移动APP隐私条款可获得性及内容分析研究
2020-07-09徐雷徐润婕
徐雷 徐润婕
摘 要:[目的/意义]互联网企业收集与使用大量用户信息,用户隐私泄露与信息侵权的现象频频发生。分析移动APP的隐私条款,从政府、企业、用户层面提出建议,将进一步保障个人信息安全。[方法/过程]本文以国内热门APP的隱私条款为研究对象,通过内容分析法,从隐私条款的可获得性及内容两个维度进行研究。[结果/结论]目前移动APP隐私条款在可获得性以及内容制定上仍存在不足,政府应持续保障相关法律的有效实施,企业要提升保护用户隐私的主动性,规范与创新隐私保护方法,用户要善用谋求其合法权益的反馈途径。
关键词:移动APP;隐私条款;可获得性;内容分析
DOI:10.3969/j.issn.1008-0821.2020.07.009
〔中图分类号〕G202 〔文献标识码〕A 〔文章编号〕1008-0821(2020)07-0082-10
Research on Accessibility and Content Analysis of
Privacy Policies of Chinese Mobile Apps
Xu Lei Xu Runjie
(School of Information Management,Wuhan University,Wuhan 430072,China)
Abstract:[Purpose/Significance]Internet companies collect and use amounts of user information,and the leakage of user privacy and the infringement of information occur frequently.Analyzing the privacy policies of mobile apps and making recommendations from the government,enterprise,and user levels will further protect the security of personal information.[Method/Process]This paper took the privacy policies of domestic popular Apps as research object.Through content analysis,the availability and content dimensions of privacy policies were explored.[Result/Conclusion]The accessibility and content completeness of Apps were still not perfect.Government should continue to ensure the effective implementation of relevant laws.Enterprises should improve their initiative to protect user privacy,standardize and innovate the methods of privacy protection.Users should make good use of feedback channels and actively seek for legitimate rights and interests.
Key words:mobile APP;privacy policy;accessibility;content analysis
中国互联网络信息中心(CNNIC)发布的第44次《中国互联网络发展状况统计报告》指出,截至2019年6月,我国网民规模达8.54亿,其中手机网民规模达8.47亿,网民使用手机上网的比例达99.1%,手机上网已成为人们最常用的上网渠道[1]。移动APP的使用频率迅速增长,在带来便利的同时,也给用户隐私保护带来挑战。艾媒咨询发布的《2018中国手机APP隐私权限测评报告》表示,网购、社交、理财类APP涉及用户日常生活各方面,对部分信息的读取涉及疑似越界的行为,在读取联系人信息方面较严重[2]。南都智库发布的《2018年度常用APP隐私政策透明度排行榜》中表示,逾7成的APP隐私政策透明度不合格,甚至有盗用别家隐私政策的现象[3]。隐私泄露普遍存在,2018年中国消费者协会发布的《APP个人信息泄露情况调查报告》显示,受访者中曾因信息泄露而被骚扰或侵害的人数占比高达85.2%,隐私安全受到广泛关注[4]。互联网企业通常通过制定和发布隐私条款等政策文件来规范其对用户信息获取的合法性,以及保障用户的相关信息权益。
