數字時代,信息技術與生產生活緊密交織。手機應用程序(App)因其便捷性、專業性等優勢,被廣泛運用于日常生活、專業服務和社會治理等多領域,為人們帶來便捷的同時,也帶來了信息安全隱患。近年來,App違規違法收集、使用用戶信息事件頻發,有報告顯示,超七成App存在過度索權行為,即在非必要的情況下獲取用戶隱私權限,增加了個人信息泄露的風險。如何平衡信息化、數字化發展需求與保障個人信息安全之間的矛盾,成為亟待解決的問題。對此,光明日報與武漢大學法學院、網絡治理研究院組成聯合調研組,對1036人進行問卷調查及深度訪談,并對15類150款App的隱私協議狀況進行分析,就個人用戶對App隱私協議的使用體驗、App隱私協議對用戶信息權益侵害的具體表現,以及背后的深層次原因等進行了深入調查,并就如何進一步完善平臺監管、保護個人信息提出建議。
打開一個新安裝的App,首先彈出的便是“隱私協議”。長達數頁的協議條文,是否在你的指尖匆匆劃過不留痕跡?你是否并未點開內容,便已快速勾選“同意,我已閱讀過這些條款”?但你可曾想過,從點擊“同意”的那一刻起,你便開始了在信息洪流中的“裸奔”。
App隱私協議(也稱“隱私保護指引”“隱私政策”等),即用戶與企業之間就個人信息收集、處理所達成的協議,主要內容包括App如何采集、存儲、使用用戶個人信息與相關安全保障措施,以及個人對數據享有的權利及其實現方式。
作為App平臺收集、使用用戶信息的第一道關口,隱私協議不僅是收集、使用個人信息服務的“說明書”,更應成為保障用戶利益的“安全閥”。但從現實來看,App平臺對用戶的隱私保護狀況并不樂觀。5月,國家網信辦發布通報,有84款App存在違法違規收集使用個人信息等問題,包括36款安全管理類App、48款網絡借貸類App。
一紙協議,如何看待,又該如何規范?
1.隱私協議規范化程度低、侵權風險高
用戶風險意識欠缺。小王是一名法學專業的大二學生,她的手機里裝滿了五花八門的App。“當下社交、學習、娛樂都與手機綁定,生活點滴都離不開這方寸之間的屏幕。”當被問及是否認真閱讀過隱私協議時,她不以為意:“這種東西應該不會有人注意吧,看到這個我都是直接跳過。”
調查發現,77.8%的用戶在安裝App時“很少或從未”閱讀過隱私協議,69.69%的用戶會忽略App隱私協議的更新提示。用戶普遍對于App隱私協議重視程度不高,對個人信息權益的敏感程度較低,存在遭受隱私侵權的風險。
App隱私協議規范化程度較低。羅女士在一家國企工作,經常使用新聞類App:“很多時候只想著快點安裝使用,看見隱私協議就直接點了‘同意’。偶爾心血來潮打開看看,發現協議實在太長了,得有幾萬字吧,這哪讀得下去。”
調查中,43.53%的用戶認為隱私協議文字過小、排版過密,難以閱讀。在被調查的150款App中,近三成(46/150)App存在制造障礙、刻意隱藏和誘導用戶略過隱私協議的行為,如字體顏色過淺、字號過小導致難以閱讀;無法直接點擊文本鏈接,需要取消默認同意才能跳轉界面,等等。受訪對象對于隱私協議的認可程度處于較低水平。
App針對個人信息隱私侵權現象普遍存在。“最近奇怪的電話越來越多了,之前有個推銷電話上來就報出我的名字,把我嚇了一跳,不知道從哪里得到了我的個人信息。”調查中不少受訪者都表示有過類似的困擾,各年齡段都有60%以上的用戶遭遇垃圾短信與騷擾電話等威脅,這與不法App竊取用戶信息并出售給中下游灰色產業鏈密不可分。部分App過度索取數據調用權限,竊取地理定位、通訊錄等本不應獲取的信息,并私自提供給第三方,中下游再對此加工處理,致使個人信息流向不良商家。有關部門也表示,網絡侵權案件與App結合越來越緊密,通過竊取個人通訊錄、短信等隱私信息進行敲詐勒索、網絡詐騙等案件頻發。
