動辄下筆“萬言” 别讓冗長App使用者協定成隐私陷阱

視覺中國供圖

行業主管部門應持續開展違法違規收集使用個人資訊專項治理，充分發揮頭部平台的“看門人”作用，由其盡責履行對應用市場内App及平台内小程式的監管義務，規範相關App、小程式的個人資訊收集行為。

單勇 南京大學法學院教授

打開手機，檢視新聞資訊、分享心得體會、搜尋美食、購買物品……南京某高校教師小宇每天有大量時間花在手機上，手機内置和安裝的App達150多個。

她發現，每次新增賬號或者安裝軟體時，螢幕上都會彈出“使用者協定和隐私政策”，但她都是直接拖拽到最底部，點選“我已閱讀并同意使用者協定”。她告訴記者，那些協定篇幅過長、專業性強，認真讀完并弄懂協定内容幾乎不可能做到。

小宇并不是特例，近期的一項調查研究顯示，在點選同意之前，真正閱讀這些協定的使用者不到四成。

按理說，使用者協定是約定App開發者與使用者之間權利與義務的法律文書，對保障使用者隐私等權利有着重要的作用，為何六成使用者将其略過？點選同意後App獲得的權限是否均有必要？“過度要權”的情況是否存在？引導App調用隐私資料形成行業規範，我們還需要做些什麼？

協定過長反會阻礙使用者知情權

移動網際網路時代，App成了人們的必備工具。首次下載下傳使用時，點選“我已閱讀并同意使用者協定和隐私政策”也成為正常操作。

對于我們常見的App來說，使用者協定和隐私政策通常包含哪些方面的内容呢？

南京大學法學院單勇教授告訴科技日報記者，正常平台的使用者協定一般包括“資訊收集範圍、資訊的存儲和保護方式、資訊使用方式、涉及資訊共享的告知以及涉及資訊處理的告知”等内容。

一旦使用者點選同意，就意味着将自己的部分權利讓渡給App的營運公司，比如調用手機通訊錄、讀取手機存儲、擷取定位資訊、開啟藍牙或無線網絡等。

單勇說，根據《個人資訊保護法》，基于使用者同意的個人資訊處理行為，僅具備為達成特定目的處理個人資訊的權利，而為制衡資訊處理行為，使用者依法享有知情同意、限制拒絕、查閱複制、修改删除、撤回同意等權利。

然而，使用者協定動辄上萬乃至數萬字，充斥着大量專業、晦澀的内容。據統計，5款下載下傳量過億次的手機App，平均每款需要使用者“閱讀并同意”的協定内容約有2.7萬字。

從司法角度來看，協定越詳盡雙方權利責任就越明晰，因為這是充分告知，能夠最大程度地避免事後糾紛。但是，從實際使用的角度來說 ，動辄上萬字的協定恰恰會阻礙消費者的知情權。

因為大多數使用者沒有耐心，也沒有專業知識看完并讀懂協定，在這樣的情況下勾選同意，也就讓使用者弄不清讓渡了哪些權利。

“App擷取哪些資訊需要我同意、我有什麼權利、要承擔什麼責任，完全可以列出一個清單來。”小宇希望使用者協定最好能“長話短說”，将與使用者關系密切的重要部分放到前面突出顯示。

“過度要權”最終目的可能是獲利

“您的好友也在使用某App”“TA與你有3位共同好友”“比對您的通訊錄有助更快找到好友”……這樣的提示對于很多手機使用者來說并不陌生。

移動網際網路的興起，帶動了新型社交平台的發展，短視訊、購物、健身、新聞資訊等App，過去與社交基本不沾邊，但如今都被賦予了社交屬性。

“數學領域有一個‘小世界理論’，即世界上任何兩個人隻要通過6個中間人就能建立聯系。”南京資訊工程大學網絡安全專家任勇軍教授說，使用者點選同意後，App通過調取通訊錄，并在背景進行資料比對，就會把你推薦給素不相識的人，并告訴對方你和TA有共同好友。

過去，要證明“小世界理論”并不容易，現在卻能輕易實作，我們在感歎“世界真小”的同時，是不是也要警惕App的“過度要權”呢？

單勇教授介紹說，2021年3月，國家四部委印發《常見類型移動網際網路應用程式（App）必要個人資訊範圍規定》，其中第五條以列舉形式明确了39種常見類型App的必要個人資訊範圍，而通訊錄權限并不屬于必要範圍。