本文通过收集社交、电商、金融理财、健康医疗4类和大众生活密切联系的移动APP隐私条款,综合运用数据和内容分析法,分析这些隐私条款的可获得性及条款内容,梳理目前移动APP隐私条款的内容类型、不同领域APP隐私条款的差异以及目前隐私条款在使用和保护用户隐私方面存在的问题,并针对性地提出建议。
1 相关研究
随着移动互联网中隐私安全问题的大量出现,移动APP隐私问题逐渐被学者关注。用户隐私是指用户不愿为他人公开或悉知的个人信息,包括个人日记、照相簿、财产状况、生活及通讯秘密等[5]。目前,保护用户隐私的法规,主要分布在《民法总则》《侵权责任法》《网络安全法》等法律法规文件中,这些文件明确规定了企业保障用户信息及网络数据免遭非授权访问、使用、篡改、毁坏等的安全保护义务,以及用户依照自身意愿管理个人信息的隐私权益。
具体到移动APP上,其隐私保护存在较大困难。一方面,互联网企业掌握的用户信息越多,越能深入了解用户需求以挖掘巨大的经济价值和社会价值。然而,用户尚未充分认识隐私的价值,缺乏足够的隐私保护意识;另一方面,技术漏洞使隐私安全面临巨大威脅[6]。个人隐私缺乏有效保护,导致数据滥用、盗用等问题更加突出[7]。为了消除隐私安全担忧,互联网企业常制定相关隐私条款(或称隐私保护协议、隐私声明)[8],隐私条款是指网络运营者对其所开展的收集、保存、使用、共享、转让等个人信息处理行为的说明[9]。对企业而言,隐私条款既能履行告知义务,又能约束自身行为和配合监督管理[10];对用户而言,隐私条款是隐私保护的重要途径和法律维权的重要保障[11]。然而,徐敬宏[12]发现,部分隐私条款成为了“引诱”网民“主动”提供个人信息的“诱饵”。任怡林[13]、秦克飞[14]、付少雄等[15]学者发现,多数隐私条款的细节存在缺陷,阅读和理解难度大,未成年人信息保护环节薄弱,甚至还存在霸王条款。孟霞等[10]也认为,隐私保护虽有条款约束,但规范程度仍需提升,实施效果并不理想。唐远清等[16]、范昊等[17]学者对比国内外典型的社交媒体发现,二者均存在隐私漏洞,国内大量社交媒体隐私条款虽覆盖面广,但未突出自身产品与服务特点。刘娇等[18]通过分析55个中文和20个英文移动APP隐私条款认为,从总体上看,国内隐私保护在执行、监管和效果评估等方面都与发达国家存在差距。
通过对目前研究内容的梳理发现,用户对隐私信息的感知力度仍不够,隐私信息的协商处理机制单一已是基本共识。在研究层面,大多数研究聚焦于同类别APP之间的对比,在研究内容上主要分析隐私条款所涉主题,深入文本内部的内容分析以及文本外部的可获得性研究较少。本文通过收集国内热门APP的隐私条款,进行了关于隐私条款文本的内容分析及其可获得性的研究。
2 数据收集
热门的APP在一定程度上可以反映国民的移动APP使用习惯,本文根据《互联网周刊》、eNet研究院共同评选的《2018年度APP分类排行榜》[19]、艾媒咨询发布的《2018中国APP年度指数榜单》[20]和《2019年中国移动社交行业研究报告》[21],筛选出综合热度排名靠前并属于社交、电商、金融理财、健康医疗4种类型的APP共计71个,其中社交应用33个、移动电商13个、金融理财15个、健康医疗10个。具体隐私条款情况如表1所示,其中具有独立隐私条款的APP共计55个,隐私条款内容包含在其他协议条款中的APP共计16个。隐私条款通常可以从APP的不同入口获取,其名称常含有“隐私”字样,具体命名以“隐私政策”“隐私条款”“隐私保护政策”等较为常见。
在移动设备上.载安装每一个APP,注册并登录,在APP的登录界面或“设置”功能等位置点击或搜索以获取隐私条款内容,同时记录此过程中的用户操作,如点击次数、勾选、点击路径、隐私条款所在界面截图等。若APP存在多个应用条款,则只获取隐私条款。本文根据《个人信息安全规范》[22]中标准化隐私条款的规定,对隐私条款内容进行了类型标注。
3 隐私条款可获得性
隐私条款的可获得性是指用户获得、查看、理解有效的隐私条款的便利程度,是用户阅读、理解和评价隐私条款内容的前提和基础,反映隐私条款的外部特征。本文从隐私条款的获取途径、可读性、更新3个方面,来衡量隐私条款的可获得性。隐私条款的获取途径反映获取的难易程度,可读性反映用户对文本的理解程度,更新频率反映用户获得内容的时效性。