2.不規范的隱私協議可能造成哪些侵權
“不同意就退出”、無法有效撤回授權,侵害用戶個人信息自主權。“下載新的App時,我也嘗試過點擊‘不同意’,結果就是只能退出,不能使用App了,只能點擊同意。”朱女士說。但輕易點擊的“同意”也給朱女士帶來了麻煩,她無意中發現某導航App正在讀取她的圖庫,驚嚇之余查找授權權限的關閉方式,無果后只能卸載App,“我真的很害怕,因為照片屬于私密信息。我完全沒有注意它會有圖庫權限,也不知道我的照片會流向何處。”
“我也想拒絕,但是拒絕不了啊”,這種單一選擇的“同意”成為毫無選擇的形式之舉。調查發現,否定選項不明顯、點擊“不同意”則強制退出等原因極大打擊了用戶認真閱讀隱私協議的積極性。即使閱讀后對協議內容有所質疑,也無法在“不同意”的基礎上繼續使用,這種毫無意義的所謂“選擇”成為人們放棄閱讀隱私協議的主要推手。
“同意”僅僅是喪失信息自主權的第一步。超過一半的用戶表示,使用的App一旦同意隱私協議,就不允許撤銷部分或者全部授權。調查的150款App隱私協議文本僅有52.7%允許用戶撤回同意,且只允許通過注銷賬戶來實現撤回,但注銷賬戶非常困難甚至沒有明確標注注銷方式。何先生計劃停用某購物App,他在注冊賬號時使用了身份證號和手機號,因擔心信息泄露所以申請注銷賬號并解除身份證綁定,但是App客服要求其提供手持身份證照片進行審核,何先生覺得無法接受提供此類敏感信息,最終無法注銷賬號。
隱私協議內容模糊或欠缺的情況普遍存在,侵害了用戶的知情同意權。平臺運營商需對包括個人信息收集、系統權限申請、隱私協議更新/生效日期,以及隱私協議變更通知方式進行清晰告知。但調查中,對隱私協議中包含的專業名詞(如個人敏感信息、常用設備信息、網絡連接信息、明示同意、cookies)進行清晰解釋的App僅占60.7%,很多將用途表述為“為保證正常使用”等含糊用語、覆蓋不全、采用省略號等,這都對用戶的理解造成了障礙。調查中,很多用戶都認為,隱私協議充斥著大量專業法律術語,即使想讀也讀不懂,干脆直接放棄。
此外,當隱私協議的內容發生變更時,很多App沒有標注協議更新的通知方式,用戶無法及時得知內容是否有所更新。在所調研的美妝類App中,40%未標注更新情況,規范性較差。
使用目的模糊、超范圍收集和過度使用,侵害用戶隱私。一些App在搜集信息時使用兜底條款,存在“包括但不限于”“例如”“為XXX需要獲得用戶的其他信息”“相關信息等”等擴大表述或籠統表述。這些未明示用戶個人信息收集、使用目的,且表述籠統的協議,都為侵害隱私提供巨大空間。
此外,25款App隱私協議中包含很多與正當業務明顯不相關的收集項,這也是侵犯隱私的重災區。如地圖導航類App必須授權的信息中出現通訊錄權限,受訪者表示:“地圖需要定位是很合理的,但是它不止一次向我索要通訊錄的內容”。
數據共享規范籠統,信息泄露風險高。吳女士和朋友用手機聊天時談及希望近期去某地露營,竟然在幾小時后就在多個購物App中反復收到山地露營用品的廣告推送,甚至出現該風景區門票廣告,“我查過,軟件明確說明不會分析我的聊天內容,但我覺得App不僅讀了,還分享給其他軟件”,這讓她感到震驚之余也分外擔憂。
