動輒下筆“萬言” 別讓冗長App用戶協議成隱私陷阱

行業主管部門應持續開展違法違規收集使用個人資訊專項治理，充分發揮頭部平臺的“看門人”作用，由其盡責履行對應用市場內App及平臺內小程式的監管義務，規範相關App、小程式的個人資訊收集行為。——單勇 南京大學法學院教授

打開手機，查看新聞資訊、分享心得體會、搜索美食、購買物品……南京某高校教師小宇每天有大量時間花在手機上，手機內置和安裝的App達150多個。

她發現，每次註冊賬號或者安裝軟體時，螢幕上都會彈出“用戶協議和隱私政策”，但她都是直接拖拽到最底部，點擊“我已閱讀並同意用戶協議”。她告訴記者，那些協議篇幅過長、專業性強，認真讀完並弄懂協議內容幾乎不可能做到。

小宇並不是特例，近期的一項調查研究顯示，在點擊同意之前，真正閱讀這些協議的用戶不到四成。

按理説，用戶協議是約定App開發者與用戶之間權利與義務的法律文書，對保障用戶隱私等權利有著重要的作用，為何六成用戶將其略過？點擊同意後App獲得的許可權是否均有必要？“過度要權”的情況是否存在？引導App調用隱私數據形成行業規範，我們還需要做些什麼？

協議過長反會阻礙用戶知情權

移動網際網路時代，App成了人們的必備工具。首次下載使用時，點擊“我已閱讀並同意用戶協議和隱私政策”也成為常規操作。

對於我們常見的App來説，用戶協議和隱私政策通常包含哪些方面的內容呢？

南京大學法學院單勇教授告訴科技日報記者，常規平臺的用戶協議一般包括“資訊收集範圍、資訊的存儲和保護方式、資訊使用方式、涉及資訊共用的告知以及涉及資訊處理的告知”等內容。

一旦用戶點擊同意，就意味著將自己的部分權利讓渡給App的運營公司，比如調用手機通訊錄、讀取手機存儲、獲取定位資訊、開啟藍芽或無線網路等。

單勇説，根據《個人資訊保護法》，基於用戶同意的個人資訊處理行為，僅具備為達成特定目的處理個人資訊的權利，而為制衡資訊處理行為，用戶依法享有知情同意、限制拒絕、查閱複製、修改刪除、撤回同意等權利。

然而，用戶協議動輒上萬乃至數萬字，充斥著大量專業、晦澀的內容。據統計，5款下載量過億次的手機App，平均每款需要用戶“閱讀並同意”的協議內容約有2.7萬字。

從司法角度來看，協議越詳盡雙方權利責任就越明晰，因為這是充分告知，能夠最大程度地避免事後糾紛。但是，從實際使用的角度來説 ，動輒上萬字的協議恰恰會阻礙消費者的知情權。

因為大多數用戶沒有耐心，也沒有專業知識看完並讀懂協議，在這樣的情況下勾選同意，也就讓用戶弄不清讓渡了哪些權利。

“App獲取哪些資訊需要我同意、我有什麼權利、要承擔什麼責任，完全可以列出一個清單來。”小宇希望用戶協議最好能“長話短説”，將與用戶關係密切的重要部分放到前面突出顯示。

“過度要權”最終目的可能是獲利

“您的好友也在使用某App”“TA與你有3位共同好友”“匹配您的通訊錄有助更快找到好友”……這樣的提示對於很多手機使用者來説並不陌生。

移動網際網路的興起，帶動了新型社交平臺的發展，短視頻、購物、健身、新聞資訊等App，過去與社交基本不沾邊，但如今都被賦予了社交屬性。

“數學領域有一個‘小世界理論’，即世界上任何兩個人只要通過6個中間人就能建立聯繫。”南京資訊工程大學網路安全專家任勇軍教授説，用戶點擊同意後，App通過調取通訊錄，並在後臺進行數據匹配，就會把你推薦給素不相識的人，並告訴對方你和TA有共同好友。

過去，要證明“小世界理論”並不容易，現在卻能輕易實現，我們在感嘆“世界真小”的同時，是不是也要警惕App的“過度要權”呢？

單勇教授介紹説，2021年3月，國家四部委印發《常見類型移動網際網路應用程式（App）必要個人資訊範圍規定》，其中第五條以列舉形式明確了39種常見類型App的必要個人資訊範圍，而通訊錄許可權並不屬於必要範圍。