3.1 隐私条款的获取途径
具有独立隐私条款的55个APP中,条款内容均可直接在APP中查看,但文本内容的复制、.载与保存却存在差异。一般而言,互联网上的文本要比文本图片更容易被检索到,具有分享链接的文本更容易传播,具备这些特性的隐私条款一般更能反映企业对用户信息权益的重视。旺信、唯品会、饿了么、360借条、同花顺、东方财富、京东金融、美柚、薄荷健康可查看隐私条款内容但不能直接复制文本文字,唯品会、苏宁易购、美团提供隐私条款文本的直接.载功能,饿了么可将隐私条款文本分享给他人。
隐私条款的位置主要在APP的登录或注册界面以及“设置”等相关功能里。表2通过获取隐私条款内容所需点击次数、条款内容是否自动显示、是否有默认同意条款内容的选项几个方面来衡量隐私条款文本的获取难易程度。
隐私条款获取界面和获取途径的便捷性与多样性,影响用户对隐私条款的关注度。根据统计,绝大部分APP都提供在登录界面(72.7%)以及“设置”等相关功能界面(83.6%)显示隐私条款的获取路径。67.3%获取隐私条款内容的用户点击次数为4步,大致路径为:“首页—个人中心—设置—关于—隐私条款”。该路径包含的内容充实、层次清晰,但点击入口往往需要滑动至界面底部。3步是最低点击次数,如唯品会、中国工商银行等,5步是最高点击次数,如小红书、美团等,但后两种情况的APP较少。安装APP时自动弹出并显示隐私条款内容,是为用户呈现隐私条款的高效方式,但首次打开时自动显示条款内容的方式的采纳率仅为38.2%,其中移动电商类的采纳率最高,占该类别的66.7%,社交应用类最低,占该类别的20%。由于目前互联网产品更加注重用户体验,提升用户在图形操作界面以及使用过程中的体验一定程度上可以吸引更多的用户,并为企业带来可观的流量,因此采用自动显示条款的呈现方式可能并不是一种好的用户体验方式,尤其在需要频繁互动的社交应用中这种呈现方式更少。而在电商APP中,企业利用用户网络行为数据进行智能化功能设计的场景更多,这类数据的合理收集与使用涉及的条款约束相应就多,且涉及更多敏感的财物信息,因此有必要通过自动显示条款的方式来吸引用户关注。用户能否决定是否同意(勾选)隐私条款可反映该APP隐私保护的用户参与度。为了优化用户体验,减少用户操作,一些APP采用了“登录/注册即表示同意”的方式,但这无形之中让用户忽视了隐私条款的存在,具有存在霸王条款的嫌疑,主要为社交应用和健康医疗类APP。采取“默认选择同意”的方式相对上一种方式而言,提供了用户选择是否同意隐私条款的机会,默认为用户同意状态,但若选择不同意,则一般不能继续使用该APP。而“默认未选择”的方式,相对上一种方式而言,用户需要自主点击“同意”方可进行.一步操作,这强化了用户对存在隐私条款的感知,反映这类APP对用户隐私的重视,主要为移动电商和金融理财类APP。
3.2 隐私条款的可读性
一般而言,不同类别APP隐私条款的字数能在一定程度上反映该类APP涉及的隐私数据量,字数越多,则涉及的隐私数据量可能越大。同类型APP隐私条款的字数差异能够体现该条款内容全面性和详细程度,字数越多则隐私条款的约束就越详尽,内容的可操作性就越强,但这也会影响用户对条款内容的阅读兴趣。目前收集的全部隐私条款内容的平均字数为11 002字,移动电商类平均字数最多,为15 464字,金融理财类平均字数为8 795字,健康医疗类平均字数为8 705字,社交应用类平均字数最少,为7 176字。从上面的数字可知,移动电商场景.,涉及的用户隐私数据更多,这类APP的功能一般更为综合。金融理财和健康医疗类的各个APP的服务界限更清晰,涉及的隐私数据较集中,如主打保险服务的太平洋保险和主打孕育服务的妈妈网孕育。社交应用注重核心的社交功能,隐私数据更集中,因此在隐私条款字数上存在上述差异。在同类型的隐私条款中,爱奇艺泡泡的字数达20 470字,内容详尽,但不易快速理解;秘蜂的字数仅1 057字,条款仅包含信息公开披露问题,表述过于简略。
隐私条款是否有目录、是否标注重点内容等特殊化处理影响用户对隐私条款的阅读效率。统计发现,健康医疗类的隐私信息类型和处理方式较单一,条款内容分类较少,多数条款无目录,其余类别有目录的隐私条款均超过60%。目录多由一级标题组成,采用列举方式呈现在具体内容之前。55个隐私条款内容均有重点标注,标注内容多为条款中涉及的重要隐私数据和主要信息处理行为,以及部分内容标题,标注形式多采用加粗、.划线等方式,其中对标题和具体内容都进行标注的有74.5%,移动电商类APP全部采用了这种标注方式。
