徐雷 徐潤婕
摘 要:[目的/意義]互聯(lián)網(wǎng)企業(yè)收集與使用大量用戶信息,用戶隱私泄露與信息侵權的現(xiàn)象頻頻發(fā)生。分析移動APP的隱私條款,從政府、企業(yè)、用戶層面提出建議,將進一步保障個人信息安全。[方法/過程]本文以國內(nèi)熱門APP的隱私條款為研究對象,通過內(nèi)容分析法,從隱私條款的可獲得性及內(nèi)容兩個維度進行研究。[結(jié)果/結(jié)論]目前移動APP隱私條款在可獲得性以及內(nèi)容制定上仍存在不足,政府應持續(xù)保障相關法律的有效實施,企業(yè)要提升保護用戶隱私的主動性,規(guī)范與創(chuàng)新隱私保護方法,用戶要善用謀求其合法權益的反饋途徑。
關鍵詞:移動APP;隱私條款;可獲得性;內(nèi)容分析
DOI:10.3969/j.issn.1008-0821.2020.07.009
〔中圖分類號〕G202 〔文獻標識碼〕A 〔文章編號〕1008-0821(2020)07-0082-10
Research on Accessibility and Content Analysis of
Privacy Policies of Chinese Mobile Apps
Xu Lei Xu Runjie
(School of Information Management,Wuhan University,Wuhan 430072,China)
Abstract:[Purpose/Significance]Internet companies collect and use amounts of user information,and the leakage of user privacy and the infringement of information occur frequently.Analyzing the privacy policies of mobile apps and making recommendations from the government,enterprise,and user levels will further protect the security of personal information.[Method/Process]This paper took the privacy policies of domestic popular Apps as research object.Through content analysis,the availability and content dimensions of privacy policies were explored.[Result/Conclusion]The accessibility and content completeness of Apps were still not perfect.Government should continue to ensure the effective implementation of relevant laws.Enterprises should improve their initiative to protect user privacy,standardize and innovate the methods of privacy protection.Users should make good use of feedback channels and actively seek for legitimate rights and interests.
Key words:mobile APP;privacy policy;accessibility;content analysis
中國互聯(lián)網(wǎng)絡信息中心(CNNIC)發(fā)布的第44次《中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》指出,截至2019年6月,我國網(wǎng)民規(guī)模達8.54億,其中手機網(wǎng)民規(guī)模達8.47億,網(wǎng)民使用手機上網(wǎng)的比例達99.1%,手機上網(wǎng)已成為人們最常用的上網(wǎng)渠道[1]。移動APP的使用頻率迅速增長,在帶來便利的同時,也給用戶隱私保護帶來挑戰(zhàn)。艾媒咨詢發(fā)布的《2018中國手機APP隱私權限測評報告》表示,網(wǎng)購、社交、理財類APP涉及用戶日常生活各方面,對部分信息的讀取涉及疑似越界的行為,在讀取聯(lián)系人信息方面較嚴重[2]。南都智庫發(fā)布的《2018年度常用APP隱私政策透明度排行榜》中表示,逾7成的APP隱私政策透明度不合格,甚至有盜用別家隱私政策的現(xiàn)象[3]。隱私泄露普遍存在,2018年中國消費者協(xié)會發(fā)布的《APP個人信息泄露情況調(diào)查報告》顯示,受訪者中曾因信息泄露而被騷擾或侵害的人數(shù)占比高達85.2%,隱私安全受到廣泛關注[4]?;ヂ?lián)網(wǎng)企業(yè)通常通過制定和發(fā)布隱私條款等政策文件來規(guī)范其對用戶信息獲取的合法性,以及保障用戶的相關信息權益。
