行業(yè)主管部門(mén)應持續開(kāi)展違法違規收集使用個(gè)人信息專(zhuān)項治理，充分發(fā)揮頭部平臺的“看門(mén)人”作用，由其盡責履行對應用市場(chǎng)內App及平臺內小程序的監管義務(wù)，規范相關(guān)App、小程序的個(gè)人信息收集行為。——單勇南京大學(xué)法學(xué)院教授

　　

　　打開(kāi)手機，查看新聞資訊、分享心得體會(huì )、搜索美食、購買(mǎi)物品……南京某高校教師小宇每天有大量時(shí)間花在手機上，手機內置和安裝的App達150多個(gè)。

　　

　　她發(fā)現，每次注冊賬號或者安裝軟件時(shí)，屏幕上都會(huì )彈出“用戶(hù)協(xié)議和隱私政策”，但她都是直接拖拽到最底部，點(diǎn)擊“我已閱讀并同意用戶(hù)協(xié)議”。她告訴記者，那些協(xié)議篇幅過(guò)長(cháng)、專(zhuān)業(yè)性強，認真讀完并弄懂協(xié)議內容幾乎不可能做到。

　　

　　小宇并不是特例，近期的一項調查研究顯示，在點(diǎn)擊同意之前，真正閱讀這些協(xié)議的用戶(hù)不到四成。

　　

　　按理說(shuō)，用戶(hù)協(xié)議是約定App開(kāi)發(fā)者與用戶(hù)之間權利與義務(wù)的法律文書(shū)，對保障用戶(hù)隱私等權利有著(zhù)重要的作用，為何六成用戶(hù)將其略過(guò)？點(diǎn)擊同意后App獲得的權限是否均有必要？“過(guò)度要權”的情況是否存在？引導App調用隱私數據形成行業(yè)規范，我們還需要做些什么？

　　

　　協(xié)議過(guò)長(cháng)反會(huì )阻礙用戶(hù)知情權

　　

　　移動(dòng)互聯(lián)網(wǎng)時(shí)代，App成了人們的必備工具。首次下載使用時(shí)，點(diǎn)擊“我已閱讀并同意用戶(hù)協(xié)議和隱私政策”也成為常規操作。

　　

　　對于我們常見(jiàn)的App來(lái)說(shuō)，用戶(hù)協(xié)議和隱私政策通常包含哪些方面的內容呢？

　　

　　南京大學(xué)法學(xué)院?jiǎn)斡陆淌诟嬖V科技日報記者，常規平臺的用戶(hù)協(xié)議一般包括“信息收集范圍、信息的存儲和保護方式、信息使用方式、涉及信息共享的告知以及涉及信息處理的告知”等內容。

　　

　　一旦用戶(hù)點(diǎn)擊同意，就意味著(zhù)將自己的部分權利讓渡給App的運營(yíng)公司，比如調用手機通訊錄、讀取手機存儲、獲取定位信息、開(kāi)啟藍牙或無(wú)線(xiàn)網(wǎng)絡(luò )等。

　　

　　單勇說(shuō)，根據《個(gè)人信息保護法》，基于用戶(hù)同意的個(gè)人信息處理行為，僅具備為達成特定目的處理個(gè)人信息的權利，而為制衡信息處理行為，用戶(hù)依法享有知情同意、限制拒絕、查閱復制、修改刪除、撤回同意等權利。

　　

　　然而，用戶(hù)協(xié)議動(dòng)輒上萬(wàn)乃至數萬(wàn)字，充斥著(zhù)大量專(zhuān)業(yè)、晦澀的內容。據統計，5款下載量過(guò)億次的手機App，平均每款需要用戶(hù)“閱讀并同意”的協(xié)議內容約有2.7萬(wàn)字。

　　

　　從司法角度來(lái)看，協(xié)議越詳盡雙方權利責任就越明晰，因為這是充分告知，能夠最大程度地避免事后糾紛。但是，從實(shí)際使用的角度來(lái)說(shuō)，動(dòng)輒上萬(wàn)字的協(xié)議恰恰會(huì )阻礙消費者的知情權。

　　