隐私条款中包含众多专业术语,诸如应用数据缓存、服务器日志、IMEI信息等,但其阅读群体多为非专业的用户,因此专业名词解释能极大地减少阅读障碍。根据分析,仅8%的社交应用有此内容,金融理财类有名词解释的隐私条款占比最大,也仅为30%。社交应用的用户使用门槛低,不需要太多的专门知识,而金融理财类APP中,则涉及较多专业词汇,诸如身份要素、匿名化等术语。
3.3 隐私条款的更新
隐私条款会随时间和用户需求变化等因素进行调整和更新。从条款更新时间和生效时间的先后顺序看,57.2%的隐私条款的生效时间未处于更新时间之后,即阅读者无法在发布的新版本条款生效前提出意见和建议。健康医疗类和社交应用类未说明更新与生效时间的、未在生效前发布的隐私条款占比分别为75%和68%,但仅有社交应用中的易信、豆瓣、知乎这3个APP中提供了历史版本隐私条款,对用户理解条款变化具有一定作用。
隐私条款的更新与生效时间直接体现其内容是否顺应时间变化。根据统计,各类APP中均存在不公布更新与生效时间的条款,健康医疗类未公布的高达50%。在显示更新时间的隐私条款中,大部分更新时间为2018年,在2019年的占比也较大。仅4%的社交应用隐私条款更新时间在2017年,为统计数据中的最早时间。绝大部分隐私条款的更新时间在近一两年,符合当前互联网快速发展的现实情况。
用户是隐私条款的直接利益主体,需要对条款内容及其更新保持关注,条款更新提醒对用户关注条款具有明显的促进作用。值得一提,仅少量隐私条款未说明是否有提醒,主要为社交应用和移动电商类APP,均不超过其类别的20%,绝大多数隐私条款更新将通知到用户,健康医疗类比例高达100%。
4 隐私条款内容分析
隐私条款的可获得性越强,用户就越能感知到隐私条款的存在,在此基础上,用户查看、理解和评价隐私条款内容,才能充分发挥隐私条款的作用。同时,综合分析隐私条款的外部特征和隐私条款内容的全面性、完整性和规范性等内部特征,是客观评价互联网企业对用户隐私保护态度和行为的必要依据。
以现有隐私条款为研究对象,本文根据《个人信息安全规范》[22]中关于标准化隐私条款的规定,对隐私条款内容进行标注,并以此确定内容分析的维度。根据统计数据对不同类型的隐私条款内容进行分类与比较,总结各类隐私条款制定的思维逻辑及差异,关注和阐释隐私条款中的特殊措辞与表达。重点关注隐私条款的内容全面性、用户隐私数据类型及隐私信息处理手段。
4.1 隱私条款内容分类
《个人信息安全规范》[22]明确强调隐私条款在开展收集、保存、使用、共享、转让、公开披露六方面的信息处理规范,规定隐私条款应包含如.内容:①如何收集和使用个人信息;②如何使用Cookie和同类技术;③如何共享、转让、公开披露个人信息;④如何保护个人信息;⑤用户权利;⑥如何处理儿童个人信息;⑦个人信息如何在全球范围转移;⑧政策如何更新;⑨如何联系我们。将以上规定的隐私条款大纲与各类型APP隐私条款内容进行对比,计算出符合相应规范的隐私条款占所在类型的比例,结果如图1所示。
由图1可知,包含“如何使用Cookie和同类技术”内容的隐私条款较少,大部分为移动电商类APP,这类APP通过使用这类技术,可丰富用户画像,以提供个性化商品推荐等服务;有“个人信息如何在全球范围转移”内容的隐私条款明显
较少,除移动电商类占所在类别比例超过50%,其余均在40%以.,统计发现,涉及此类条款内容的APP一般都具有海外市场;“如何收集和使用个人信息”“政策如何更新”“如何联系我们”的拥有比例超过80%,且在各类别分布平均,说明该类信息在各类APP中普遍存在。
从各类型的隐私条款内容来看,移动电商类除“个人信息如何在全球范围转移”和“政策如何更新”,其余内容均全部包含,好于其他类别。健康医疗类的内容分布较分散,“如何收集和使用信息”“如何处理儿童个人信息”和“政策如何更新”拥有量为100%,但“如何使用Cookie和同类技术”及“用户权利”拥有量较其他类别最少。社交应用和金融理财类的各内容种类拥有量相似,总体上不及前两种类别。此外,Blued的用户和服务私密度高,因此其隐私条款中包含“全公司对你隐私的承诺”,以提升产品和服务的可信度。美柚收集的某些个人信息因其特殊性可能被认为是个人敏感信息,例如种族、个人健康和医疗信息等,在其隐私条款中重点提示了个人敏感信息问题。
4.2 隐私数据类型及用途
