等公交车的年轻人在玩手机。黄杰显摄/光明图片用户阅读隐私协议时遇到的问题
用户阅读隐私协议意愿
编者按
数字时代,信息技术与生产生活紧密交织。手机应用程序(App)因其便捷性、专业性等优势,被广泛运用于日常生活、专业服务和社会治理等多领域,为人们带来便捷的同时,也带来了信息安全隐患。近年来,App违规违法收集、使用用户信息事件频发,有报告显示,超七成App存在过度索权行为,即在非必要的情况下获取用户隐私权限,增加了个人信息泄露的风险。如何平衡信息化、数字化发展需求与保障个人信息安全之间的矛盾,成为亟待解决的问题。对此,光明日报与武汉大学法学院、网络治理研究院组成联合调研组,对1036人进行问卷调查及深度访谈,并对15类150款App的隐私协议状况进行分析,就个人用户对App隐私协议的使用体验、App隐私协议对用户信息权益侵害的具体表现,以及背后的深层次原因等进行了深入调查,并就如何进一步完善平台监管、保护个人信息提出建议。
打开一个新安装的App,首先弹出的便是“隐私协议”。长达数页的协议条文,是否在你的指尖匆匆划过不留痕迹?你是否并未点开内容,便已快速勾选“同意,我已阅读过这些条款”?但你可曾想过,从点击“同意”的那一刻起,你便开始了在信息洪流中的“裸奔”。
作为App平台收集、使用用户信息的第一道关口,隐私协议不仅是收集、使用个人信息服务的“说明书”,更应成为保障用户利益的“安全阀”。但从现实来看,App平台对用户的隐私保护状况并不乐观。5月,国家网信办发布通报,有84款App存在违法违规收集使用个人信息等问题,包括36款安全管理类App、48款网络借贷类App。
一纸协议,如何看待,又该如何规范?
1.隐私协议规范化程度低、侵权风险高
用户风险意识欠缺。小王是一名法学专业的大二学生,她的手机里装满了五花八门的App。“当下社交、学习、娱乐都与手机绑定,生活点滴都离不开这方寸之间的屏幕。”当被问及是否认真阅读过隐私协议时,她不以为意:“这种东西应该不会有人注意吧,看到这个我都是直接跳过。”
调查发现,77.8%的用户在安装App时“很少或从未”阅读过隐私协议,69.69%的用户会忽略App隐私协议的更新提示。用户普遍对于App隐私协议重视程度不高,对个人信息权益的敏感程度较低,存在遭受隐私侵权的风险。
App隐私协议规范化程度较低。罗女士在一家国企工作,经常使用新闻类App:“很多时候只想着快点安装使用,看见隐私协议就直接点了‘同意’。偶尔心血来潮打开看看,发现协议实在太长了,得有几万字吧,这哪读得下去。”
调查中,43.53%的用户认为隐私协议文字过小、排版过密,难以阅读。在被调查的150款App中,近三成(46/150)App存在制造障碍、刻意隐藏和诱导用户略过隐私协议的行为,如字体颜色过浅、字号过小导致难以阅读;无法直接点击文本链接,需要取消默认同意才能跳转界面,等等。受访对象对于隐私协议的认可程度处于较低水平。
2.不规范的隐私协议可能造成哪些侵权
“我也想拒绝,但是拒绝不了啊”,这种单一选择的“同意”成为毫无选择的形式之举。调查发现,否定选项不明显、点击“不同意”则强制退出等原因极大打击了用户认真阅读隐私协议的积极性。即使阅读后对协议内容有所质疑,也无法在“不同意”的基础上继续使用,这种毫无意义的所谓“选择”成为人们放弃阅读隐私协议的主要推手。
隐私协议内容模糊或欠缺的情况普遍存在,侵害了用户的知情同意权。平台运营商需对包括个人信息收集、系统权限申请、隐私协议更新/生效日期,以及隐私协议变更通知方式进行清晰告知。但调查中,对隐私协议中包含的专业名词(如个人敏感信息、常用设备信息、网络连接信息、明示同意、cookies)进行清晰解释的App仅占60.7%,很多将用途表述为“为保证正常使用”等含糊用语、覆盖不全、采用省略号等,这都对用户的理解造成了障碍。调查中,很多用户都认为,隐私协议充斥着大量专业法律术语,即使想读也读不懂,干脆直接放弃。
