App隐私协议现状调查:规范化程度较低 侵权风险高

首页 / 业界 / 报告 /  正文
作者:西西
来源:安全419
发布于:4周前
打开一个新安装的App,首先弹出的便是“隐私协议”。长达数页的协议条文,是否在你的指尖匆匆划过不留痕迹?你是否并未点开内容,便已快速勾选“同意,我已阅读过这些条款”?但你可曾想过,从点击“同意”的那一刻起,你便开始了在信息洪流中的“裸奔”。

作为App平台收集、使用用户信息的第一道关口,隐私协议不仅是收集、使用个人信息服务的“说明书”,更应成为保障用户利益的“安全阀”。但从现实来看,App平台对用户的隐私保护状况并不乐观。


光明日报与武汉大学法学院、网络治理研究院组成联合调研组,对1036人进行问卷调查及深度访谈,并对15类150款App的隐私协议状况进行分析,就个人用户对App隐私协议的使用体验、App隐私协议对用户信息权益侵害的具体表现,以及背后的深层次原因等进行了深入调查,并就如何进一步完善平台监管、保护个人信息提出建议。

隐私协议规范化程度低、侵权风险高

调查发现,77.8%的用户在安装App时“很少或从未”阅读过隐私协议,69.69%的用户会忽略App隐私协议的更新提示。用户普遍对于App隐私协议重视程度不高,对个人信息权益的敏感程度较低。

App隐私协议规范化程度较低。调查中,43.53%的用户认为隐私协议文字过小、排版过密,难以阅读。在被调查的150款App中,近三成(46/150)App存在制造障碍、刻意隐藏和诱导用户略过隐私协议的行为,如字体颜色过浅、字号过小导致难以阅读;无法直接点击文本链接,需要取消默认同意才能跳转界面,等等。受访对象对于隐私协议的认可程度处于较低水平。

App针对个人信息隐私侵权现象普遍存在。调查中不少受访者都表示有过类似的困扰,各年龄段都有60%以上的用户遭遇垃圾短信与骚扰电话等威胁,这与不法App窃取用户信息并出售给中下游灰色产业链密不可分。部分App过度索取数据调用权限,窃取地理定位、通讯录等本不应获取的信息,并私自提供给第三方,中下游再对此加工处理,致使个人信息流向不良商家。

不规范的隐私协议可能造成哪些侵权

“不同意就退出”、无法有效撤回授权,侵害用户个人信息自主权。这种单一选择的“同意”成为毫无选择的形式之举。调查发现,否定选项不明显、点击“不同意”则强制退出等原因极大打击了用户认真阅读隐私协议的积极性。即使阅读后对协议内容有所质疑,也无法在“不同意”的基础上继续使用,这种毫无意义的所谓“选择”成为人们放弃阅读隐私协议的主要推手。

“同意”仅仅是丧失信息自主权的第一步。超过一半的用户表示,使用的App一旦同意隐私协议,就不允许撤销部分或者全部授权。调查的150款App隐私协议文本仅有52.7%允许用户撤回同意,且只允许通过注销账户来实现撤回,但注销账户非常困难甚至没有明确标注注销方式。

隐私协议内容模糊或欠缺的情况普遍存在,侵害了用户的知情同意权。平台运营商需对包括个人信息收集、系统权限申请、隐私协议更新/生效日期,以及隐私协议变更通知方式进行清晰告知。但调查中,对隐私协议中包含的专业名词(如个人敏感信息、常用设备信息、网络连接信息、明示同意、cookies)进行清晰解释的App仅占60.7%,很多将用途表述为“为保证正常使用”等含糊用语、覆盖不全、采用省略号等,这都对用户的理解造成了障碍。调查中,很多用户都认为,隐私协议充斥着大量专业法律术语,即使想读也读不懂,干脆直接放弃。

此外,当隐私协议的内容发生变更时,很多App没有标注协议更新的通知方式,用户无法及时得知内容是否有所更新。在所调研的美妆类App中,40%未标注更新情况,规范性较差。

使用目的模糊、超范围收集和过度使用,侵害用户隐私。一些App在搜集信息时使用兜底条款,存在“包括但不限于”“例如”“为XXX需要获得用户的其他信息”“相关信息等”等扩大表述或笼统表述。这些未明示用户个人信息收集、使用目的,且表述笼统的协议,都为侵害隐私提供巨大空间。

数据共享规范笼统,信息泄露风险高。由于业务开展需要,很多App会与多方实现信息共享协作,企业往往会要求用户同意将信息提供给第三方,用户的个人信息在多个App之间辗转、共享,信息泄露风险难以预料。据调查,App隐私协议中存在对第三方对象表述不明(常见表述为“关联公司”“可信赖的第三方合作伙伴”等)、共享目的表述不明、共享信息范围表述不明等情况,概括性表述使企业在数据共享层面享有较大自由空间。

哪些因素“纵容”隐私协议侵害个人信息安全

针对个人信息保护的立法,仍存在难点和空白。目前我国的个人信息保护体系尚处在发展阶段,存在规定笼统、细节缺位的情况。立法往往对个人信息进行同质化、不加区分的保护,忽略各类App的行业特点。例如,美妆类App和电商类App在收集利用个人信息的范围及方式上存在显著差异,美妆类会涉及一些面目特征等生物信息,电商类则会要求更多的个人资信、支付权限等。

