數(shù)字時代,，信息技術(shù)與生產(chǎn)生活緊密交織。手機應(yīng)用程序(App)因其便捷性,、專業(yè)性等優(yōu)勢,，被廣泛運用于日常生活、專業(yè)服務(wù)和社會治理等多領(lǐng)域,，為人們帶來便捷的同時,，也帶來了信息安全隱患。近年來,，App違規(guī)違法收集,、使用用戶信息事件頻發(fā)，有報告顯示,，超七成App存在過度索權(quán)行為,，即在非必要的情況下獲取用戶隱私權(quán)限，增加了個人信息泄露的風(fēng)險,。如何平衡信息化,、數(shù)字化發(fā)展需求與保障個人信息安全之間的矛盾，成為亟待解決的問題,。對此,，光明日報與武漢大學(xué)法學(xué)院、網(wǎng)絡(luò)治理研究院組成聯(lián)合調(diào)研組,，對1036人進行問卷調(diào)查及深度訪談,，并對15類150款A(yù)pp的隱私協(xié)議狀況進行分析，就個人用戶對App隱私協(xié)議的使用體驗,、App隱私協(xié)議對用戶信息權(quán)益侵害的具體表現(xiàn),，以及背后的深層次原因等進行了深入調(diào)查，并就如何進一步完善平臺監(jiān)管,、保護個人信息提出建議,。

  打開一個新安裝的App，首先彈出的便是“隱私協(xié)議”,。長達數(shù)頁的協(xié)議條文,，是否在你的指尖匆匆劃過不留痕跡？你是否并未點開內(nèi)容,，便已快速勾選“同意,，我已閱讀過這些條款”,？但你可曾想過，從點擊“同意”的那一刻起,，你便開始了在信息洪流中的“裸奔”,。

  App隱私協(xié)議(也稱“隱私保護指引”“隱私政策”等)，即用戶與企業(yè)之間就個人信息收集,、處理所達成的協(xié)議,，主要內(nèi)容包括App如何采集、存儲,、使用用戶個人信息與相關(guān)安全保障措施,，以及個人對數(shù)據(jù)享有的權(quán)利及其實現(xiàn)方式。

  作為App平臺收集,、使用用戶信息的第一道關(guān)口,，隱私協(xié)議不僅是收集,、使用個人信息服務(wù)的“說明書”,，更應(yīng)成為保障用戶利益的“安全閥”。但從現(xiàn)實來看,，App平臺對用戶的隱私保護狀況并不樂觀,。5月，國家網(wǎng)信辦發(fā)布通報,，有84款A(yù)pp存在違法違規(guī)收集使用個人信息等問題,，包括36款安全管理類App、48款網(wǎng)絡(luò)借貸類App,。

一紙協(xié)議，如何看待,，又該如何規(guī)范,？

  1.隱私協(xié)議規(guī)范化程度低、侵權(quán)風(fēng)險高

  用戶風(fēng)險意識欠缺,。小王是一名法學(xué)專業(yè)的大二學(xué)生,，她的手機里裝滿了五花八門的App?！爱?dāng)下社交,、學(xué)習(xí)、娛樂都與手機綁定,，生活點滴都離不開這方寸之間的屏幕,。”當(dāng)被問及是否認真閱讀過隱私協(xié)議時,，她不以為意：“這種東西應(yīng)該不會有人注意吧,，看到這個我都是直接跳過,。”

  調(diào)查發(fā)現(xiàn),，77.8%的用戶在安裝App時“很少或從未”閱讀過隱私協(xié)議,，69.69%的用戶會忽略App隱私協(xié)議的更新提示。用戶普遍對于App隱私協(xié)議重視程度不高,，對個人信息權(quán)益的敏感程度較低,，存在遭受隱私侵權(quán)的風(fēng)險。

  App隱私協(xié)議規(guī)范化程度較低,。羅女士在一家國企工作,，經(jīng)常使用新聞類App：“很多時候只想著快點安裝使用，看見隱私協(xié)議就直接點了‘同意’,。偶爾心血來潮打開看看,，發(fā)現(xiàn)協(xié)議實在太長了，得有幾萬字吧,，這哪讀得下去,。”

