動輒下筆“萬言” 別讓冗長App用戶協(xié)議成隱私陷阱

行業(yè)主管部門應(yīng)持續(xù)開展違法違規(guī)收集使用個人信息專項治理，充分發(fā)揮頭部平臺的“看門人”作用，由其盡責履行對應(yīng)用市場內(nèi)App及平臺內(nèi)小程序的監(jiān)管義務(wù)，規(guī)范相關(guān)App、小程序的個人信息收集行為。——單勇 南京大學法學院教授

打開手機，查看新聞資訊、分享心得體會、搜索美食、購買物品……南京某高校教師小宇每天有大量時間花在手機上，手機內(nèi)置和安裝的App達150多個。

她發(fā)現(xiàn)，每次注冊賬號或者安裝軟件時，屏幕上都會彈出“用戶協(xié)議和隱私政策”，但她都是直接拖拽到最底部，點擊“我已閱讀并同意用戶協(xié)議”。她告訴記者，那些協(xié)議篇幅過長、專業(yè)性強，認真讀完并弄懂協(xié)議內(nèi)容幾乎不可能做到。

小宇并不是特例，近期的一項調(diào)查研究顯示，在點擊同意之前，真正閱讀這些協(xié)議的用戶不到四成。

按理說，用戶協(xié)議是約定App開發(fā)者與用戶之間權(quán)利與義務(wù)的法律文書，對保障用戶隱私等權(quán)利有著重要的作用，為何六成用戶將其略過？點擊同意后App獲得的權(quán)限是否均有必要？“過度要權(quán)”的情況是否存在？引導(dǎo)App調(diào)用隱私數(shù)據(jù)形成行業(yè)規(guī)范，我們還需要做些什么？

協(xié)議過長反會阻礙用戶知情權(quán)

移動互聯(lián)網(wǎng)時代，App成了人們的必備工具。首次下載使用時，點擊“我已閱讀并同意用戶協(xié)議和隱私政策”也成為常規(guī)操作。

對于我們常見的App來說，用戶協(xié)議和隱私政策通常包含哪些方面的內(nèi)容呢？

南京大學法學院單勇教授告訴科技日報記者，常規(guī)平臺的用戶協(xié)議一般包括“信息收集范圍、信息的存儲和保護方式、信息使用方式、涉及信息共享的告知以及涉及信息處理的告知”等內(nèi)容。

一旦用戶點擊同意，就意味著將自己的部分權(quán)利讓渡給App的運營公司，比如調(diào)用手機通訊錄、讀取手機存儲、獲取定位信息、開啟藍牙或無線網(wǎng)絡(luò)等。

單勇說，根據(jù)《個人信息保護法》，基于用戶同意的個人信息處理行為，僅具備為達成特定目的處理個人信息的權(quán)利，而為制衡信息處理行為，用戶依法享有知情同意、限制拒絕、查閱復(fù)制、修改刪除、撤回同意等權(quán)利。

然而，用戶協(xié)議動輒上萬乃至數(shù)萬字，充斥著大量專業(yè)、晦澀的內(nèi)容。據(jù)統(tǒng)計，5款下載量過億次的手機App，平均每款需要用戶“閱讀并同意”的協(xié)議內(nèi)容約有2.7萬字。

從司法角度來看，協(xié)議越詳盡雙方權(quán)利責任就越明晰，因為這是充分告知，能夠最大程度地避免事后糾紛。但是，從實際使用的角度來說 ，動輒上萬字的協(xié)議恰恰會阻礙消費者的知情權(quán)。

因為大多數(shù)用戶沒有耐心，也沒有專業(yè)知識看完并讀懂協(xié)議，在這樣的情況下勾選同意，也就讓用戶弄不清讓渡了哪些權(quán)利。

“App獲取哪些信息需要我同意、我有什么權(quán)利、要承擔什么責任，完全可以列出一個清單來。”小宇希望用戶協(xié)議最好能“長話短說”，將與用戶關(guān)系密切的重要部分放到前面突出顯示。

“過度要權(quán)”最終目的可能是獲利

“您的好友也在使用某App”“TA與你有3位共同好友”“匹配您的通訊錄有助更快找到好友”……這樣的提示對于很多手機使用者來說并不陌生。

移動互聯(lián)網(wǎng)的興起，帶動了新型社交平臺的發(fā)展，短視頻、購物、健身、新聞資訊等App，過去與社交基本不沾邊，但如今都被賦予了社交屬性。

“數(shù)學領(lǐng)域有一個‘小世界理論’，即世界上任何兩個人只要通過6個中間人就能建立聯(lián)系。”南京信息工程大學網(wǎng)絡(luò)安全專家任勇軍教授說，用戶點擊同意后，App通過調(diào)取通訊錄，并在后臺進行數(shù)據(jù)匹配，就會把你推薦給素不相識的人，并告訴對方你和TA有共同好友。

過去，要證明“小世界理論”并不容易，現(xiàn)在卻能輕易實現(xiàn)，我們在感嘆“世界真小”的同時，是不是也要警惕App的“過度要權(quán)”呢？

單勇教授介紹說，2021年3月，國家四部委印發(fā)《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序（App）必要個人信息范圍規(guī)定》，其中第五條以列舉形式明確了39種常見類型App的必要個人信息范圍，而通訊錄權(quán)限并不屬于必要范圍。