本文通過收集社交、電商、金融理財、健康醫(yī)療4類和大眾生活密切聯(lián)系的移動APP隱私條款,綜合運用數(shù)據(jù)和內(nèi)容分析法,分析這些隱私條款的可獲得性及條款內(nèi)容,梳理目前移動APP隱私條款的內(nèi)容類型、不同領域APP隱私條款的差異以及目前隱私條款在使用和保護用戶隱私方面存在的問題,并針對性地提出建議。
1 相關研究
隨著移動互聯(lián)網(wǎng)中隱私安全問題的大量出現(xiàn),移動APP隱私問題逐漸被學者關注。用戶隱私是指用戶不愿為他人公開或悉知的個人信息,包括個人日記、照相簿、財產(chǎn)狀況、生活及通訊秘密等[5]。目前,保護用戶隱私的法規(guī),主要分布在《民法總則》《侵權責任法》《網(wǎng)絡安全法》等法律法規(guī)文件中,這些文件明確規(guī)定了企業(yè)保障用戶信息及網(wǎng)絡數(shù)據(jù)免遭非授權訪問、使用、篡改、毀壞等的安全保護義務,以及用戶依照自身意愿管理個人信息的隱私權益。
具體到移動APP上,其隱私保護存在較大困難。一方面,互聯(lián)網(wǎng)企業(yè)掌握的用戶信息越多,越能深入了解用戶需求以挖掘巨大的經(jīng)濟價值和社會價值。然而,用戶尚未充分認識隱私的價值,缺乏足夠的隱私保護意識;另一方面,技術漏洞使隱私安全面臨巨大威脅[6]。個人隱私缺乏有效保護,導致數(shù)據(jù)濫用、盜用等問題更加突出[7]。為了消除隱私安全擔憂,互聯(lián)網(wǎng)企業(yè)常制定相關隱私條款(或稱隱私保護協(xié)議、隱私聲明)[8],隱私條款是指網(wǎng)絡運營者對其所開展的收集、保存、使用、共享、轉(zhuǎn)讓等個人信息處理行為的說明[9]。對企業(yè)而言,隱私條款既能履行告知義務,又能約束自身行為和配合監(jiān)督管理[10];對用戶而言,隱私條款是隱私保護的重要途徑和法律維權的重要保障[11]。然而,徐敬宏[12]發(fā)現(xiàn),部分隱私條款成為了“引誘”網(wǎng)民“主動”提供個人信息的“誘餌”。任怡林[13]、秦克飛[14]、付少雄等[15]學者發(fā)現(xiàn),多數(shù)隱私條款的細節(jié)存在缺陷,閱讀和理解難度大,未成年人信息保護環(huán)節(jié)薄弱,甚至還存在霸王條款。孟霞等[10]也認為,隱私保護雖有條款約束,但規(guī)范程度仍需提升,實施效果并不理想。唐遠清等[16]、范昊等[17]學者對比國內(nèi)外典型的社交媒體發(fā)現(xiàn),二者均存在隱私漏洞,國內(nèi)大量社交媒體隱私條款雖覆蓋面廣,但未突出自身產(chǎn)品與服務特點。劉嬌等[18]通過分析55個中文和20個英文移動APP隱私條款認為,從總體上看,國內(nèi)隱私保護在執(zhí)行、監(jiān)管和效果評估等方面都與發(fā)達國家存在差距。
通過對目前研究內(nèi)容的梳理發(fā)現(xiàn),用戶對隱私信息的感知力度仍不夠,隱私信息的協(xié)商處理機制單一已是基本共識。在研究層面,大多數(shù)研究聚焦于同類別APP之間的對比,在研究內(nèi)容上主要分析隱私條款所涉主題,深入文本內(nèi)部的內(nèi)容分析以及文本外部的可獲得性研究較少。本文通過收集國內(nèi)熱門APP的隱私條款,進行了關于隱私條款文本的內(nèi)容分析及其可獲得性的研究。
2 數(shù)據(jù)收集
熱門的APP在一定程度上可以反映國民的移動APP使用習慣,本文根據(jù)《互聯(lián)網(wǎng)周刊》、eNet研究院共同評選的《2018年度APP分類排行榜》[19]、艾媒咨詢發(fā)布的《2018中國APP年度指數(shù)榜單》[20]和《2019年中國移動社交行業(yè)研究報告》[21],篩選出綜合熱度排名靠前并屬于社交、電商、金融理財、健康醫(yī)療4種類型的APP共計71個,其中社交應用33個、移動電商13個、金融理財15個、健康醫(yī)療10個。具體隱私條款情況如表1所示,其中具有獨立隱私條款的APP共計55個,隱私條款內(nèi)容包含在其他協(xié)議條款中的APP共計16個。隱私條款通??梢詮腁PP的不同入口獲取,其名稱常含有“隱私”字樣,具體命名以“隱私政策”“隱私條款”“隱私保護政策”等較為常見。
在移動設備上.載安裝每一個APP,注冊并登錄,在APP的登錄界面或“設置”功能等位置點擊或搜索以獲取隱私條款內(nèi)容,同時記錄此過程中的用戶操作,如點擊次數(shù)、勾選、點擊路徑、隱私條款所在界面截圖等。若APP存在多個應用條款,則只獲取隱私條款。本文根據(jù)《個人信息安全規(guī)范》[22]中標準化隱私條款的規(guī)定,對隱私條款內(nèi)容進行了類型標注。
3 隱私條款可獲得性
隱私條款的可獲得性是指用戶獲得、查看、理解有效的隱私條款的便利程度,是用戶閱讀、理解和評價隱私條款內(nèi)容的前提和基礎,反映隱私條款的外部特征。本文從隱私條款的獲取途徑、可讀性、更新3個方面,來衡量隱私條款的可獲得性。隱私條款的獲取途徑反映獲取的難易程度,可讀性反映用戶對文本的理解程度,更新頻率反映用戶獲得內(nèi)容的時效性。