《个人信息安全规范》中对个人敏感信息进行了明确定义:一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息[22]。主要包括财产信息、健康生理信息、生物识别信息和网络身份标识信息等。本文将隐私条款中涉及的个人信息分为如.类别:①个人信息(姓名、生日、性别、住址、电话号码等基本信息,及身份证、护照等身份信息);②个人常用设备信息(包括硬件型号、设备MAC地址、操作系统类型、软件列表唯一设备识别码等);③位置信息(行程信息、精准定位信息、住宿信息、经纬度等);④个人上网记录(网站浏览记录、搜索记录、软件使用记录、点击记录等);⑤网络身份标识信息(系统账号、IP地址、邮箱地址等);⑥通讯录;⑦生物识别信息(指纹、人脸、语音数据等);⑧财产信息(支付账号、交易和消费记录等);⑨征信信息(还款信息、贷款信息、消费信息等);⑩健康生理信息(心率、血压、步数等)。图2给出了各类型APP的隐私数据收集情况。
在55个APP中,账号注册时用户提供的个人信息,成为最多APP收集的数据类型,其中常见手机号码、电子邮箱等。设备信息与优化产品体验息息相关,成为各类APP收集的又一重点。位置信息、个人上网记录、网络身份标识信息、通讯录是掌握用户习惯的重要信息,被大量APP收集。其中,社交应用类重点收集个人上网记录,移动电商重点收集网络身份标识信息,金融理财则偏向收集财产信息、生物识别信息和征信信息,健康医疗类偏向收集健康生理信息,可见,个人敏感信息也被大量收集。各类APP收集用户的隐私数据,一般出于以.目的:1)实名制等规定的强制性要求。各类APP目前基本都需要实名制,用户必须提供如手机号甚至身份证号等信息,如果不提供则不能使用该APP;2)为了满足某些功能的需要。
比如,收集财产信息和征信信息,以便提供可靠的借贷及保险服务,收集健康生理信息,以通过分析健康数据给用户提供健康服务,收集设备信息以提供优化网络的服务,收集语音数据以提供语音交互服务,收集用户搜索、购买等数据以提供个性化推荐服务,收集银行账号信息以完成支付功能等。如果不收集或用户不同意收集则用户可能不能使用相应功能;3)保障账户安全。这类信息主要是设备信息、位置信息和生物识别信息,用于检测APP异常登录和账号风险,提高账号的安全性;4)在特殊情况.,收集和使用可不经过用户同意的信息。比如,该信息与国家安全和重大公共利益直接相关的,或出于维护用户重大合法权益但又很难得到本人同意的,以及从合法公开渠道获取的信息。
4.3 隐私信息的处理
4.3.1 信息存储
通过分析,各类APP在信息存储的规范上差异不大。有45个(81.8%)隐私条款说明了数据存储的地点,其中的72.7%明确说明数据存储地点为中国境内,其余表示会在境外设备上存储或存储在公司服务器上。43个(78.2%)隐私条款中说明了数据存储的期限,豆瓣、网易考拉、360借条明确说明数据保存的具体时限,其中,360借条表示将永久保存用户个人信息和业务数据。20%表示存储期限符合法律规定的期限,这其中常见有“合理必要期限内”“为实现目的所必需的时间”“保留一段时间”等模糊性表述。47.3%的APP在数据转移时会确保接收方有充足的保护能力或采取保密措施,其中,领英指出接收方所在地可能因法律而出现保护力度不足的情形,但并未说明有相关措施。27.27%的APP在进行数据跨境传输时会征求用户同意,这其中社交应用占比最低,为24%。
4.3.2 信息共享、转让和公开披露
有44个(80%)隐私条款对信息的共享进行了说明,微信和丁香园明确表示未经用户同意不会与集团或协议以外的第三方共享。其余APP均列举了例外情况,常见有:1)共享行为符合法律法规规定,或行政、司法机关的合法要求;2)与关联公司或授权合作伙伴共享必要信息以提供相关商品和服务;3)协助争端处理和维护用户、公司和社会的合法权益免遭损害。49.1%的APP明確说明,只与接收方共享与特定目的有关的信息,且接收方无权将个人信息用于其他用途。60%的APP表示在与第三方共享信息时会签订保密协议或采取保密和安全措施。25.5%的APP规定第三方会对个人敏感信息加密或匿名处理。
有41个(74.5%)隐私条款对信息的转让和出售进行了说明,社交应用占比最低。其中70.7%列举说明了可能转让或出售的情形,主要有:1)获得用户明确同意;2)根据法律法规、法律程序要求或行政、司法要求的必要提供;3)公司进行合并、收购、破产清算和类似的交易时,个人信息作为交易的一部分而被转移。16.4%表示在涉及合并、收购或破产清算时转让信息会告知用户。65.5%表示会要求新持有者继续受原规定或不低于原规定的要求来保护信息,若保护规定变化,14.5%会再次征求用户同意。