2021年12月，國家電腦網路應急技術處理協調中心、中國網路空間安全協會發佈的《App違法違規收集使用個人資訊監測分析報告》稱，當前如“微信”“51Job”等頭部應用最新版本啟動均不索要存儲、設備等無關許可權，但中小應用的“過度要權”問題仍十分嚴重，僅2021年9—12月監測顯示，在華為、小米、騰訊應用寶等主流應用商店的新上架應用中，平均每月有近1000款存在此問題的應用上架。

部分App出於精準用戶畫像、推廣行銷等商業目的，想方設法在超出實現功能的必要範圍收集更多個人資訊。比如，某應用的電話攔截功能索要了短信、存儲、通訊錄等7項敏感許可權；某運動健身類應用在用戶使用觀看視頻等無關功能時，每分鐘獲取位置資訊近百次；某應用除了在共用位置時收集位置資訊，還在掃碼支付等不相關功能中收集位置資訊，以用於用戶消費行為畫像分析。還有很多App儘管不再強制收集資訊，仍在首次啟動時就彈窗索要多個無關許可權。

“App獲取這些許可權後，看似幫助用戶拓展了朋友圈和生活圈，但用戶的隱私資訊也在無形中被暴露。App索要這些許可權的根本原因還是企業想要擴大市場或進行推廣，最終是為了獲利。”任勇軍認為。

2021年，國家網信辦針對“七類”超範圍收集行為進行重點整治，包括超範圍收集用戶通訊錄、精確地理位置、短信、通話記錄等在內的一大批違法違規問題得到治理。

保護隱私需專人“看門”

近日，國家電腦病毒應急處理中心通過網際網路監測發現，17款移動App存在隱私不合規行為，涉嫌超範圍採集個人隱私資訊。

類似這樣的通報並不鮮見。僅在2021年，國家網信辦就對存在嚴重違法違規問題的351款App進行了公開通報，責令限期整改。

但是，App敏感數據收集問題仍舊突出。國家網信辦監測發現，60.7%的應用收集了安卓ID等設備唯一標識資訊，55.4%的應用收集了應用列表資訊，13.7%的應用收集了剪切板資訊，而這類資訊可用於人物畫像、個性化推送等業務。

“個人資訊是重要的數據資産，一些App尤其是公用事業類的應用，擁有龐大的用戶群，不法分子和網路駭客早就盯上了這些敏感資訊，並形成黑色産業鏈。一旦App獲取的個人資訊被售賣，將在多個層面造成嚴重的安全問題。”任勇軍教授説，比如，用戶出行App或外賣App上面存有百萬級以上的用戶資訊，一旦洩露可能不僅影響個人本身，甚至會對國家安全造成危害。

任勇軍表示，對於用戶而言，不能因為協議太長，就放棄閱讀。應當不隨意開放和同意不必要的隱私許可權、不隨意輸入個人隱私資訊、定期維護和清理相關數據，避免個人隱私資訊被洩露。

那麼，對於監督管理部門來説，究竟該如何約束長篇大論的用戶協議，把保護用戶隱私落到實處？

當前，相關機構正在起草《資訊安全技術 網際網路平臺及産品服務隱私協議要求》，可為平臺企業的用戶協議及隱私政策合規提供指引。

相較于制定相關行業規範，如何將規範落到實處是更值得關注的問題。

單勇教授認為，App違規收集用戶資訊行為無法根治的原因主要在於三點：一是行業主管部門的治理資源有限，僅依靠行業監管較難規範所有App的資訊收集行為；二是部分中小企業存在僥倖心理，試圖通過違規行為獲取更高經濟利益；三是《個人資訊保護法》等相關法律雖賦予了用戶數據權利，但實踐中用戶權利的實現方式並不明晰，用戶在權利受侵害時難以有效維權。

“行業主管部門應持續開展違法違規收集使用個人資訊專項治理，充分發揮頭部平臺的‘看門人’作用，由其盡責履行對應用市場內App及平臺內小程式的監管義務，規範相關App、小程式的個人資訊收集行為。”單勇還建議，對於個人資訊保護投訴舉報渠道和透明度報告機制應予以完善，維護用戶對行業治理的知情權和監督權。（記者 張 曄）