3.1 隱私條款的獲取途徑
具有獨立隱私條款的55個APP中,條款內(nèi)容均可直接在APP中查看,但文本內(nèi)容的復制、.載與保存卻存在差異。一般而言,互聯(lián)網(wǎng)上的文本要比文本圖片更容易被檢索到,具有分享鏈接的文本更容易傳播,具備這些特性的隱私條款一般更能反映企業(yè)對用戶信息權益的重視。旺信、唯品會、餓了么、360借條、同花順、東方財富、京東金融、美柚、薄荷健康可查看隱私條款內(nèi)容但不能直接復制文本文字,唯品會、蘇寧易購、美團提供隱私條款文本的直接.載功能,餓了么可將隱私條款文本分享給他人。
隱私條款的位置主要在APP的登錄或注冊界面以及“設置”等相關功能里。表2通過獲取隱私條款內(nèi)容所需點擊次數(shù)、條款內(nèi)容是否自動顯示、是否有默認同意條款內(nèi)容的選項幾個方面來衡量隱私條款文本的獲取難易程度。
隱私條款獲取界面和獲取途徑的便捷性與多樣性,影響用戶對隱私條款的關注度。根據(jù)統(tǒng)計,絕大部分APP都提供在登錄界面(72.7%)以及“設置”等相關功能界面(83.6%)顯示隱私條款的獲取路徑。67.3%獲取隱私條款內(nèi)容的用戶點擊次數(shù)為4步,大致路徑為:“首頁—個人中心—設置—關于—隱私條款”。該路徑包含的內(nèi)容充實、層次清晰,但點擊入口往往需要滑動至界面底部。3步是最低點擊次數(shù),如唯品會、中國工商銀行等,5步是最高點擊次數(shù),如小紅書、美團等,但后兩種情況的APP較少。安裝APP時自動彈出并顯示隱私條款內(nèi)容,是為用戶呈現(xiàn)隱私條款的高效方式,但首次打開時自動顯示條款內(nèi)容的方式的采納率僅為38.2%,其中移動電商類的采納率最高,占該類別的66.7%,社交應用類最低,占該類別的20%。由于目前互聯(lián)網(wǎng)產(chǎn)品更加注重用戶體驗,提升用戶在圖形操作界面以及使用過程中的體驗一定程度上可以吸引更多的用戶,并為企業(yè)帶來可觀的流量,因此采用自動顯示條款的呈現(xiàn)方式可能并不是一種好的用戶體驗方式,尤其在需要頻繁互動的社交應用中這種呈現(xiàn)方式更少。而在電商APP中,企業(yè)利用用戶網(wǎng)絡行為數(shù)據(jù)進行智能化功能設計的場景更多,這類數(shù)據(jù)的合理收集與使用涉及的條款約束相應就多,且涉及更多敏感的財物信息,因此有必要通過自動顯示條款的方式來吸引用戶關注。用戶能否決定是否同意(勾選)隱私條款可反映該APP隱私保護的用戶參與度。為了優(yōu)化用戶體驗,減少用戶操作,一些APP采用了“登錄/注冊即表示同意”的方式,但這無形之中讓用戶忽視了隱私條款的存在,具有存在霸王條款的嫌疑,主要為社交應用和健康醫(yī)療類APP。采取“默認選擇同意”的方式相對上一種方式而言,提供了用戶選擇是否同意隱私條款的機會,默認為用戶同意狀態(tài),但若選擇不同意,則一般不能繼續(xù)使用該APP。而“默認未選擇”的方式,相對上一種方式而言,用戶需要自主點擊“同意”方可進行.一步操作,這強化了用戶對存在隱私條款的感知,反映這類APP對用戶隱私的重視,主要為移動電商和金融理財類APP。
3.2 隱私條款的可讀性
一般而言,不同類別APP隱私條款的字數(shù)能在一定程度上反映該類APP涉及的隱私數(shù)據(jù)量,字數(shù)越多,則涉及的隱私數(shù)據(jù)量可能越大。同類型APP隱私條款的字數(shù)差異能夠體現(xiàn)該條款內(nèi)容全面性和詳細程度,字數(shù)越多則隱私條款的約束就越詳盡,內(nèi)容的可操作性就越強,但這也會影響用戶對條款內(nèi)容的閱讀興趣。目前收集的全部隱私條款內(nèi)容的平均字數(shù)為11 002字,移動電商類平均字數(shù)最多,為15 464字,金融理財類平均字數(shù)為8 795字,健康醫(yī)療類平均字數(shù)為8 705字,社交應用類平均字數(shù)最少,為7 176字。從上面的數(shù)字可知,移動電商場景.,涉及的用戶隱私數(shù)據(jù)更多,這類APP的功能一般更為綜合。金融理財和健康醫(yī)療類的各個APP的服務界限更清晰,涉及的隱私數(shù)據(jù)較集中,如主打保險服務的太平洋保險和主打孕育服務的媽媽網(wǎng)孕育。社交應用注重核心的社交功能,隱私數(shù)據(jù)更集中,因此在隱私條款字數(shù)上存在上述差異。在同類型的隱私條款中,愛奇藝泡泡的字數(shù)達20 470字,內(nèi)容詳盡,但不易快速理解;秘蜂的字數(shù)僅1 057字,條款僅包含信息公開披露問題,表述過于簡略。
隱私條款是否有目錄、是否標注重點內(nèi)容等特殊化處理影響用戶對隱私條款的閱讀效率。統(tǒng)計發(fā)現(xiàn),健康醫(yī)療類的隱私信息類型和處理方式較單一,條款內(nèi)容分類較少,多數(shù)條款無目錄,其余類別有目錄的隱私條款均超過60%。目錄多由一級標題組成,采用列舉方式呈現(xiàn)在具體內(nèi)容之前。55個隱私條款內(nèi)容均有重點標注,標注內(nèi)容多為條款中涉及的重要隱私數(shù)據(jù)和主要信息處理行為,以及部分內(nèi)容標題,標注形式多采用加粗、.劃線等方式,其中對標題和具體內(nèi)容都進行標注的有74.5%,移動電商類APP全部采用了這種標注方式。