有45个(81.8%)隐私条款对信息的公开披露进行了说明,社交应用占72%,位居末位。公开披露目的常见有:1)获得用户明确同意或用户主动公开;2)与国家与社会安全、公众利益等有关的披露;3)从合法公开的披露信息中收集的个人信息的披露。仅东方财富、随手记、蚂蚁财富3个APP对委托处理个人信息进行了说明,并表示会对受托公司采取保密措施,且对此承诺负责。信息共享、转让和公开披露的第三方可能并非位于用户所在法域,但仅10.9%对此进行了说明。
4.3.3 信息保护
对个人信息保护进行阐述的隐私条款达53个(96.4%),信息保护是信息处理的重要环节。信息保护主要从1)技术;2)制度规范;3)对相关人员的保密义务、培训与惩罚规定等;4)存储载体安全和安全存储措施;5)权威机构颁发或认可的信息保护资质认证;6)对互联网环境的正确认识和说明;7)信息泄露事件的应急预案制定与具体措施;8)安全事件责任8个方面进行规范。
85.5%的APP会通过网络安全行为的技术措施提供信息安全保障,63.6%设立了数据安全管理与保护机制来规范行为,如访问控制机制、数据分类分级制度、数据安全管理规范等。67.3%会对相关人员进行培训、考核或赋予保密义务,其中有16.4%表示若相关人员违反保密义务,将获得处罚。仅米聊、蘑菇街提到了信息存储的载体安全保护。为了证明信息保护有效性,23.6%提供了所获的权威认证,其中有14.5%获得了ISO认证,20%获得了公安部安全等级认证,获得认证最多的是微信和钉钉。然而,互联网的安全性并不能完全通过这些手段予以保证,69.1%强调了非绝对安全的互联网环境,移动电商最为突出。72.7%说明了发生信息安全事件后的应急预案。若因物理、技术、或管理防护设施遭到破坏而引起安全事件,38.2%对其责任进行了规定,其中除糗事百科、珍爱网、趣约会有免责要求外,其余均表示会承担相关的法律责任。从信息保护的内容全面性看,仅移动电商类全部有信息保护的全面表述,明显多于其他类别。
4.3.4 对未成年人使用的说明
用户主体特性,尤其是用户是否为未成年人必须引起重视。仅秘蜂、领英、360借条、中国银行手机银行、同花顺5个APP的隐私条款未对未成年人进行特别规定。但其余(90.9%)对未成年人的年龄规定不一,其中有38.2%仅称为“未成年人”,41.8%规定为未满18岁的未成年人,百度贴吧把年龄界限视为14岁,豆瓣界定为16岁,Blued、玩吧、Keep则会“考虑适用的法律以及各国家和地区的文化惯例”。Blued、世纪佳缘、趣约会、珍爱网表示“未成年人不得使用本服务”,其余并未说明。若未能识别未成年人身份而因此受到损害的,趣约会和珍爱网表示不承担任何责任。其中,仅有Blued启用AI人脸识别用户注册系统,以实际行动防止未成年人注册和使用。这也意味着,目前大部分APP存在被未成年使用的风险。
4.3.5 用户权利
用户权利是反映用户对信息控制程度的重要因素。48个(87.3%)隐私条款对用户权利进行了描述,多数APP说明了用户改变授权范围、注销账号、访问、修改、删除个人信息等权利。33个(60%)隐私条款说明了用户注销账号后数据的处理方式,仅45.5%的用户明确表示会立即或经过一段时间后删除或匿名化个人信息,其中的领英、爱奇艺泡泡分别规定了删除数据的期限为30天、60天,360借条的时间长达5年,Keep采用的“过一段时间”则具有不确定性。易信、东方财富、太平洋保险、随手记、蚂蚁财富、丁香园仅表示会在“合法时间内”继续保存。其余APP对具体处理方式并无说明。
4.3.6 用户反馈
联系方式的提供和反馈处理人员的设立体现用户反馈的便捷性和有效性。但只有16个(29.1%)隐私条款公布了公司所在地址,15个(27.3%)隐私条款设立了个人信息保护专职人员或部门。旺信、秘蜂、玩吧、中国银行手机银行、咕咚5个隐私条款中未提供联系方式,其余均提供了公司联系方式,多为电话号码、电子邮箱。从数量上看,四类隐私条款提供的联系方式平均数量均不低于2种。从效率上看,有65.5%的户用说明了回复时限,转转在“合理时间内回复”,其余平均回复时长最长为健康医疗类27天,最短为金融理财类20天。此外,大多数APP的用户可通过“设置”中的“反馈”功能提交反馈,但仍无法得到即时回复。从整体回复时长上看,虽然目前大部分APP都提供了便于用户反馈的渠道,但得到及时回复的效率并不高。
5 结论与建议
5.1 结 论
5.1.1 政策发挥了指引性作用,信息的收集与处理手段仍需规范完善