由于業務開展需要,很多App會與多方實現信息共享協作,企業往往會要求用戶同意將信息提供給第三方,用戶的個人信息在多個App之間輾轉、共享,信息泄露風險難以預料。據調查,App隱私協議中存在對第三方對象表述不明(常見表述為“關聯公司”“可信賴的第三方合作伙伴”等)、共享目的表述不明、共享信息范圍表述不明等情況,概括性表述使企業在數據共享層面享有較大自由空間。
3.哪些因素“縱容”隱私協議侵害個人信息安全
針對個人信息保護的立法,仍存在難點和空白。目前我國的個人信息保護體系尚處在發展階段,存在規定籠統、細節缺位的情況。立法往往對個人信息進行同質化、不加區分的保護,忽略各類App的行業特點。例如,美妝類App和電商類App在收集利用個人信息的范圍及方式上存在顯著差異,美妝類會涉及一些面目特征等生物信息,電商類則會要求更多的個人資信、支付權限等。
同時,個人信息缺乏分級的“一攬子”授權亟待細化。在一家高校任教的王先生曾被一次性授權“欺騙”過,在一次開通某閱讀App月度會員后,他發現每月都有資費扣除,多次檢查發現是第一次開通時,界面下方難以發現、默認勾選的“自動續費”,以及開啟了免密支付,導致他在不知情的情況下被多次扣費。目前的“知情同意”制度雖然貫穿信息收集、處理、利用的全過程,但一次性的完全授權在開始使用App時即已完成。調查的150款App隱私協議中僅有22款說明了請求用戶二次授權的場景。
監管權責分配還需繼續完善。App監管涉及多個部門,“九龍治水”的分散式監管導致交叉分工,引發重復監管和監管缺位。此前成立的一些App專項治理工作組,以定期發布違法違規App名單的方式通知企業下架整改,這種非持續性的“運動式治理”,審查模式耗時長、應對慢、力度弱。同時,針對此類專項治理的新聞宣傳力度不足,用戶不進行主動查詢很難獲知App治理結果和隱私風險。
此外,行政部門的技術水準落后于市場總體水平,難以滿足當前監管需求。一些App技術專業壁壘較高,監管部門在履職過程中,不乏因技術能力不足而陷入窘境的情況,自身監管能力受限。
統一的行業規范與合規指南尚未形成。調查發現,App隱私協議尚未在技術規范、配套服務等方面形成統一、嚴格的行業標準。隱私政策的規范性不足、各大應用商店的審查制度差異以及個人信息泄露等問題長期存在。不同行業或同行業不同體量的企業受經濟規模和合規能力影響,制定的隱私協議具有顯著差異。在150款App中,處理較多敏感信息的移動金融類App,隱私協議較市場平均水平更加完善。這種實力差異也反映在行業標準制定過程中,行業巨頭利用其影響力參與制定,中小企業話語權不足。隨著App數量愈發擴張,一套普遍適用于App隱私政策合規審查的操作指南亟待形成。
商業利用和信息服務的矛盾困境。在武漢上學的陳女士曾瀏覽過某網貸App,之后連續幾個月她在不同的App上收到海量網貸廣告,“App推給我的網貸廣告實在太多,一不留神越陷越深。”她在廣告誘惑下在多平臺借貸,不知不覺陷入網貸陷阱,損失巨大。個人信息已成為產業創新、市場競爭的新“黃金”,也成為詐騙活動、信息泄露、數據壟斷的“快捷鍵”。
在調查的150款App中僅有3款隱私協議明確說明個性化算法關閉方式。購物車記錄、信用信息、觀影聊天、位置定位等線索全方位勾勒出每個人的喜好,如被自由攤開的書籍一覽無余。催賬短信一來,可能下一秒就收到借款方式短信;考試失敗了,立刻給你介紹培訓機構;想美白,你的手機馬上將被美白產品信息鋪滿。