隱私條款中包含眾多專業(yè)術語,諸如應用數(shù)據(jù)緩存、服務器日志、IMEI信息等,但其閱讀群體多為非專業(yè)的用戶,因此專業(yè)名詞解釋能極大地減少閱讀障礙。根據(jù)分析,僅8%的社交應用有此內(nèi)容,金融理財類有名詞解釋的隱私條款占比最大,也僅為30%。社交應用的用戶使用門檻低,不需要太多的專門知識,而金融理財類APP中,則涉及較多專業(yè)詞匯,諸如身份要素、匿名化等術語。
3.3 隱私條款的更新
隱私條款會隨時間和用戶需求變化等因素進行調(diào)整和更新。從條款更新時間和生效時間的先后順序看,57.2%的隱私條款的生效時間未處于更新時間之后,即閱讀者無法在發(fā)布的新版本條款生效前提出意見和建議。健康醫(yī)療類和社交應用類未說明更新與生效時間的、未在生效前發(fā)布的隱私條款占比分別為75%和68%,但僅有社交應用中的易信、豆瓣、知乎這3個APP中提供了歷史版本隱私條款,對用戶理解條款變化具有一定作用。
隱私條款的更新與生效時間直接體現(xiàn)其內(nèi)容是否順應時間變化。根據(jù)統(tǒng)計,各類APP中均存在不公布更新與生效時間的條款,健康醫(yī)療類未公布的高達50%。在顯示更新時間的隱私條款中,大部分更新時間為2018年,在2019年的占比也較大。僅4%的社交應用隱私條款更新時間在2017年,為統(tǒng)計數(shù)據(jù)中的最早時間。絕大部分隱私條款的更新時間在近一兩年,符合當前互聯(lián)網(wǎng)快速發(fā)展的現(xiàn)實情況。
用戶是隱私條款的直接利益主體,需要對條款內(nèi)容及其更新保持關注,條款更新提醒對用戶關注條款具有明顯的促進作用。值得一提,僅少量隱私條款未說明是否有提醒,主要為社交應用和移動電商類APP,均不超過其類別的20%,絕大多數(shù)隱私條款更新將通知到用戶,健康醫(yī)療類比例高達100%。
4 隱私條款內(nèi)容分析
隱私條款的可獲得性越強,用戶就越能感知到隱私條款的存在,在此基礎上,用戶查看、理解和評價隱私條款內(nèi)容,才能充分發(fā)揮隱私條款的作用。同時,綜合分析隱私條款的外部特征和隱私條款內(nèi)容的全面性、完整性和規(guī)范性等內(nèi)部特征,是客觀評價互聯(lián)網(wǎng)企業(yè)對用戶隱私保護態(tài)度和行為的必要依據(jù)。
以現(xiàn)有隱私條款為研究對象,本文根據(jù)《個人信息安全規(guī)范》[22]中關于標準化隱私條款的規(guī)定,對隱私條款內(nèi)容進行標注,并以此確定內(nèi)容分析的維度。根據(jù)統(tǒng)計數(shù)據(jù)對不同類型的隱私條款內(nèi)容進行分類與比較,總結(jié)各類隱私條款制定的思維邏輯及差異,關注和闡釋隱私條款中的特殊措辭與表達。重點關注隱私條款的內(nèi)容全面性、用戶隱私數(shù)據(jù)類型及隱私信息處理手段。
4.1 隱私條款內(nèi)容分類
《個人信息安全規(guī)范》[22]明確強調(diào)隱私條款在開展收集、保存、使用、共享、轉(zhuǎn)讓、公開披露六方面的信息處理規(guī)范,規(guī)定隱私條款應包含如.內(nèi)容:①如何收集和使用個人信息;②如何使用Cookie和同類技術;③如何共享、轉(zhuǎn)讓、公開披露個人信息;④如何保護個人信息;⑤用戶權利;⑥如何處理兒童個人信息;⑦個人信息如何在全球范圍轉(zhuǎn)移;⑧政策如何更新;⑨如何聯(lián)系我們。將以上規(guī)定的隱私條款大綱與各類型APP隱私條款內(nèi)容進行對比,計算出符合相應規(guī)范的隱私條款占所在類型的比例,結(jié)果如圖1所示。
由圖1可知,包含“如何使用Cookie和同類技術”內(nèi)容的隱私條款較少,大部分為移動電商類APP,這類APP通過使用這類技術,可豐富用戶畫像,以提供個性化商品推薦等服務;有“個人信息如何在全球范圍轉(zhuǎn)移”內(nèi)容的隱私條款明顯
較少,除移動電商類占所在類別比例超過50%,其余均在40%以.,統(tǒng)計發(fā)現(xiàn),涉及此類條款內(nèi)容的APP一般都具有海外市場;“如何收集和使用個人信息”“政策如何更新”“如何聯(lián)系我們”的擁有比例超過80%,且在各類別分布平均,說明該類信息在各類APP中普遍存在。
從各類型的隱私條款內(nèi)容來看,移動電商類除“個人信息如何在全球范圍轉(zhuǎn)移”和“政策如何更新”,其余內(nèi)容均全部包含,好于其他類別。健康醫(yī)療類的內(nèi)容分布較分散,“如何收集和使用信息”“如何處理兒童個人信息”和“政策如何更新”擁有量為100%,但“如何使用Cookie和同類技術”及“用戶權利”擁有量較其他類別最少。社交應用和金融理財類的各內(nèi)容種類擁有量相似,總體上不及前兩種類別。此外,Blued的用戶和服務私密度高,因此其隱私條款中包含“全公司對你隱私的承諾”,以提升產(chǎn)品和服務的可信度。美柚收集的某些個人信息因其特殊性可能被認為是個人敏感信息,例如種族、個人健康和醫(yī)療信息等,在其隱私條款中重點提示了個人敏感信息問題。