此外,当隐私协议的内容发生变更时,很多App没有标注协议更新的通知方式,用户无法及时得知内容是否有所更新。在所调研的美妆类App中,40%未标注更新情况,规范性较差。
由于业务开展需要,很多App会与多方实现信息共享协作,企业往往会要求用户同意将信息提供给第三方,用户的个人信息在多个App之间辗转、共享,信息泄露风险难以预料。据调查,App隐私协议中存在对第三方对象表述不明(常见表述为“关联公司”“可信赖的第三方合作伙伴”等)、共享目的表述不明、共享信息范围表述不明等情况,概括性表述使企业在数据共享层面享有较大自由空间。
3.哪些因素“纵容”隐私协议侵害个人信息安全
针对个人信息保护的立法,仍存在难点和空白。目前我国的个人信息保护体系尚处在发展阶段,存在规定笼统、细节缺位的情况。立法往往对个人信息进行同质化、不加区分的保护,忽略各类App的行业特点。例如,美妆类App和电商类App在收集利用个人信息的范围及方式上存在显著差异,美妆类会涉及一些面目特征等生物信息,电商类则会要求更多的个人资信、支付权限等。
监管权责分配还需继续完善。App监管涉及多个部门,“九龙治水”的分散式监管导致交叉分工,引发重复监管和监管缺位。此前成立的一些App专项治理工作组,以定期发布违法违规App名单的方式通知企业下架整改,这种非持续性的“运动式治理”,审查模式耗时长、应对慢、力度弱。同时,针对此类专项治理的新闻宣传力度不足,用户不进行主动查询很难获知App治理结果和隐私风险。
此外,行政部门的技术水准落后于市场总体水平,难以满足当前监管需求。一些App技术专业壁垒较高,监管部门在履职过程中,不乏因技术能力不足而陷入窘境的情况,自身监管能力受限。
统一的行业规范与合规指南尚未形成。调查发现,App隐私协议尚未在技术规范、配套服务等方面形成统一、严格的行业标准。隐私政策的规范性不足、各大应用商店的审查制度差异以及个人信息泄露等问题长期存在。不同行业或同行业不同体量的企业受经济规模和合规能力影响,制定的隐私协议具有显著差异。在150款App中,处理较多敏感信息的移动金融类App,隐私协议较市场平均水平更加完善。这种实力差异也反映在行业标准制定过程中,行业巨头利用其影响力参与制定,中小企业话语权不足。随着App数量愈发扩张,一套普遍适用于App隐私政策合规审查的操作指南亟待形成。
在调查的150款App中仅有3款隐私协议明确说明个性化算法关闭方式。购物车记录、信用信息、观影聊天、位置定位等线索全方位勾勒出每个人的喜好,如被自由摊开的书籍一览无余。催账短信一来,可能下一秒就收到借款方式短信;考试失败了,立刻给你介绍培训机构;想美白,你的手机马上将被美白产品信息铺满。
4.隐私协议治理体系需综合提升
完善个人信息保护专门立法和市场监管规则,以设立专项专章保护弱势群体、增添新型数据权利等方式,推动构建新型个人信息保护与数据安全制度。受限于认知水平等原因,老年人、未成年人的个人信息更容易遭受不规范隐私协议的侵害,需要加强立法保护。对于14岁以下未成年人的个人信息处理,个人信息保护法草案已经规定适用“未成年人+父母”双重同意原则。同时,也应对老年人等弱势群体设置类似的倾斜保护制度,以强化对于特定用户的保护。业内学者认为,立法应与民法典有关规定相衔接,明确在个人信息处理活动中的各类新型数据权利,包括知情权、查询权、更正权、删除权等,并建立个人行使权利的申请受理和处理机制。
制定App隐私协议指南,为企业、个人和市场监管者提供操作指引。该指南应规定不同情境下隐私协议遵守的各项规范,既可为执法者进行审查监管提供科学的依据,也可为App开发者与运营商提供明晰可靠的参考,帮助企业降低信息合规成本,快速对标国家、行业安全规范。个人也能依照该指南对隐私协议存在的潜在侵权风险进行判断,增强信息安全的自我保护意识,有利于监管机构、企业与个人的良性互动。
(作者:光明日报与武汉大学联合调研组调研组成员:袁康、张素华、马姗姗、王琎、王文娟、沈鹏飞、崔畅)