  調(diào)查中,，43.53%的用戶認為隱私協(xié)議文字過小,、排版過密，難以閱讀,。在被調(diào)查的150款A(yù)pp中,，近三成(46/150)App存在制造障礙、刻意隱藏和誘導(dǎo)用戶略過隱私協(xié)議的行為,，如字體顏色過淺,、字號過小導(dǎo)致難以閱讀；無法直接點擊文本鏈接,，需要取消默認同意才能跳轉(zhuǎn)界面,，等等。受訪對象對于隱私協(xié)議的認可程度處于較低水平,。

  App針對個人信息隱私侵權(quán)現(xiàn)象普遍存在,。“最近奇怪的電話越來越多了,，之前有個推銷電話上來就報出我的名字,，把我嚇了一跳，不知道從哪里得到了我的個人信息,?！闭{(diào)查中不少受訪者都表示有過類似的困擾，各年齡段都有60%以上的用戶遭遇垃圾短信與騷擾電話等威脅，這與不法App竊取用戶信息并出售給中下游灰色產(chǎn)業(yè)鏈密不可分,。部分App過度索取數(shù)據(jù)調(diào)用權(quán)限,，竊取地理定位、通訊錄等本不應(yīng)獲取的信息,，并私自提供給第三方,，中下游再對此加工處理，致使個人信息流向不良商家,。有關(guān)部門也表示,，網(wǎng)絡(luò)侵權(quán)案件與App結(jié)合越來越緊密，通過竊取個人通訊錄,、短信等隱私信息進行敲詐勒索,、網(wǎng)絡(luò)詐騙等案件頻發(fā)。

  2.不規(guī)范的隱私協(xié)議可能造成哪些侵權(quán)

  “不同意就退出”,、無法有效撤回授權(quán)，侵害用戶個人信息自主權(quán),?！跋螺d新的App時，我也嘗試過點擊‘不同意’,，結(jié)果就是只能退出,，不能使用App了，只能點擊同意,。”朱女士說,。但輕易點擊的“同意”也給朱女士帶來了麻煩,，她無意中發(fā)現(xiàn)某導(dǎo)航App正在讀取她的圖庫，驚嚇之余查找授權(quán)權(quán)限的關(guān)閉方式,，無果后只能卸載App,，“我真的很害怕，因為照片屬于私密信息,。我完全沒有注意它會有圖庫權(quán)限,，也不知道我的照片會流向何處?！?

  “我也想拒絕,，但是拒絕不了啊”，這種單一選擇的“同意”成為毫無選擇的形式之舉,。調(diào)查發(fā)現(xiàn),，否定選項不明顯、點擊“不同意”則強制退出等原因極大打擊了用戶認真閱讀隱私協(xié)議的積極性。即使閱讀后對協(xié)議內(nèi)容有所質(zhì)疑,，也無法在“不同意”的基礎(chǔ)上繼續(xù)使用,，這種毫無意義的所謂“選擇”成為人們放棄閱讀隱私協(xié)議的主要推手。

  “同意”僅僅是喪失信息自主權(quán)的第一步,。超過一半的用戶表示,，使用的App一旦同意隱私協(xié)議，就不允許撤銷部分或者全部授權(quán),。調(diào)查的150款A(yù)pp隱私協(xié)議文本僅有52.7%允許用戶撤回同意,，且只允許通過注銷賬戶來實現(xiàn)撤回，但注銷賬戶非常困難甚至沒有明確標注注銷方式,。何先生計劃停用某購物App,，他在注冊賬號時使用了身份證號和手機號，因擔(dān)心信息泄露所以申請注銷賬號并解除身份證綁定,，但是App客服要求其提供手持身份證照片進行審核,，何先生覺得無法接受提供此類敏感信息，最終無法注銷賬號,。

  隱私協(xié)議內(nèi)容模糊或欠缺的情況普遍存在,，侵害了用戶的知情同意權(quán)。平臺運營商需對包括個人信息收集,、系統(tǒng)權(quán)限申請,、隱私協(xié)議更新/生效日期，以及隱私協(xié)議變更通知方式進行清晰告知,。但調(diào)查中,，對隱私協(xié)議中包含的專業(yè)名詞(如個人敏感信息、常用設(shè)備信息,、網(wǎng)絡(luò)連接信息,、明示同意、cookies)進行清晰解釋的App僅占60.7%,，很多將用途表述為“為保證正常使用”等含糊用語,、覆蓋不全、采用省略號等,，這都對用戶的理解造成了障礙,。調(diào)查中，很多用戶都認為,，隱私協(xié)議充斥著大量專業(yè)法律術(shù)語,，即使想讀也讀不懂，干脆直接放棄,。