　　因為大多數用戶(hù)沒(méi)有耐心，也沒(méi)有專(zhuān)業(yè)知識看完并讀懂協(xié)議，在這樣的情況下勾選同意，也就讓用戶(hù)弄不清讓渡了哪些權利。

　　

　　“App獲取哪些信息需要我同意、我有什么權利、要承擔什么責任，完全可以列出一個(gè)清單來(lái)。”小宇希望用戶(hù)協(xié)議最好能“長(cháng)話(huà)短說(shuō)”，將與用戶(hù)關(guān)系密切的重要部分放到前面突出顯示。

　　

　　“過(guò)度要權”最終目的可能是獲利

　　

　　“您的好友也在使用某App”“TA與你有3位共同好友”“匹配您的通訊錄有助更快找到好友”……這樣的提示對于很多手機使用者來(lái)說(shuō)并不陌生。

　　

　　移動(dòng)互聯(lián)網(wǎng)的興起，帶動(dòng)了新型社交平臺的發(fā)展，短視頻、購物、健身、新聞資訊等App，過(guò)去與社交基本不沾邊，但如今都被賦予了社交屬性。

　　

　　“數學(xué)領(lǐng)域有一個(gè)‘小世界理論’，即世界上任何兩個(gè)人只要通過(guò)6個(gè)中間人就能建立聯(lián)系。”南京信息工程大學(xué)網(wǎng)絡(luò )安全專(zhuān)家任勇軍教授說(shuō)，用戶(hù)點(diǎn)擊同意后，App通過(guò)調取通訊錄，并在后臺進(jìn)行數據匹配，就會(huì )把你推薦給素不相識的人，并告訴對方你和TA有共同好友。

　　

　　過(guò)去，要證明“小世界理論”并不容易，現在卻能輕易實(shí)現，我們在感嘆“世界真小”的同時(shí)，是不是也要警惕App的“過(guò)度要權”呢？

　　

　　單勇教授介紹說(shuō)，2021年3月，國家四部委印發(fā)《常見(jiàn)類(lèi)型移動(dòng)互聯(lián)網(wǎng)應用程序（App）必要個(gè)人信息范圍規定》，其中第五條以列舉形式明確了39種常見(jiàn)類(lèi)型App的必要個(gè)人信息范圍，而通訊錄權限并不屬于必要范圍。

　　

　　2021年12月，國家計算機網(wǎng)絡(luò )應急技術(shù)處理協(xié)調中心、中國網(wǎng)絡(luò )空間安全協(xié)會(huì )發(fā)布的《App違法違規收集使用個(gè)人信息監測分析報告》稱(chēng)，當前如“微信”“51Job”等頭部應用最新版本啟動(dòng)均不索要存儲、設備等無(wú)關(guān)權限，但中小應用的“過(guò)度要權”問(wèn)題仍十分嚴重，僅2021年9—12月監測顯示，在華為、小米、騰訊應用寶等主流應用商店的新上架應用中，平均每月有近1000款存在此問(wèn)題的應用上架。

　　

　　部分App出于精準用戶(hù)畫(huà)像、推廣營(yíng)銷(xiāo)等商業(yè)目的，想方設法在超出實(shí)現功能的必要范圍收集更多個(gè)人信息。比如，某應用的電話(huà)攔截功能索要了短信、存儲、通訊錄等7項敏感權限；某運動(dòng)健身類(lèi)應用在用戶(hù)使用觀(guān)看視頻等無(wú)關(guān)功能時(shí)，每分鐘獲取位置信息近百次；某應用除了在共享位置時(shí)收集位置信息，還在掃碼支付等不相關(guān)功能中收集位置信息，以用于用戶(hù)消費行為畫(huà)像分析。還有很多App盡管不再強制收集信息，仍在首次啟動(dòng)時(shí)就彈窗索要多個(gè)無(wú)關(guān)權限。

　　

　　“App獲取這些權限后，看似幫助用戶(hù)拓展了朋友圈和生活圈，但用戶(hù)的隱私信息也在無(wú)形中被暴露。App索要這些權限的根本原因還是企業(yè)想要擴大市場(chǎng)或進(jìn)行推廣，最終是為了獲利。”任勇軍認為。

　　

