方相当重要。

　　回到QQ和360之间的这次纠纷，360似乎就是想通过技术手段来充当限制企业行为的第三方。但是，这里要强调一点，从企业端来限制的第三方和从用户端来限制的第三方有着截然的不同。从企业端来限制的第三方是取得了企业的同意，让其来履行监督的权力；而从用户端来限制的第三方却没有获得企业的授权，如果第三方通过对用户的影响而损害了企业的利益，其实也有可能是在侵权，这里面这个第三方的公立性、权威性就变得尤为重要。

　　上面提到的P3P虽然也是从用户端来限制企业行为，但是P3P是W3C制定的标准，是获得业界承认的公认标准。而360对QQ的侵犯隐私指责仅仅是一个企业的行为，其判断标准也并非权威，很难保证其公立性、权威性。

　　我们现在抛开QQ和360的争端，不去追究究竟QQ有没有侵犯隐私，究竟360有没有不正当竞争……我们仅仅是站在如何更好保护互联网用户个人隐私的角度出发来进行考虑，笔者认为关键是以下两点：

　　1、有公立专业机构出面，推动相关的网络隐私认证计划出台。这个是在企业端去进行一个更好的限制和监督，让真正凭良心做事的企业能够获得相应的用户认知。

　　2、在一个更加广泛的参与者（企业、研究机构、行业协会、政府等）的背景下，制定相关的个人隐私选择平台技术标准，或者在国际标准的基础上进行改进。安全相关软件都可以利用这些公认的标准来提供相应的隐私保护提醒服务，而不是关起门来自己定出一套判断是非的标准。这个是给用户一面不偏不倚的照妖镜，让做坏事的企业无所遁形。