  此外,，當(dāng)隱私協(xié)議的內(nèi)容發(fā)生變更時，很多App沒有標注協(xié)議更新的通知方式，用戶無法及時得知內(nèi)容是否有所更新,。在所調(diào)研的美妝類App中,，40%未標注更新情況，規(guī)范性較差,。

  使用目的模糊,、超范圍收集和過度使用，侵害用戶隱私,。一些App在搜集信息時使用兜底條款,，存在“包括但不限于”“例如”“為XXX需要獲得用戶的其他信息”“相關(guān)信息等”等擴大表述或籠統(tǒng)表述。這些未明示用戶個人信息收集,、使用目的,，且表述籠統(tǒng)的協(xié)議，都為侵害隱私提供巨大空間,。

  此外,，25款A(yù)pp隱私協(xié)議中包含很多與正當(dāng)業(yè)務(wù)明顯不相關(guān)的收集項，這也是侵犯隱私的重災(zāi)區(qū),。如地圖導(dǎo)航類App必須授權(quán)的信息中出現(xiàn)通訊錄權(quán)限,，受訪者表示：“地圖需要定位是很合理的，但是它不止一次向我索要通訊錄的內(nèi)容”,。

  數(shù)據(jù)共享規(guī)范籠統(tǒng),，信息泄露風(fēng)險高。吳女士和朋友用手機聊天時談及希望近期去某地露營,，竟然在幾小時后就在多個購物App中反復(fù)收到山地露營用品的廣告推送,，甚至出現(xiàn)該風(fēng)景區(qū)門票廣告，“我查過,，軟件明確說明不會分析我的聊天內(nèi)容,，但我覺得App不僅讀了，還分享給其他軟件”,，這讓她感到震驚之余也分外擔(dān)憂。

  由于業(yè)務(wù)開展需要,，很多App會與多方實現(xiàn)信息共享協(xié)作,，企業(yè)往往會要求用戶同意將信息提供給第三方，用戶的個人信息在多個App之間輾轉(zhuǎn),、共享,，信息泄露風(fēng)險難以預(yù)料。據(jù)調(diào)查,，App隱私協(xié)議中存在對第三方對象表述不明(常見表述為“關(guān)聯(lián)公司”“可信賴的第三方合作伙伴”等),、共享目的表述不明、共享信息范圍表述不明等情況，概括性表述使企業(yè)在數(shù)據(jù)共享層面享有較大自由空間,。

 3.哪些因素“縱容”隱私協(xié)議侵害個人信息安全

  針對個人信息保護的立法，仍存在難點和空白,。目前我國的個人信息保護體系尚處在發(fā)展階段,，存在規(guī)定籠統(tǒng)、細節(jié)缺位的情況,。立法往往對個人信息進行同質(zhì)化,、不加區(qū)分的保護，忽略各類App的行業(yè)特點,。例如,，美妝類App和電商類App在收集利用個人信息的范圍及方式上存在顯著差異，美妝類會涉及一些面目特征等生物信息,，電商類則會要求更多的個人資信,、支付權(quán)限等。

  同時,，個人信息缺乏分級的“一攬子”授權(quán)亟待細化,。在一家高校任教的王先生曾被一次性授權(quán)“欺騙”過，在一次開通某閱讀App月度會員后,，他發(fā)現(xiàn)每月都有資費扣除,，多次檢查發(fā)現(xiàn)是第一次開通時，界面下方難以發(fā)現(xiàn),、默認勾選的“自動續(xù)費”,，以及開啟了免密支付，導(dǎo)致他在不知情的情況下被多次扣費,。目前的“知情同意”制度雖然貫穿信息收集,、處理、利用的全過程,，但一次性的完全授權(quán)在開始使用App時即已完成,。調(diào)查的150款A(yù)pp隱私協(xié)議中僅有22款說明了請求用戶二次授權(quán)的場景。