同时,个人信息缺乏分级的“一揽子”授权亟待细化。在一家高校任教的王先生曾被一次性授权“欺骗”过,在一次开通某阅读App月度会员后,他发现每月都有资费扣除,多次检查发现是第一次开通时,界面下方难以发现、默认勾选的“自动续费”,以及开启了免密支付,导致他在不知情的情况下被多次扣费。目前的“知情同意”制度虽然贯穿信息收集、处理、利用的全过程,但一次性的完全授权在开始使用App时即已完成。调查的150款App隐私协议中仅有22款说明了请求用户二次授权的场景。

监管权责分配还需继续完善。App监管涉及多个部门,“九龙治水”的分散式监管导致交叉分工,引发重复监管和监管缺位。此前成立的一些App专项治理工作组,以定期发布违法违规App名单的方式通知企业下架整改,这种非持续性的“运动式治理”,审查模式耗时长、应对慢、力度弱。同时,针对此类专项治理的新闻宣传力度不足,用户不进行主动查询很难获知App治理结果和隐私风险。

此外,行政部门的技术水准落后于市场总体水平,难以满足当前监管需求。一些App技术专业壁垒较高,监管部门在履职过程中,不乏因技术能力不足而陷入窘境的情况,自身监管能力受限。

统一的行业规范与合规指南尚未形成。调查发现,App隐私协议尚未在技术规范、配套服务等方面形成统一、严格的行业标准。隐私政策的规范性不足、各大应用商店的审查制度差异以及个人信息泄露等问题长期存在。不同行业或同行业不同体量的企业受经济规模和合规能力影响,制定的隐私协议具有显著差异。在150款App中,处理较多敏感信息的移动金融类App,隐私协议较市场平均水平更加完善。这种实力差异也反映在行业标准制定过程中,行业巨头利用其影响力参与制定,中小企业话语权不足。随着App数量愈发扩张,一套普遍适用于App隐私政策合规审查的操作指南亟待形成。

商业利用和信息服务的矛盾困境。在武汉上学的陈女士曾浏览过某网贷App,之后连续几个月她在不同的App上收到海量网贷广告,“App推给我的网贷广告实在太多,一不留神越陷越深。”她在广告诱惑下在多平台借贷,不知不觉陷入网贷陷阱,损失巨大。个人信息已成为产业创新、市场竞争的新“黄金”,也成为诈骗活动、信息泄露、数据垄断的“快捷键”。

在调查的150款App中仅有3款隐私协议明确说明个性化算法关闭方式。购物车记录、信用信息、观影聊天、位置定位等线索全方位勾勒出每个人的喜好,如被自由摊开的书籍一览无余。催账短信一来,可能下一秒就收到借款方式短信;考试失败了,立刻给你介绍培训机构;想美白,你的手机马上将被美白产品信息铺满。
 
尤其是随着指纹、面部等生物认证信息被大量收集,一些行业企业在数据使用上超出个人授权进行技术开发、资源互换等操作。行业对于数据的高度依赖与公众对于基础服务和个人信息安全的基本需求存在矛盾。仅仅依赖企业自律,难以突破商业利用和隐私泄露之间的困局。

隐私协议治理体系需综合提升

从政府综合治理、互联网平台义务与用户信息主体权利的三重层次,构建App个人信息合理使用与保护的制度框架。应完善相关法规,设置专门监管机构。此前,有关部门已表示,将在充分吸收社会各界意见的基础上,发布实施《移动互联网应用程序个人信息保护管理的暂行规定》。从展现方式、企业权责等方面对App隐私协议文本进行统一详细的规定,进一步构建实操性强的合规审查指南,或将为隐私协议的困局开辟突破口。

平台方要把落实运营者的提示义务,改进隐私保护技术提上日程。具体而言,首先,应在隐私协议中对个人信息保护做出明示。其次,在修改或终止服务条款或免除责任时,必须通过合理的方式提示用户,运用隐私强化技术将实质性隐私保护融入企业运营。再者,在用户体验方面,落实“知情同意”原则,健全选择机制,设置合理的同意和退出机制。应充分保障用户主体地位,用户对于App提出的信息收集等请求应享有拒绝的权利,用户拒绝授权后,App应继续提供其他基本服务功能,不得设置“不同意就退出”的捆绑授权方式,强迫用户同意所有的请求。对不同敏感程度的个人信息进行分级,不同级别信息获取授权的次数、时间、方式等应进行差异化设计。

完善个人信息保护专门立法和市场监管规则,以设立专项专章保护弱势群体、增添新型数据权利等方式,推动构建新型个人信息保护与数据安全制度。受限于认知水平等原因,老年人、未成年人的个人信息更容易遭受不规范隐私协议的侵害,需要加强立法保护。对于14岁以下未成年人的个人信息处理,个人信息保护法草案已经规定适用“未成年人+父母”双重同意原则。同时,也应对老年人等弱势群体设置类似的倾斜保护制度,以强化对于特定用户的保护。业内学者认为,立法应与民法典有关规定相衔接,明确在个人信息处理活动中的各类新型数据权利,包括知情权、查询权、更正权、删除权等,并建立个人行使权利的申请受理和处理机制。

制定App隐私协议指南,为企业、个人和市场监管者提供操作指引。该指南应规定不同情境下隐私协议遵守的各项规范,既可为执法者进行审查监管提供科学的依据,也可为App开发者与运营商提供明晰可靠的参考,帮助企业降低信息合规成本,快速对标国家、行业安全规范。个人也能依照该指南对隐私协议存在的潜在侵权风险进行判断,增强信息安全的自我保护意识,有利于监管机构、企业与个人的良性互动。