4.2 隱私數(shù)據(jù)類型及用途
《個人信息安全規(guī)范》中對個人敏感信息進行了明確定義:一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全,極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息[22]。主要包括財產(chǎn)信息、健康生理信息、生物識別信息和網(wǎng)絡身份標識信息等。本文將隱私條款中涉及的個人信息分為如.類別:①個人信息(姓名、生日、性別、住址、電話號碼等基本信息,及身份證、護照等身份信息);②個人常用設備信息(包括硬件型號、設備MAC地址、操作系統(tǒng)類型、軟件列表唯一設備識別碼等);③位置信息(行程信息、精準定位信息、住宿信息、經(jīng)緯度等);④個人上網(wǎng)記錄(網(wǎng)站瀏覽記錄、搜索記錄、軟件使用記錄、點擊記錄等);⑤網(wǎng)絡身份標識信息(系統(tǒng)賬號、IP地址、郵箱地址等);⑥通訊錄;⑦生物識別信息(指紋、人臉、語音數(shù)據(jù)等);⑧財產(chǎn)信息(支付賬號、交易和消費記錄等);⑨征信信息(還款信息、貸款信息、消費信息等);⑩健康生理信息(心率、血壓、步數(shù)等)。圖2給出了各類型APP的隱私數(shù)據(jù)收集情況。
在55個APP中,賬號注冊時用戶提供的個人信息,成為最多APP收集的數(shù)據(jù)類型,其中常見手機號碼、電子郵箱等。設備信息與優(yōu)化產(chǎn)品體驗息息相關,成為各類APP收集的又一重點。位置信息、個人上網(wǎng)記錄、網(wǎng)絡身份標識信息、通訊錄是掌握用戶習慣的重要信息,被大量APP收集。其中,社交應用類重點收集個人上網(wǎng)記錄,移動電商重點收集網(wǎng)絡身份標識信息,金融理財則偏向收集財產(chǎn)信息、生物識別信息和征信信息,健康醫(yī)療類偏向收集健康生理信息,可見,個人敏感信息也被大量收集。各類APP收集用戶的隱私數(shù)據(jù),一般出于以.目的:1)實名制等規(guī)定的強制性要求。各類APP目前基本都需要實名制,用戶必須提供如手機號甚至身份證號等信息,如果不提供則不能使用該APP;2)為了滿足某些功能的需要。
比如,收集財產(chǎn)信息和征信信息,以便提供可靠的借貸及保險服務,收集健康生理信息,以通過分析健康數(shù)據(jù)給用戶提供健康服務,收集設備信息以提供優(yōu)化網(wǎng)絡的服務,收集語音數(shù)據(jù)以提供語音交互服務,收集用戶搜索、購買等數(shù)據(jù)以提供個性化推薦服務,收集銀行賬號信息以完成支付功能等。如果不收集或用戶不同意收集則用戶可能不能使用相應功能;3)保障賬戶安全。這類信息主要是設備信息、位置信息和生物識別信息,用于檢測APP異常登錄和賬號風險,提高賬號的安全性;4)在特殊情況.,收集和使用可不經(jīng)過用戶同意的信息。比如,該信息與國家安全和重大公共利益直接相關的,或出于維護用戶重大合法權益但又很難得到本人同意的,以及從合法公開渠道獲取的信息。
4.3 隱私信息的處理
4.3.1 信息存儲
通過分析,各類APP在信息存儲的規(guī)范上差異不大。有45個(81.8%)隱私條款說明了數(shù)據(jù)存儲的地點,其中的72.7%明確說明數(shù)據(jù)存儲地點為中國境內(nèi),其余表示會在境外設備上存儲或存儲在公司服務器上。43個(78.2%)隱私條款中說明了數(shù)據(jù)存儲的期限,豆瓣、網(wǎng)易考拉、360借條明確說明數(shù)據(jù)保存的具體時限,其中,360借條表示將永久保存用戶個人信息和業(yè)務數(shù)據(jù)。20%表示存儲期限符合法律規(guī)定的期限,這其中常見有“合理必要期限內(nèi)”“為實現(xiàn)目的所必需的時間”“保留一段時間”等模糊性表述。47.3%的APP在數(shù)據(jù)轉(zhuǎn)移時會確保接收方有充足的保護能力或采取保密措施,其中,領英指出接收方所在地可能因法律而出現(xiàn)保護力度不足的情形,但并未說明有相關措施。27.27%的APP在進行數(shù)據(jù)跨境傳輸時會征求用戶同意,這其中社交應用占比最低,為24%。
4.3.2 信息共享、轉(zhuǎn)讓和公開披露
有44個(80%)隱私條款對信息的共享進行了說明,微信和丁香園明確表示未經(jīng)用戶同意不會與集團或協(xié)議以外的第三方共享。其余APP均列舉了例外情況,常見有:1)共享行為符合法律法規(guī)規(guī)定,或行政、司法機關的合法要求;2)與關聯(lián)公司或授權合作伙伴共享必要信息以提供相關商品和服務;3)協(xié)助爭端處理和維護用戶、公司和社會的合法權益免遭損害。49.1%的APP明確說明,只與接收方共享與特定目的有關的信息,且接收方無權將個人信息用于其他用途。60%的APP表示在與第三方共享信息時會簽訂保密協(xié)議或采取保密和安全措施。25.5%的APP規(guī)定第三方會對個人敏感信息加密或匿名處理。