  監(jiān)管權(quán)責(zé)分配還需繼續(xù)完善,。App監(jiān)管涉及多個部門,，“九龍治水”的分散式監(jiān)管導(dǎo)致交叉分工，引發(fā)重復(fù)監(jiān)管和監(jiān)管缺位,。此前成立的一些App專項治理工作組,，以定期發(fā)布違法違規(guī)App名單的方式通知企業(yè)下架整改，這種非持續(xù)性的“運動式治理”,，審查模式耗時長,、應(yīng)對慢,、力度弱。同時,，針對此類專項治理的新聞宣傳力度不足,，用戶不進行主動查詢很難獲知App治理結(jié)果和隱私風(fēng)險。

  此外,，行政部門的技術(shù)水準落后于市場總體水平,，難以滿足當(dāng)前監(jiān)管需求。一些App技術(shù)專業(yè)壁壘較高,，監(jiān)管部門在履職過程中,，不乏因技術(shù)能力不足而陷入窘境的情況，自身監(jiān)管能力受限,。

  統(tǒng)一的行業(yè)規(guī)范與合規(guī)指南尚未形成,。調(diào)查發(fā)現(xiàn)，App隱私協(xié)議尚未在技術(shù)規(guī)范,、配套服務(wù)等方面形成統(tǒng)一,、嚴格的行業(yè)標準。隱私政策的規(guī)范性不足,、各大應(yīng)用商店的審查制度差異以及個人信息泄露等問題長期存在,。不同行業(yè)或同行業(yè)不同體量的企業(yè)受經(jīng)濟規(guī)模和合規(guī)能力影響，制定的隱私協(xié)議具有顯著差異,。在150款A(yù)pp中,，處理較多敏感信息的移動金融類App，隱私協(xié)議較市場平均水平更加完善,。這種實力差異也反映在行業(yè)標準制定過程中,，行業(yè)巨頭利用其影響力參與制定，中小企業(yè)話語權(quán)不足,。隨著App數(shù)量愈發(fā)擴張,，一套普遍適用于App隱私政策合規(guī)審查的操作指南亟待形成。

  商業(yè)利用和信息服務(wù)的矛盾困境,。在武漢上學(xué)的陳女士曾瀏覽過某網(wǎng)貸App,，之后連續(xù)幾個月她在不同的App上收到海量網(wǎng)貸廣告，“App推給我的網(wǎng)貸廣告實在太多,，一不留神越陷越深,。”她在廣告誘惑下在多平臺借貸,，不知不覺陷入網(wǎng)貸陷阱，損失巨大,。個人信息已成為產(chǎn)業(yè)創(chuàng)新,、市場競爭的新“黃金”,，也成為詐騙活動、信息泄露,、數(shù)據(jù)壟斷的“快捷鍵”,。

  在調(diào)查的150款A(yù)pp中僅有3款隱私協(xié)議明確說明個性化算法關(guān)閉方式。購物車記錄,、信用信息,、觀影聊天、位置定位等線索全方位勾勒出每個人的喜好,，如被自由攤開的書籍一覽無余,。催賬短信一來，可能下一秒就收到借款方式短信,；考試失敗了,，立刻給你介紹培訓(xùn)機構(gòu)；想美白,，你的手機馬上將被美白產(chǎn)品信息鋪滿,。

  尤其是隨著指紋、面部等生物認證信息被大量收集,，一些行業(yè)企業(yè)在數(shù)據(jù)使用上超出個人授權(quán)進行技術(shù)開發(fā),、資源互換等操作。行業(yè)對于數(shù)據(jù)的高度依賴與公眾對于基礎(chǔ)服務(wù)和個人信息安全的基本需求存在矛盾,。僅僅依賴企業(yè)自律,，難以突破商業(yè)利用和隱私泄露之間的困局。

4.隱私協(xié)議治理體系需綜合提升

  從政府綜合治理,、互聯(lián)網(wǎng)平臺義務(wù)與用戶信息主體權(quán)利的三重層次，構(gòu)建App個人信息合理使用與保護的制度框架,。應(yīng)完善相關(guān)法規(guī),，設(shè)置專門監(jiān)管機構(gòu)。此前,，有關(guān)部門已表示,，將在充分吸收社會各界意見的基礎(chǔ)上，發(fā)布實施《移動互聯(lián)網(wǎng)應(yīng)用程序個人信息保護管理的暫行規(guī)定》,。從展現(xiàn)方式,、企業(yè)權(quán)責(zé)等方面對App隱私協(xié)議文本進行統(tǒng)一詳細的規(guī)定，進一步構(gòu)建實操性強的合規(guī)審查指南,，或?qū)殡[私協(xié)議的困局開辟突破口,。