直接对隐私条款起规制作用的《个人信息安全规范》于2017年12月29日正式发布,2018年5月1日实施。自该规范实施以来,尤其在2018年,许多互联网企业对隐私条款进行了更新,如《微信隐私保护指引》。与其他未更新的隐私条款相比较,这些条款内容更加规范和完整。移动APP的隐私条款基本遵循规范,突出标记重点内容并围绕内容的收集、保存、使用、共享、转让、公开披露等方面展开。但仍存在一些APP的隐私条款内容在全面性,及在条款细节上不完善,比如信息收集的方式、信息的保存时限、信息安全事故的责任划分等规范比较缺乏,同时存在模糊表述的情况。另外,一些APP,如Blued、咕咚,存在盲目追求内容框架的条款而忽略对其实质内容的描述。
5.1.2 隐私条款的可获得性不强,缺乏提高用户参与度的主动性
用户的“霍布森选择”情况严重,使用网络产品即表示同意其隐私政策,即便用户认识到自己在隐私协议中被动地位,也不得不妥协于产品服务的需求,选择同意隐私条款[10]。查看隐私条款大多需要注册并登录帐号,获取路径较复杂,条款的可获得性不足。大量条款文本有目录和重要标识,有助于用户快速了解条款内容,形成初步认识。但是条款中包含大量专业术语,仅少量条款进行了解释,不利于用户深入理解条款内容,内容可获得性较缺乏。隐私条款的更新时间集中在近两年,顺应了互联网快速发展的时代趋势,但仍有不少APP并未提供条款更新时间。绝大部分條款的更新信息会通过邮件、公告等多种方式通知到用户,以维护用户知情权,但多数新版本条款的更新时间和发布时间相同,即用户无法在新条款生效前提出意见和建议,新条款无法充分体现用户诉求,且普遍缺乏即时反馈用户信息诉求的途径,用户参与程度有待提高。
5.1.3 存在数据处理以及未成年人使用的风险
基本所有APP都明确规定了其获取的隐私数据类型,但对这些数据的用途仍有不少APP并未明确,用户个人对隐私数据的处理方式和方法存在说明不足的现象,同时绝大部分APP并不具备经认证的保护用户数据的技术手段,存在一定的数据滥用和数据处理风险。隐私条款中大多将未成年人的年龄界定为18岁以.,大部分APP对未成年人使用产品或服务进行条款约束,符合我国当前的法律精神,但这并不意味着排除了未成年人的使用风险,实践中仍然缺乏防止未成年人注册和使用产品和服务手段。
5.2 建 议
5.2.1 企业提升条款质量,增强条款可获得性与可读性,重视用户参与
隐私条款的质量可反映企业服务质量,企业要秉承用户至上的服务理念,让用户便捷地获取隐私条款,并主动了解和参与条款设计及隐私保护。在条款内容上,基于政策提供的基本框架,制定和完善符合企业定位、产品特点、用户特征等的条款内容;在条款表达上,减少复杂语句和不必要的专业术语,避免模糊性表述,必要时提供名词解释;在执行上,完善信息安全审查工作,杜绝额外搜集隐私数据、数据使用目的不明等情形,及时告知用户条款变更、措施执行等情况;在用户参与上,与用户建立协调机制,提高隐私条款透明度,采取授权与可使用功能分级对应的方式为用户提供服务,通过技术手段解决未成年人不合理使用APP以及隐私信息滥用等问题。
5.2.2 用户提升信息安全素养,善用反馈途径
用户是隐私条款最直接的利害相关者,而在2018年学者邹晓艳的调查报告中指出,近一半的社交应用用户从未阅读过隐私条款,大量用户未对其进行深度解读,表明用户缺乏对隐私安全保护的关注和重视[23]。企业对用户信息的处理的合法化以“授权”为前提,而隐私条款正是对授权的条件和后果的说明。用户要密切关注隐私条款的内容,提升个人信息安全意识,警惕使用APP过程中涉及隐私数据的操作,降低信息泄露风险;针对企业的不合理行为,用户要善用合法的反馈渠道,主动保护个人信息安全。
5.2.3 引入审查和效果评估机制,加强法律法规规制
针对隐私范围逐渐扩展的现状,将应用程序安全性纳入审核范围,将合格的隐私条款作为APP发行的必要条件。法律是保护用户权利的有力武器,国家要结合《网络安全法》《民法总则》等现有法律,及时弥补网络环境.隐私保护的法律缺口,进一步明确违规使用隐私数据的情况,并设立行业组织和相关机构作为保障,为隐私保护提供充分的法律依据。实践中,企业对隐私条款有更多的执行权力,应设立隐私条款规范的执行与监督机制,最大可能地杜绝出现各类隐私信息风险。
参考文献
[1]CNNIC.第44次中国互联网络发展状况统计报告[EB/OL].http://www.cnnic.net.cn/hlwfzyj/hlwxzbg/hlwtjbg/201908/t20190830_70800.htm,2019-08.