2021年12月，國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、中國網(wǎng)絡(luò)空間安全協(xié)會發(fā)布的《App違法違規(guī)收集使用個人信息監(jiān)測分析報告》稱，當前如“微信”“51Job”等頭部應(yīng)用最新版本啟動均不索要存儲、設(shè)備等無關(guān)權(quán)限，但中小應(yīng)用的“過度要權(quán)”問題仍十分嚴重，僅2021年9—12月監(jiān)測顯示，在華為、小米、騰訊應(yīng)用寶等主流應(yīng)用商店的新上架應(yīng)用中，平均每月有近1000款存在此問題的應(yīng)用上架。

部分App出于精準用戶畫像、推廣營銷等商業(yè)目的，想方設(shè)法在超出實現(xiàn)功能的必要范圍收集更多個人信息。比如，某應(yīng)用的電話攔截功能索要了短信、存儲、通訊錄等7項敏感權(quán)限；某運動健身類應(yīng)用在用戶使用觀看視頻等無關(guān)功能時，每分鐘獲取位置信息近百次；某應(yīng)用除了在共享位置時收集位置信息，還在掃碼支付等不相關(guān)功能中收集位置信息，以用于用戶消費行為畫像分析。還有很多App盡管不再強制收集信息，仍在首次啟動時就彈窗索要多個無關(guān)權(quán)限。

“App獲取這些權(quán)限后，看似幫助用戶拓展了朋友圈和生活圈，但用戶的隱私信息也在無形中被暴露。App索要這些權(quán)限的根本原因還是企業(yè)想要擴大市場或進行推廣，最終是為了獲利?！比斡萝娬J為。

2021年，國家網(wǎng)信辦針對“七類”超范圍收集行為進行重點整治，包括超范圍收集用戶通訊錄、精確地理位置、短信、通話記錄等在內(nèi)的一大批違法違規(guī)問題得到治理。

保護隱私需專人“看門”

近日，國家計算機病毒應(yīng)急處理中心通過互聯(lián)網(wǎng)監(jiān)測發(fā)現(xiàn)，17款移動App存在隱私不合規(guī)行為，涉嫌超范圍采集個人隱私信息。

類似這樣的通報并不鮮見。僅在2021年，國家網(wǎng)信辦就對存在嚴重違法違規(guī)問題的351款A(yù)pp進行了公開通報，責令限期整改。

但是，App敏感數(shù)據(jù)收集問題仍舊突出。國家網(wǎng)信辦監(jiān)測發(fā)現(xiàn)，60.7%的應(yīng)用收集了安卓ID等設(shè)備唯一標識信息，55.4%的應(yīng)用收集了應(yīng)用列表信息，13.7%的應(yīng)用收集了剪切板信息，而這類信息可用于人物畫像、個性化推送等業(yè)務(wù)。

“個人信息是重要的數(shù)據(jù)資產(chǎn)，一些App尤其是公用事業(yè)類的應(yīng)用，擁有龐大的用戶群，不法分子和網(wǎng)絡(luò)黑客早就盯上了這些敏感信息，并形成黑色產(chǎn)業(yè)鏈。一旦App獲取的個人信息被售賣，將在多個層面造成嚴重的安全問題?！比斡萝娊淌谡f，比如，用戶出行App或外賣App上面存有百萬級以上的用戶信息，一旦泄露可能不僅影響個人本身，甚至會對國家安全造成危害。

任勇軍表示，對于用戶而言，不能因為協(xié)議太長，就放棄閱讀。應(yīng)當不隨意開放和同意不必要的隱私權(quán)限、不隨意輸入個人隱私信息、定期維護和清理相關(guān)數(shù)據(jù)，避免個人隱私信息被泄露。

那么，對于監(jiān)督管理部門來說，究竟該如何約束長篇大論的用戶協(xié)議，把保護用戶隱私落到實處？

當前，相關(guān)機構(gòu)正在起草《信息安全技術(shù) 互聯(lián)網(wǎng)平臺及產(chǎn)品服務(wù)隱私協(xié)議要求》，可為平臺企業(yè)的用戶協(xié)議及隱私政策合規(guī)提供指引。

相較于制定相關(guān)行業(yè)規(guī)范，如何將規(guī)范落到實處是更值得關(guān)注的問題。

單勇教授認為，App違規(guī)收集用戶信息行為無法根治的原因主要在于三點：一是行業(yè)主管部門的治理資源有限，僅依靠行業(yè)監(jiān)管較難規(guī)范所有App的信息收集行為；二是部分中小企業(yè)存在僥幸心理，試圖通過違規(guī)行為獲取更高經(jīng)濟利益；三是《個人信息保護法》等相關(guān)法律雖賦予了用戶數(shù)據(jù)權(quán)利，但實踐中用戶權(quán)利的實現(xiàn)方式并不明晰，用戶在權(quán)利受侵害時難以有效維權(quán)。

“行業(yè)主管部門應(yīng)持續(xù)開展違法違規(guī)收集使用個人信息專項治理，充分發(fā)揮頭部平臺的‘看門人’作用，由其盡責履行對應(yīng)用市場內(nèi)App及平臺內(nèi)小程序的監(jiān)管義務(wù)，規(guī)范相關(guān)App、小程序的個人信息收集行為?！眴斡逻€建議，對于個人信息保護投訴舉報渠道和透明度報告機制應(yīng)予以完善，維護用戶對行業(yè)治理的知情權(quán)和監(jiān)督權(quán)。（記者 張 曄）

責編：楊雅婷

來源：科技日報