行業主管部門應持續開展違法違規收集使用個人資訊專項治理,充分發揮頭部平臺的“看門人”作用,由其盡責履行對應用市場內App及平臺內小程式的監管義務,規範相關App、小程式的個人資訊收集行為。——單勇 南京大學法學院教授
打開手機,查看新聞資訊、分享心得體會、搜索美食、購買物品……南京某高校教師小宇每天有大量時間花在手機上,手機內置和安裝的App達150多個。
她發現,每次註冊賬號或者安裝軟體時,螢幕上都會彈出“用戶協議和隱私政策”,但她都是直接拖拽到最底部,點擊“我已閱讀並同意用戶協議”。她告訴記者,那些協議篇幅過長、專業性強,認真讀完並弄懂協議內容幾乎不可能做到。
小宇並不是特例,近期的一項調查研究顯示,在點擊同意之前,真正閱讀這些協議的用戶不到四成。
按理説,用戶協議是約定App開發者與用戶之間權利與義務的法律文書,對保障用戶隱私等權利有著重要的作用,為何六成用戶將其略過?點擊同意後App獲得的許可權是否均有必要?“過度要權”的情況是否存在?引導App調用隱私數據形成行業規範,我們還需要做些什麼?
協議過長反會阻礙用戶知情權
移動網際網路時代,App成了人們的必備工具。首次下載使用時,點擊“我已閱讀並同意用戶協議和隱私政策”也成為常規操作。
對於我們常見的App來説,用戶協議和隱私政策通常包含哪些方面的內容呢?
南京大學法學院單勇教授告訴科技日報記者,常規平臺的用戶協議一般包括“資訊收集範圍、資訊的存儲和保護方式、資訊使用方式、涉及資訊共用的告知以及涉及資訊處理的告知”等內容。
一旦用戶點擊同意,就意味著將自己的部分權利讓渡給App的運營公司,比如調用手機通訊錄、讀取手機存儲、獲取定位資訊、開啟藍芽或無線網路等。
單勇説,根據《個人資訊保護法》,基於用戶同意的個人資訊處理行為,僅具備為達成特定目的處理個人資訊的權利,而為制衡資訊處理行為,用戶依法享有知情同意、限制拒絕、查閱複製、修改刪除、撤回同意等權利。
然而,用戶協議動輒上萬乃至數萬字,充斥著大量專業、晦澀的內容。據統計,5款下載量過億次的手機App,平均每款需要用戶“閱讀並同意”的協議內容約有2.7萬字。
從司法角度來看,協議越詳盡雙方權利責任就越明晰,因為這是充分告知,能夠最大程度地避免事後糾紛。但是,從實際使用的角度來説 ,動輒上萬字的協議恰恰會阻礙消費者的知情權。
因為大多數用戶沒有耐心,也沒有專業知識看完並讀懂協議,在這樣的情況下勾選同意,也就讓用戶弄不清讓渡了哪些權利。
“App獲取哪些資訊需要我同意、我有什麼權利、要承擔什麼責任,完全可以列出一個清單來。”小宇希望用戶協議最好能“長話短説”,將與用戶關係密切的重要部分放到前面突出顯示。
“過度要權”最終目的可能是獲利
“您的好友也在使用某App”“TA與你有3位共同好友”“匹配您的通訊錄有助更快找到好友”……這樣的提示對於很多手機使用者來説並不陌生。
移動網際網路的興起,帶動了新型社交平臺的發展,短視頻、購物、健身、新聞資訊等App,過去與社交基本不沾邊,但如今都被賦予了社交屬性。
“數學領域有一個‘小世界理論’,即世界上任何兩個人只要通過6個中間人就能建立聯繫。”南京資訊工程大學網路安全專家任勇軍教授説,用戶點擊同意後,App通過調取通訊錄,並在後臺進行數據匹配,就會把你推薦給素不相識的人,並告訴對方你和TA有共同好友。
過去,要證明“小世界理論”並不容易,現在卻能輕易實現,我們在感嘆“世界真小”的同時,是不是也要警惕App的“過度要權”呢?