[2]艾媒前沿科技产业研究中心.2018中国手机APP隐私权限测评报告[EB/OL].https://www.iimedia.cn/c400/61251.html,2018-04-28.
[3]南都智库.2018 年度常用APP隐私政策透明度排行榜[EB/OL].http://www.cnki.com.cn/Article/CJFDTotal-CINS201901042.htm,2018-12.
[4]中国消费者协会.APP个人信息泄露情况调查报告[EB/OL].http://www.cca.org.cn/jmxf/detail/28180.html,2018-08-29.
[5]彭万林.民法学[M].北京:中国政法大学出版社,1997:201.
[6]张梦秋.从APP使用角度对用户隐私安全的思考[J].电子世界,2019,(11):82-83.
[7]姚前.数据隐私保护新思路:从依赖他方到自主可控[J].中国信息安全,2019,(1):104-107.
[8]申琦.我国网站隐私保护政策研究:基于49家网站的内容分析[J].新闻大学,2015,(4):43-50,85.
[9]洪延青.网络运营者隐私条款的多角色平衡和创新[J].中国信息安全,2017,(9):46-49.
[10]孟霞,岳鹏宇.移动终端APP隐私政策内容分析[J].山西师大学报:社会科学版,2018,45(6):47-54.
[11]刘百灵,万璐璐,李延晖.网络环境.基于隐私政策的隐私保护研究综述[J].情报理论与实践,2016,39(9):134-139.
[12]徐敬宏.网站隐私声明的真实功能考察——对五家网站隐私声明的文本分析[J].当代传播,2008,(6):67-70.
[13]任怡林.移动App隐私保护政策分析与对策研究[J].青年记者,2019,(20):93-94.
[14]秦克飞.手机APP隐私政策的可读性研究[J].情报探索,2019,(1):18-23.
[15]付少雄,赵安琪.健康APP用户隐私保护政策调查分析——以《信息安全技术 个人信息安全规范》为框架[J].图书馆论坛,2019,39(12):109-118.
[16]唐远清,赖星星.社交媒体隐私政策文本研究——基于Facebook与微信的对比分析[J].新闻与写作,2018,(8):31-37.
[17]范昊,王贺,付少雄,等.国内外社交媒体个人信息保护政策研究及启示[J].现代情报,2019,39(10):136-144.
[18]刘娇,白净.中外移动APP用户隐私保护文本比较研究[J].汕头大学学报:人文社会科学版,2017,33(3):82-87.
[19]互联网周刊,eNet研究院.2018年度APP分类排行榜[EB/OL].http://enet.com.cn/article/2019/0108/A20190108058883.html,2019-01.
[20]艾媒前沿科技產业研究中心.2018中国APP年度指数榜单[EB/OL].https://www.iimedia.cn/c900/62883.html,2018-11.
[21]艾媒前沿科技产业研究中心.2019年中国移动社交行业研究报告[EB/OL].https://www.iimedia.cn/c400/63737.html,2019-03-01.
[22]全国信息安全标委会.国家标准GB /T 35273-2017《信息安全技术 个人信息安全规范》[EB/OL].https://www.tc260.org.cn /front /postDetail.html?id=20180124211617,2018-12-11.
[23]邹晓艳.用户社交媒体的使用与隐私保护研究[D].济南:山东师范大学,2018.
(责任编辑:孙国雷)