有41個(74.5%)隱私條款對信息的轉(zhuǎn)讓和出售進行了說明,社交應用占比最低。其中70.7%列舉說明了可能轉(zhuǎn)讓或出售的情形,主要有:1)獲得用戶明確同意;2)根據(jù)法律法規(guī)、法律程序要求或行政、司法要求的必要提供;3)公司進行合并、收購、破產(chǎn)清算和類似的交易時,個人信息作為交易的一部分而被轉(zhuǎn)移。16.4%表示在涉及合并、收購或破產(chǎn)清算時轉(zhuǎn)讓信息會告知用戶。65.5%表示會要求新持有者繼續(xù)受原規(guī)定或不低于原規(guī)定的要求來保護信息,若保護規(guī)定變化,14.5%會再次征求用戶同意。
有45個(81.8%)隱私條款對信息的公開披露進行了說明,社交應用占72%,位居末位。公開披露目的常見有:1)獲得用戶明確同意或用戶主動公開;2)與國家與社會安全、公眾利益等有關的披露;3)從合法公開的披露信息中收集的個人信息的披露。僅東方財富、隨手記、螞蟻財富3個APP對委托處理個人信息進行了說明,并表示會對受托公司采取保密措施,且對此承諾負責。信息共享、轉(zhuǎn)讓和公開披露的第三方可能并非位于用戶所在法域,但僅10.9%對此進行了說明。
4.3.3 信息保護
對個人信息保護進行闡述的隱私條款達53個(96.4%),信息保護是信息處理的重要環(huán)節(jié)。信息保護主要從1)技術;2)制度規(guī)范;3)對相關人員的保密義務、培訓與懲罰規(guī)定等;4)存儲載體安全和安全存儲措施;5)權威機構(gòu)頒發(fā)或認可的信息保護資質(zhì)認證;6)對互聯(lián)網(wǎng)環(huán)境的正確認識和說明;7)信息泄露事件的應急預案制定與具體措施;8)安全事件責任8個方面進行規(guī)范。
85.5%的APP會通過網(wǎng)絡安全行為的技術措施提供信息安全保障,63.6%設立了數(shù)據(jù)安全管理與保護機制來規(guī)范行為,如訪問控制機制、數(shù)據(jù)分類分級制度、數(shù)據(jù)安全管理規(guī)范等。67.3%會對相關人員進行培訓、考核或賦予保密義務,其中有16.4%表示若相關人員違反保密義務,將獲得處罰。僅米聊、蘑菇街提到了信息存儲的載體安全保護。為了證明信息保護有效性,23.6%提供了所獲的權威認證,其中有14.5%獲得了ISO認證,20%獲得了公安部安全等級認證,獲得認證最多的是微信和釘釘。然而,互聯(lián)網(wǎng)的安全性并不能完全通過這些手段予以保證,69.1%強調(diào)了非絕對安全的互聯(lián)網(wǎng)環(huán)境,移動電商最為突出。72.7%說明了發(fā)生信息安全事件后的應急預案。若因物理、技術、或管理防護設施遭到破壞而引起安全事件,38.2%對其責任進行了規(guī)定,其中除糗事百科、珍愛網(wǎng)、趣約會有免責要求外,其余均表示會承擔相關的法律責任。從信息保護的內(nèi)容全面性看,僅移動電商類全部有信息保護的全面表述,明顯多于其他類別。
4.3.4 對未成年人使用的說明
用戶主體特性,尤其是用戶是否為未成年人必須引起重視。僅秘蜂、領英、360借條、中國銀行手機銀行、同花順5個APP的隱私條款未對未成年人進行特別規(guī)定。但其余(90.9%)對未成年人的年齡規(guī)定不一,其中有38.2%僅稱為“未成年人”,41.8%規(guī)定為未滿18歲的未成年人,百度貼吧把年齡界限視為14歲,豆瓣界定為16歲,Blued、玩吧、Keep則會“考慮適用的法律以及各國家和地區(qū)的文化慣例”。Blued、世紀佳緣、趣約會、珍愛網(wǎng)表示“未成年人不得使用本服務”,其余并未說明。若未能識別未成年人身份而因此受到損害的,趣約會和珍愛網(wǎng)表示不承擔任何責任。其中,僅有Blued啟用AI人臉識別用戶注冊系統(tǒng),以實際行動防止未成年人注冊和使用。這也意味著,目前大部分APP存在被未成年使用的風險。
4.3.5 用戶權利
用戶權利是反映用戶對信息控制程度的重要因素。48個(87.3%)隱私條款對用戶權利進行了描述,多數(shù)APP說明了用戶改變授權范圍、注銷賬號、訪問、修改、刪除個人信息等權利。33個(60%)隱私條款說明了用戶注銷賬號后數(shù)據(jù)的處理方式,僅45.5%的用戶明確表示會立即或經(jīng)過一段時間后刪除或匿名化個人信息,其中的領英、愛奇藝泡泡分別規(guī)定了刪除數(shù)據(jù)的期限為30天、60天,360借條的時間長達5年,Keep采用的“過一段時間”則具有不確定性。易信、東方財富、太平洋保險、隨手記、螞蟻財富、丁香園僅表示會在“合法時間內(nèi)”繼續(xù)保存。其余APP對具體處理方式并無說明。
4.3.6 用戶反饋