尤其是隨著指紋、面部等生物認證信息被大量收集,一些行業企業在數據使用上超出個人授權進行技術開發、資源互換等操作。行業對于數據的高度依賴與公眾對于基礎服務和個人信息安全的基本需求存在矛盾。僅僅依賴企業自律,難以突破商業利用和隱私泄露之間的困局。
4.隱私協議治理體系需綜合提升
從政府綜合治理、互聯網平臺義務與用戶信息主體權利的三重層次,構建App個人信息合理使用與保護的制度框架。應完善相關法規,設置專門監管機構。此前,有關部門已表示,將在充分吸收社會各界意見的基礎上,發布實施《移動互聯網應用程序個人信息保護管理的暫行規定》。從展現方式、企業權責等方面對App隱私協議文本進行統一詳細的規定,進一步構建實操性強的合規審查指南,或將為隱私協議的困局開辟突破口。
平臺方要把落實運營者的提示義務,改進隱私保護技術提上日程。具體而言,首先,應在隱私協議中對個人信息保護做出明示。其次,在修改或終止服務條款或免除責任時,必須通過合理的方式提示用戶,運用隱私強化技術將實質性隱私保護融入企業運營。再者,在用戶體驗方面,落實“知情同意”原則,健全選擇機制,設置合理的同意和退出機制。應充分保障用戶主體地位,用戶對于App提出的信息收集等請求應享有拒絕的權利,用戶拒絕授權后,App應繼續提供其他基本服務功能,不得設置“不同意就退出”的捆綁授權方式,強迫用戶同意所有的請求。對不同敏感程度的個人信息進行分級,不同級別信息獲取授權的次數、時間、方式等應進行差異化設計。
完善個人信息保護專門立法和市場監管規則,以設立專項專章保護弱勢群體、增添新型數據權利等方式,推動構建新型個人信息保護與數據安全制度。受限于認知水平等原因,老年人、未成年人的個人信息更容易遭受不規范隱私協議的侵害,需要加強立法保護。對于14歲以下未成年人的個人信息處理,個人信息保護法草案已經規定適用“未成年人+父母”雙重同意原則。同時,也應對老年人等弱勢群體設置類似的傾斜保護制度,以強化對于特定用戶的保護。業內學者認為,立法應與民法典有關規定相銜接,明確在個人信息處理活動中的各類新型數據權利,包括知情權、查詢權、更正權、刪除權等,并建立個人行使權利的申請受理和處理機制。
制定App隱私協議指南,為企業、個人和市場監管者提供操作指引。該指南應規定不同情境下隱私協議遵守的各項規范,既可為執法者進行審查監管提供科學的依據,也可為App開發者與運營商提供明晰可靠的參考,幫助企業降低信息合規成本,快速對標國家、行業安全規范。個人也能依照該指南對隱私協議存在的潛在侵權風險進行判斷,增強信息安全的自我保護意識,有利于監管機構、企業與個人的良性互動。
前置審核與監管,從App下載分發的源頭入手凈化市場環境。7月4日,因“滴滴出行”App存在嚴重違法違規收集使用個人信息問題,國家網信辦依據《中華人民共和國網絡安全法》相關規定,通知應用商店下架“滴滴出行”App,要求其認真整改,切實保障廣大用戶個人信息安全。調查發現,目前對已上架應用商店的App進行的主要是流動性的事后監管,應考慮將審查的重心從事后監管轉移到事前監管,在應用商店下載的前端進行規制。建議有關部門聯合應用商店,研究制定App上線審核、管理標準,運用大數據、人工智能等技術,不斷提升App技術檢測平臺自動檢測能力、監測能力和數據分析能力。