  平臺方要把落實運營者的提示義務(wù)，改進隱私保護技術(shù)提上日程,。具體而言,，首先,，應(yīng)在隱私協(xié)議中對個人信息保護做出明示。其次,，在修改或終止服務(wù)條款或免除責(zé)任時,，必須通過合理的方式提示用戶，運用隱私強化技術(shù)將實質(zhì)性隱私保護融入企業(yè)運營,。再者,，在用戶體驗方面，落實“知情同意”原則,，健全選擇機制,，設(shè)置合理的同意和退出機制。應(yīng)充分保障用戶主體地位,，用戶對于App提出的信息收集等請求應(yīng)享有拒絕的權(quán)利,，用戶拒絕授權(quán)后，App應(yīng)繼續(xù)提供其他基本服務(wù)功能,，不得設(shè)置“不同意就退出”的捆綁授權(quán)方式,，強迫用戶同意所有的請求。對不同敏感程度的個人信息進行分級,，不同級別信息獲取授權(quán)的次數(shù),、時間、方式等應(yīng)進行差異化設(shè)計,。

  完善個人信息保護專門立法和市場監(jiān)管規(guī)則,，以設(shè)立專項專章保護弱勢群體、增添新型數(shù)據(jù)權(quán)利等方式,，推動構(gòu)建新型個人信息保護與數(shù)據(jù)安全制度,。受限于認知水平等原因，老年人,、未成年人的個人信息更容易遭受不規(guī)范隱私協(xié)議的侵害,，需要加強立法保護。對于14歲以下未成年人的個人信息處理,，個人信息保護法草案已經(jīng)規(guī)定適用“未成年人+父母”雙重同意原則,。同時，也應(yīng)對老年人等弱勢群體設(shè)置類似的傾斜保護制度,，以強化對于特定用戶的保護,。業(yè)內(nèi)學(xué)者認為，立法應(yīng)與民法典有關(guān)規(guī)定相銜接,，明確在個人信息處理活動中的各類新型數(shù)據(jù)權(quán)利,，包括知情權(quán)、查詢權(quán)、更正權(quán),、刪除權(quán)等,，并建立個人行使權(quán)利的申請受理和處理機制。

  制定App隱私協(xié)議指南,，為企業(yè)、個人和市場監(jiān)管者提供操作指引,。該指南應(yīng)規(guī)定不同情境下隱私協(xié)議遵守的各項規(guī)范,，既可為執(zhí)法者進行審查監(jiān)管提供科學(xué)的依據(jù)，也可為App開發(fā)者與運營商提供明晰可靠的參考,，幫助企業(yè)降低信息合規(guī)成本,，快速對標國家、行業(yè)安全規(guī)范,。個人也能依照該指南對隱私協(xié)議存在的潛在侵權(quán)風(fēng)險進行判斷,，增強信息安全的自我保護意識，有利于監(jiān)管機構(gòu),、企業(yè)與個人的良性互動,。

  前置審核與監(jiān)管，從App下載分發(fā)的源頭入手凈化市場環(huán)境,。7月4日,，因“滴滴出行”App存在嚴重違法違規(guī)收集使用個人信息問題，國家網(wǎng)信辦依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》相關(guān)規(guī)定,，通知應(yīng)用商店下架“滴滴出行”App,，要求其認真整改，切實保障廣大用戶個人信息安全,。調(diào)查發(fā)現(xiàn),，目前對已上架應(yīng)用商店的App進行的主要是流動性的事后監(jiān)管，應(yīng)考慮將審查的重心從事后監(jiān)管轉(zhuǎn)移到事前監(jiān)管,，在應(yīng)用商店下載的前端進行規(guī)制,。建議有關(guān)部門聯(lián)合應(yīng)用商店，研究制定App上線審核,、管理標準,，運用大數(shù)據(jù)、人工智能等技術(shù),，不斷提升App技術(shù)檢測平臺自動檢測能力,、監(jiān)測能力和數(shù)據(jù)分析能力。

  (作者：光明日報與武漢大學(xué)聯(lián)合調(diào)研組 調(diào)研組成員：袁康,、張素華,、馬姍姍、王琎,、王文娟,、沈鵬飛,、崔暢)

編輯：鳴嫡