聯(lián)系方式的提供和反饋處理人員的設立體現(xiàn)用戶反饋的便捷性和有效性。但只有16個(29.1%)隱私條款公布了公司所在地址,15個(27.3%)隱私條款設立了個人信息保護專職人員或部門。旺信、秘蜂、玩吧、中國銀行手機銀行、咕咚5個隱私條款中未提供聯(lián)系方式,其余均提供了公司聯(lián)系方式,多為電話號碼、電子郵箱。從數(shù)量上看,四類隱私條款提供的聯(lián)系方式平均數(shù)量均不低于2種。從效率上看,有65.5%的戶用說明了回復時限,轉(zhuǎn)轉(zhuǎn)在“合理時間內(nèi)回復”,其余平均回復時長最長為健康醫(yī)療類27天,最短為金融理財類20天。此外,大多數(shù)APP的用戶可通過“設置”中的“反饋”功能提交反饋,但仍無法得到即時回復。從整體回復時長上看,雖然目前大部分APP都提供了便于用戶反饋的渠道,但得到及時回復的效率并不高。
5 結(jié)論與建議
5.1 結(jié) 論
5.1.1 政策發(fā)揮了指引性作用,信息的收集與處理手段仍需規(guī)范完善
直接對隱私條款起規(guī)制作用的《個人信息安全規(guī)范》于2017年12月29日正式發(fā)布,2018年5月1日實施。自該規(guī)范實施以來,尤其在2018年,許多互聯(lián)網(wǎng)企業(yè)對隱私條款進行了更新,如《微信隱私保護指引》。與其他未更新的隱私條款相比較,這些條款內(nèi)容更加規(guī)范和完整。移動APP的隱私條款基本遵循規(guī)范,突出標記重點內(nèi)容并圍繞內(nèi)容的收集、保存、使用、共享、轉(zhuǎn)讓、公開披露等方面展開。但仍存在一些APP的隱私條款內(nèi)容在全面性,及在條款細節(jié)上不完善,比如信息收集的方式、信息的保存時限、信息安全事故的責任劃分等規(guī)范比較缺乏,同時存在模糊表述的情況。另外,一些APP,如Blued、咕咚,存在盲目追求內(nèi)容框架的條款而忽略對其實質(zhì)內(nèi)容的描述。
5.1.2 隱私條款的可獲得性不強,缺乏提高用戶參與度的主動性
用戶的“霍布森選擇”情況嚴重,使用網(wǎng)絡產(chǎn)品即表示同意其隱私政策,即便用戶認識到自己在隱私協(xié)議中被動地位,也不得不妥協(xié)于產(chǎn)品服務的需求,選擇同意隱私條款[10]。查看隱私條款大多需要注冊并登錄帳號,獲取路徑較復雜,條款的可獲得性不足。大量條款文本有目錄和重要標識,有助于用戶快速了解條款內(nèi)容,形成初步認識。但是條款中包含大量專業(yè)術語,僅少量條款進行了解釋,不利于用戶深入理解條款內(nèi)容,內(nèi)容可獲得性較缺乏。隱私條款的更新時間集中在近兩年,順應了互聯(lián)網(wǎng)快速發(fā)展的時代趨勢,但仍有不少APP并未提供條款更新時間。絕大部分條款的更新信息會通過郵件、公告等多種方式通知到用戶,以維護用戶知情權,但多數(shù)新版本條款的更新時間和發(fā)布時間相同,即用戶無法在新條款生效前提出意見和建議,新條款無法充分體現(xiàn)用戶訴求,且普遍缺乏即時反饋用戶信息訴求的途徑,用戶參與程度有待提高。
5.1.3 存在數(shù)據(jù)處理以及未成年人使用的風險
基本所有APP都明確規(guī)定了其獲取的隱私數(shù)據(jù)類型,但對這些數(shù)據(jù)的用途仍有不少APP并未明確,用戶個人對隱私數(shù)據(jù)的處理方式和方法存在說明不足的現(xiàn)象,同時絕大部分APP并不具備經(jīng)認證的保護用戶數(shù)據(jù)的技術手段,存在一定的數(shù)據(jù)濫用和數(shù)據(jù)處理風險。隱私條款中大多將未成年人的年齡界定為18歲以.,大部分APP對未成年人使用產(chǎn)品或服務進行條款約束,符合我國當前的法律精神,但這并不意味著排除了未成年人的使用風險,實踐中仍然缺乏防止未成年人注冊和使用產(chǎn)品和服務手段。
5.2 建 議
5.2.1 企業(yè)提升條款質(zhì)量,增強條款可獲得性與可讀性,重視用戶參與
隱私條款的質(zhì)量可反映企業(yè)服務質(zhì)量,企業(yè)要秉承用戶至上的服務理念,讓用戶便捷地獲取隱私條款,并主動了解和參與條款設計及隱私保護。在條款內(nèi)容上,基于政策提供的基本框架,制定和完善符合企業(yè)定位、產(chǎn)品特點、用戶特征等的條款內(nèi)容;在條款表達上,減少復雜語句和不必要的專業(yè)術語,避免模糊性表述,必要時提供名詞解釋;在執(zhí)行上,完善信息安全審查工作,杜絕額外搜集隱私數(shù)據(jù)、數(shù)據(jù)使用目的不明等情形,及時告知用戶條款變更、措施執(zhí)行等情況;在用戶參與上,與用戶建立協(xié)調(diào)機制,提高隱私條款透明度,采取授權與可使用功能分級對應的方式為用戶提供服務,通過技術手段解決未成年人不合理使用APP以及隱私信息濫用等問題。
5.2.2 用戶提升信息安全素養(yǎng),善用反饋途徑
用戶是隱私條款最直接的利害相關者,而在2018年學者鄒曉艷的調(diào)查報告中指出,近一半的社交應用用戶從未閱讀過隱私條款,大量用戶未對其進行深度解讀,表明用戶缺乏對隱私安全保護的關注和重視[23]。企業(yè)對用戶信息的處理的合法化以“授權”為前提,而隱私條款正是對授權的條件和后果的說明。用戶要密切關注隱私條款的內(nèi)容,提升個人信息安全意識,警惕使用APP過程中涉及隱私數(shù)據(jù)的操作,降低信息泄露風險;針對企業(yè)的不合理行為,用戶要善用合法的反饋渠道,主動保護個人信息安全。
