数据抽样与调查方法

二、数据抽样与调查方法

一方面中国的网民数量、互联网、网上交易额持续稳步增长，另一方面网站不合理地收集、保存、加工、转让行为也使得网民和非网民对个人隐私的保护日益关注。为此，本调研以商业网站对个人资料的保护为调查对象，采集三组数据，考察网站对个人资料的收集、保存、加工和转让行为，将其与公认的个人资料正当处理原则相比较，找出我国网站在个人资料保护上存在的问题。

(一)数据抽样

为全面考察中文网站对个人隐私的保护，本调研共采集了三组商业网站，并依据一定的标准将其归入三组数据，即抽样数据、排名前100的中文网站(下简称为TOP100)和排名前120的电子商务网站(下简称为B2C TOP100)。抽样数据通过一定的标准从排名前1500的中文网站中随机抽取，以确保数据的普遍代表性。后两组数据则不存在抽样的问题，而是根据一定的标准剔除不适当的网站而来。

不少组织根据访问量和流量的多寡对中文网站进行了排名。为保证数据的广泛性，调研选择了排名前1500的网站作为抽样的网站群。通过访问网站www.crank.com获取该1500个网站，并拟从中随机抽取300个作为第一组数据，即抽样数据。为此，这1500个网站按照排名依次被划分为300个组;然后从每个组中随机抽取一个网站，以获得第一组数据。其中，无法访问的网站、行政性质的网站^[475]、纯B2B的网站^[476]和重复域名的网站^[477]被剔除。^[478]这样最终获取的216个网站组成了第一组抽样数据。

美国A lexa公司对中文网站按照流量进行了排名。调研以其前100名作为第二组考察数据，并从中剔除行政性质的网站、纯B2B的网站和重复域名的网站。这样最终获取的76个网站组成了第二组数据。类似地，中国站长站根据美国A lexa公司的排名对中国的电子商务网站进行了排名。笔者择其前120名，从中剔除上述几类网站，最终获取的82个网站组成了第三组数据，如下图示。

第一组数据最具广泛的代表性，可作为流量较大的中文网站的代表数据。第二组是流量较大的前100名网站，可反映最受欢迎的中文网站的个人资料保护状况。第三组数据作为电子商务网站的代表数据，可用以说明流量较大的网上交易网站对个人隐私的保护状况。因此，该三组数据不仅可以对中文商业网站的网上隐私行业自治进行宏观性考察，也可以将其与流量较大的一组商业网站和电子商务网站进行比较，以便更好地说明问题。

(二)调研方法

如前文所述，本调研以商业网站对个人资料的保护为调查对象，考察网站对个人资料的收集、保存、加工和转让行为，将其与公认的个人资料正当处理原则相比较，分析我国网站在个人资料保护上存在的问题。为此，本调研主要考察以下几个问题。

1.个人资料收集情况

第一个问题是网站对个人资料的收集情况，共包括三个子问题，即网站是否收集电子邮件，是否收集其他可识别身份的个人资料，是否收集不可识别身份的个人资料。^[479]三个问题可全面、真实地反映我国商业网站个人资料的收集现状。

2.隐私政策与隐私声明

第二个问题考察网站在隐私政策和隐私声明上的规定情况，共包括三个子问题，即是否对个人隐私问题作出了全面的规定(隐私政策)或简单的声明(隐私声明);若具有隐私政策，网站是否在网页上设置了明示的链接。该问题可准确地表明中文网站在个人数据保护上的意识。

3.信息正当处理原则

第三个问题考察隐私政策和隐私声明的内容，是网站对个人资料保护最核心的问题，即隐私政策或隐私声明规定了哪些信息正当处理原则，赋予资料当事人哪些权利，如通知、选择、接近和安全。

19世纪70年代以来，欧洲各国、经济合作发展组织(OECD)、欧共体以及后来的欧盟、美国和加拿大等国一直在创设、承认、发展这些原则。针对当时已过半的成员国对与个人资料相关的隐私保护作出或即将立法，^[480]为保护人权，促进信息在成员国间的自由流动，OECD委员会于1980年通过了《隐私保护与个人资料跨境流动指导原则》。^[481]《指导原则》规定了资料质量原则^[482]、目的特定原则^[483]、有限使用原则^[484]、安全保障原则^[485]、开放性原则^[486]、个人参与原则^[487]和自觉遵守原则^[488]。虽然，《指导原则》不具有法律约束力，但对后来的行业自治和立法起到了很大指引作用。

经过多年努力，欧共体于1995年通过了《个人资料处理与自由流动指令》，以保护人权，促进信息自由流动，加速欧洲经济一体化进程。^[489]该指令规定了八项个人资料处理原则，其中与个人权利相关的有:合理、合法处理原则，目的明确原则，目的相关原则，资料准确、保持更新原则，资料持有者为当事人提供合理途径修改、删除、阻止不准确资料原则，可识别个人身份信息不得保存至不合理期限原则。^[490]欧盟成员国多数依据该指令制定了本国个人资料保护法。^[491]

美国至今仍未制定统一、全面的联邦立法保护个人资料，^[492]但美国联邦贸易委员会(Federal Trade Commission)在其1998年向国会的报告中总结了广为认同的与个人资料收集、使用和传送相关的四项原则。^[493]

(1)通知(Notice)——资料持有者应于收集资料前向个人明示其信息处理方法;

(2)选择(Choice)——个人应有权选择所收集的信息是否以及如何被运用于提供信息的目的之外;

(3)接近(Access)——个人应有权查阅、修改、删除已收集的资料，确保资料的准确、完整性;

(4)安全(Security)——资料持有者应采取措施确保个人资料的安全。^[494]

从OECD的《指导原则》到欧共体的《指令》，再至FTC的《报告》，我们可以看出，通知、选择、接近和安全构成了信息正当处理原则的主要内容。为此，本调研也以该四项原则为标准，考察中文网站的隐私政策和隐私声明。每项原则下设计了相应的具体问题。

(1)通知:网站是否声明其不收集个人资料;若未声明，其是否说明通过何种途径收集哪些具体的个人资料，如何内部利用个人资料，是否向第三方披露个人资料。网站是否设置Cookies，是否允许第三方设置Cookies。^[495]

(2)选择:网站是否向个人发送与交易直接相关以外的信息;若发送，个人是否有权选择不予接收，通过何种途径作出选择;网站是否将个人资料披露给第三方;若披露，个人是否有权选择网站是否进行披露，通过何种途径作出选择。

(3)接近:个人是否有权查阅、更正、删除、要求停止使用收集的某些个人资料。

(4)安全:网站是否采取具体措施保障个人资料的安全，是否采取措施保障个人信息传送的安全，是否采取措施保障收集后资料的安全。