單勇教授介紹説,2021年3月,國家四部委印發《常見類型移動網際網路應用程式(App)必要個人資訊範圍規定》,其中第五條以列舉形式明確了39種常見類型App的必要個人資訊範圍,而通訊錄許可權並不屬於必要範圍。
2021年12月,國家電腦網路應急技術處理協調中心、中國網路空間安全協會發佈的《App違法違規收集使用個人資訊監測分析報告》稱,當前如“微信”“51Job”等頭部應用最新版本啟動均不索要存儲、設備等無關許可權,但中小應用的“過度要權”問題仍十分嚴重,僅2021年9—12月監測顯示,在華為、小米、騰訊應用寶等主流應用商店的新上架應用中,平均每月有近1000款存在此問題的應用上架。
部分App出於精準用戶畫像、推廣行銷等商業目的,想方設法在超出實現功能的必要範圍收集更多個人資訊。比如,某應用的電話攔截功能索要了短信、存儲、通訊錄等7項敏感許可權;某運動健身類應用在用戶使用觀看視頻等無關功能時,每分鐘獲取位置資訊近百次;某應用除了在共用位置時收集位置資訊,還在掃碼支付等不相關功能中收集位置資訊,以用於用戶消費行為畫像分析。還有很多App儘管不再強制收集資訊,仍在首次啟動時就彈窗索要多個無關許可權。
“App獲取這些許可權後,看似幫助用戶拓展了朋友圈和生活圈,但用戶的隱私資訊也在無形中被暴露。App索要這些許可權的根本原因還是企業想要擴大市場或進行推廣,最終是為了獲利。”任勇軍認為。
2021年,國家網信辦針對“七類”超範圍收集行為進行重點整治,包括超範圍收集用戶通訊錄、精確地理位置、短信、通話記錄等在內的一大批違法違規問題得到治理。
保護隱私需專人“看門”
近日,國家電腦病毒應急處理中心通過網際網路監測發現,17款移動App存在隱私不合規行為,涉嫌超範圍採集個人隱私資訊。
類似這樣的通報並不鮮見。僅在2021年,國家網信辦就對存在嚴重違法違規問題的351款App進行了公開通報,責令限期整改。
但是,App敏感數據收集問題仍舊突出。國家網信辦監測發現,60.7%的應用收集了安卓ID等設備唯一標識資訊,55.4%的應用收集了應用列表資訊,13.7%的應用收集了剪切板資訊,而這類資訊可用於人物畫像、個性化推送等業務。
“個人資訊是重要的數據資産,一些App尤其是公用事業類的應用,擁有龐大的用戶群,不法分子和網路駭客早就盯上了這些敏感資訊,並形成黑色産業鏈。一旦App獲取的個人資訊被售賣,將在多個層面造成嚴重的安全問題。”任勇軍教授説,比如,用戶出行App或外賣App上面存有百萬級以上的用戶資訊,一旦洩露可能不僅影響個人本身,甚至會對國家安全造成危害。
任勇軍表示,對於用戶而言,不能因為協議太長,就放棄閱讀。應當不隨意開放和同意不必要的隱私許可權、不隨意輸入個人隱私資訊、定期維護和清理相關數據,避免個人隱私資訊被洩露。
那麼,對於監督管理部門來説,究竟該如何約束長篇大論的用戶協議,把保護用戶隱私落到實處?
當前,相關機構正在起草《資訊安全技術 網際網路平臺及産品服務隱私協議要求》,可為平臺企業的用戶協議及隱私政策合規提供指引。
相較于制定相關行業規範,如何將規範落到實處是更值得關注的問題。
單勇教授認為,App違規收集用戶資訊行為無法根治的原因主要在於三點:一是行業主管部門的治理資源有限,僅依靠行業監管較難規範所有App的資訊收集行為;二是部分中小企業存在僥倖心理,試圖通過違規行為獲取更高經濟利益;三是《個人資訊保護法》等相關法律雖賦予了用戶數據權利,但實踐中用戶權利的實現方式並不明晰,用戶在權利受侵害時難以有效維權。
“行業主管部門應持續開展違法違規收集使用個人資訊專項治理,充分發揮頭部平臺的‘看門人’作用,由其盡責履行對應用市場內App及平臺內小程式的監管義務,規範相關App、小程式的個人資訊收集行為。”單勇還建議,對於個人資訊保護投訴舉報渠道和透明度報告機制應予以完善,維護用戶對行業治理的知情權和監督權。(記者 張 曄)
關於我們 合作推廣 聯繫電話:18901119810 010-88824959 詹先生 電子郵箱:zht@china.org.cn
版權所有 中國網際網路新聞中心 京ICP證 040089號-1 網際網路新聞資訊服務許可證 10120170004號 網路傳播視聽節目許可證號:0105123