5.2.3 引入審查和效果評估機制,加強法律法規(guī)規(guī)制
針對隱私范圍逐漸擴展的現(xiàn)狀,將應用程序安全性納入審核范圍,將合格的隱私條款作為APP發(fā)行的必要條件。法律是保護用戶權利的有力武器,國家要結(jié)合《網(wǎng)絡安全法》《民法總則》等現(xiàn)有法律,及時彌補網(wǎng)絡環(huán)境.隱私保護的法律缺口,進一步明確違規(guī)使用隱私數(shù)據(jù)的情況,并設立行業(yè)組織和相關機構(gòu)作為保障,為隱私保護提供充分的法律依據(jù)。實踐中,企業(yè)對隱私條款有更多的執(zhí)行權力,應設立隱私條款規(guī)范的執(zhí)行與監(jiān)督機制,最大可能地杜絕出現(xiàn)各類隱私信息風險。
參考文獻
[1]CNNIC.第44次中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告[EB/OL].http://www.cnnic.net.cn/hlwfzyj/hlwxzbg/hlwtjbg/201908/t20190830_70800.htm,2019-08.
[2]艾媒前沿科技產(chǎn)業(yè)研究中心.2018中國手機APP隱私權限測評報告[EB/OL].https://www.iimedia.cn/c400/61251.html,2018-04-28.
[3]南都智庫.2018 年度常用APP隱私政策透明度排行榜[EB/OL].http://www.cnki.com.cn/Article/CJFDTotal-CINS201901042.htm,2018-12.
[4]中國消費者協(xié)會.APP個人信息泄露情況調(diào)查報告[EB/OL].http://www.cca.org.cn/jmxf/detail/28180.html,2018-08-29.
[5]彭萬林.民法學[M].北京:中國政法大學出版社,1997:201.
[6]張夢秋.從APP使用角度對用戶隱私安全的思考[J].電子世界,2019,(11):82-83.
[7]姚前.數(shù)據(jù)隱私保護新思路:從依賴他方到自主可控[J].中國信息安全,2019,(1):104-107.
[8]申琦.我國網(wǎng)站隱私保護政策研究:基于49家網(wǎng)站的內(nèi)容分析[J].新聞大學,2015,(4):43-50,85.
[9]洪延青.網(wǎng)絡運營者隱私條款的多角色平衡和創(chuàng)新[J].中國信息安全,2017,(9):46-49.
[10]孟霞,岳鵬宇.移動終端APP隱私政策內(nèi)容分析[J].山西師大學報:社會科學版,2018,45(6):47-54.
[11]劉百靈,萬璐璐,李延暉.網(wǎng)絡環(huán)境.基于隱私政策的隱私保護研究綜述[J].情報理論與實踐,2016,39(9):134-139.
[12]徐敬宏.網(wǎng)站隱私聲明的真實功能考察——對五家網(wǎng)站隱私聲明的文本分析[J].當代傳播,2008,(6):67-70.
[13]任怡林.移動App隱私保護政策分析與對策研究[J].青年記者,2019,(20):93-94.
[14]秦克飛.手機APP隱私政策的可讀性研究[J].情報探索,2019,(1):18-23.
[15]付少雄,趙安琪.健康APP用戶隱私保護政策調(diào)查分析——以《信息安全技術 個人信息安全規(guī)范》為框架[J].圖書館論壇,2019,39(12):109-118.
[16]唐遠清,賴星星.社交媒體隱私政策文本研究——基于Facebook與微信的對比分析[J].新聞與寫作,2018,(8):31-37.
[17]范昊,王賀,付少雄,等.國內(nèi)外社交媒體個人信息保護政策研究及啟示[J].現(xiàn)代情報,2019,39(10):136-144.
[18]劉嬌,白凈.中外移動APP用戶隱私保護文本比較研究[J].汕頭大學學報:人文社會科學版,2017,33(3):82-87.
[19]互聯(lián)網(wǎng)周刊,eNet研究院.2018年度APP分類排行榜[EB/OL].http://enet.com.cn/article/2019/0108/A20190108058883.html,2019-01.
[20]艾媒前沿科技產(chǎn)業(yè)研究中心.2018中國APP年度指數(shù)榜單[EB/OL].https://www.iimedia.cn/c900/62883.html,2018-11.
[21]艾媒前沿科技產(chǎn)業(yè)研究中心.2019年中國移動社交行業(yè)研究報告[EB/OL].https://www.iimedia.cn/c400/63737.html,2019-03-01.
[22]全國信息安全標委會.國家標準GB /T 35273-2017《信息安全技術 個人信息安全規(guī)范》[EB/OL].https://www.tc260.org.cn /front /postDetail.html?id=20180124211617,2018-12-11.
[23]鄒曉艷.用戶社交媒體的使用與隱私保護研究[D].濟南:山東師范大學,2018.
(責任編輯:孫國雷)