2021年12月，國家計算機網絡應急技術處理協調中心、中國網絡空間安全協會釋出的《App違法違規收集使用個人資訊監測分析報告》稱，目前如“微信”“51Job”等頭部應用最新版本啟動均不索要存儲、裝置等無關權限，但中小應用的“過度要權”問題仍十分嚴重，僅2021年9—12月監測顯示，在華為、小米、騰訊應用寶等主流應用商店的新上架應用中，平均每月有近1000款存在此問題的應用上架。

部分App出于精準使用者畫像、推廣營銷等商業目的，想方設法在超出實作功能的必要範圍收集更多個人資訊。比如，某應用的電話攔截功能索要了短信、存儲、通訊錄等7項敏感權限；某運動健身類應用在使用者使用觀看視訊等無關功能時，每分鐘擷取位置資訊近百次；某應用除了在共享位置時收集位置資訊，還在掃碼支付等不相關功能中收集位置資訊，以用于使用者消費行為畫像分析。還有很多App盡管不再強制收集資訊，仍在首次啟動時就彈窗索要多個無關權限。

“App擷取這些權限後，看似幫助使用者拓展了朋友圈和生活圈，但使用者的隐私資訊也在無形中被暴露。App索要這些權限的根本原因還是企業想要擴大市場或進行推廣，最終是為了獲利。”任勇軍認為。

2021年，國家網信辦針對“七類”超範圍收集行為進行重點整治，包括超範圍收集使用者通訊錄、精确地理位置、短信、通話記錄等在内的一大批違法違規問題得到治理。

保護隐私需專人“看門”

近日，國家計算機病毒應急進行中心通過網際網路監測發現，17款移動App存在隐私不合規行為，涉嫌超範圍采集個人隐私資訊。

類似這樣的通報并不鮮見。僅在2021年，國家網信辦就對存在嚴重違法違規問題的351款App進行了公開通報，責令限期整改。

但是，App敏感資料收集問題仍舊突出。國家網信辦監測發現，60.7%的應用收集了安卓ID等裝置唯一辨別資訊，55.4%的應用收集了應用清單資訊，13.7%的應用收集了剪切闆資訊，而這類資訊可用于人物畫像、個性化推送等業務。

“個人資訊是重要的資料資産，一些App尤其是公用事業類的應用，擁有龐大的使用者群，不法分子和網絡黑客早就盯上了這些敏感資訊，并形成黑色産業鍊。一旦App擷取的個人資訊被售賣，将在多個層面造成嚴重的安全問題。”任勇軍教授說，比如，使用者出行App或外賣App上面存有百萬級以上的使用者資訊，一旦洩露可能不僅影響個人本身，甚至會對國家安全造成危害。

任勇軍表示，對于使用者而言，不能因為協定太長，就放棄閱讀。應當不随意開放和同意不必要的隐私權限、不随意輸入個人隐私資訊、定期維護和清理相關資料，避免個人隐私資訊被洩露。

那麼，對于監督管理部門來說，究竟該如何限制長篇大論的使用者協定，把保護使用者隐私落到實處？

目前，相關機構正在起草《資訊安全技術 網際網路平台及産品服務隐私協定要求》，可為平台企業的使用者協定及隐私政策合規提供指引。

相較于制定相關行業規範，如何将規範落到實處是更值得關注的問題。

單勇教授認為，App違規收集使用者資訊行為無法根治的原因主要在于三點：一是行業主管部門的治理資源有限，僅依靠行業監管較難規範所有App的資訊收集行為；二是部分中小企業存在僥幸心理，試圖通過違規行為擷取更高經濟利益；三是《個人資訊保護法》等相關法律雖賦予了使用者資料權利，但實踐中使用者權利的實作方式并不明晰，使用者在權利受侵害時難以有效維權。

“行業主管部門應持續開展違法違規收集使用個人資訊專項治理，充分發揮頭部平台的‘看門人’作用，由其盡責履行對應用市場内App及平台内小程式的監管義務，規範相關App、小程式的個人資訊收集行為。”單勇還建議，對于個人資訊保護投訴舉報管道和透明度報告機制應予以完善，維護使用者對行業治理的知情權和監督權。

來源：科技日報