　　2021年，國家網(wǎng)信辦針對“七類(lèi)”超范圍收集行為進(jìn)行重點(diǎn)整治，包括超范圍收集用戶(hù)通訊錄、精確地理位置、短信、通話(huà)記錄等在內的一大批違法違規問(wèn)題得到治理。

　　

　　保護隱私需專(zhuān)人“看門(mén)”

　　

　　近日，國家計算機病毒應急處理中心通過(guò)互聯(lián)網(wǎng)監測發(fā)現，17款移動(dòng)App存在隱私不合規行為，涉嫌超范圍采集個(gè)人隱私信息。

　　

　　類(lèi)似這樣的通報并不鮮見(jiàn)。僅在2021年，國家網(wǎng)信辦就對存在嚴重違法違規問(wèn)題的351款App進(jìn)行了公開(kāi)通報，責令限期整改。

　　

　　但是，App敏感數據收集問(wèn)題仍舊突出。國家網(wǎng)信辦監測發(fā)現，60.7%的應用收集了安卓ID等設備唯一標識信息，55.4%的應用收集了應用列表信息，13.7%的應用收集了剪切板信息，而這類(lèi)信息可用于人物畫(huà)像、個(gè)性化推送等業(yè)務(wù)。

　　

　　“個(gè)人信息是重要的數據資產(chǎn)，一些App尤其是公用事業(yè)類(lèi)的應用，擁有龐大的用戶(hù)群，不法分子和網(wǎng)絡(luò )黑客早就盯上了這些敏感信息，并形成黑色產(chǎn)業(yè)鏈。一旦App獲取的個(gè)人信息被售賣(mài)，將在多個(gè)層面造成嚴重的安全問(wèn)題。”任勇軍教授說(shuō)，比如，用戶(hù)出行App或外賣(mài)App上面存有百萬(wàn)級以上的用戶(hù)信息，一旦泄露可能不僅影響個(gè)人本身，甚至會(huì )對國家安全造成危害。

　　

　　任勇軍表示，對于用戶(hù)而言，不能因為協(xié)議太長(cháng)，就放棄閱讀。應當不隨意開(kāi)放和同意不必要的隱私權限、不隨意輸入個(gè)人隱私信息、定期維護和清理相關(guān)數據，避免個(gè)人隱私信息被泄露。

　　

　　那么，對于監督管理部門(mén)來(lái)說(shuō)，究竟該如何約束長(cháng)篇大論的用戶(hù)協(xié)議，把保護用戶(hù)隱私落到實(shí)處？

　　

　　當前，相關(guān)機構正在起草《信息安全技術(shù)互聯(lián)網(wǎng)平臺及產(chǎn)品服務(wù)隱私協(xié)議要求》，可為平臺企業(yè)的用戶(hù)協(xié)議及隱私政策合規提供指引。

　　

　　相較于制定相關(guān)行業(yè)規范，如何將規范落到實(shí)處是更值得關(guān)注的問(wèn)題。

　　

　　單勇教授認為，App違規收集用戶(hù)信息行為無(wú)法根治的原因主要在于三點(diǎn)：一是行業(yè)主管部門(mén)的治理資源有限，僅依靠行業(yè)監管較難規范所有App的信息收集行為；二是部分中小企業(yè)存在僥幸心理，試圖通過(guò)違規行為獲取更高經(jīng)濟利益；三是《個(gè)人信息保護法》等相關(guān)法律雖賦予了用戶(hù)數據權利，但實(shí)踐中用戶(hù)權利的實(shí)現方式并不明晰，用戶(hù)在權利受侵害時(shí)難以有效維權。

　　

　　“行業(yè)主管部門(mén)應持續開(kāi)展違法違規收集使用個(gè)人信息專(zhuān)項治理，充分發(fā)揮頭部平臺的‘看門(mén)人’作用，由其盡責履行對應用市場(chǎng)內App及平臺內小程序的監管義務(wù)，規范相關(guān)App、小程序的個(gè)人信息收集行為。”單勇還建議，對于個(gè)人信息保護投訴舉報渠道和透明度報告機制應予以完善，維護用戶(hù)對行業(yè)治理的知情權和監督權。（科技日報  記者張曄）