大数据时代隐私协议中个人信息的保护进路<br/>——以互联网分层为视角

大数据时代隐私协议中个人信息的保护进路
——以互联网分层为视角

2020-12-28李鑫

苏州大学学报（哲学社会科学版） 2020年3期

李鑫

(青岛科技大学法学院，山东青岛 266061)

一、问题的提出

自20世纪中叶以降，随着电子科技和互联网技术的发展，人类进入“信息时代”。如今，互联网用户可以在任何时间、任何地点通过不同的电子设备接入互联网，与服务提供者进行数据交互，这极大地提升了用户的使用体验。与此同时，服务提供者的技术同样在飞速发展，不同于用户对前端的直观感受，服务提供者在后端的行为更不为人所知。2011年，麦肯锡第一次提出大数据的概念[1]，个人信息越发受到服务提供者的重视。在用户享受服务的同时，服务提供者大量的收集用户数据，运用网络计算对用户的行为进行分析，并对其行为习惯和偏好进行识别、标识，再根据其运算结果为每个用户提供个性化的推送和服务。无论是用户与服务提供者进行数据交互，还是服务提供者实施网络计算，数据都是其中的关键所在，它不仅是用户和服务提供者之间的信使，而且是网络分析的直接对象。通常来说，数据的传输是双向的，包括用户端数据和服务端数据，但从保护用户隐私的视角来看，用户端数据才是需要关注的重点。数据通过用户的在线行为，沿着操作系统、宽带或无线网络，被传输到目标网站或网页。在这一过程中，个人信息也是数据内容的一部分，而个人信息的传输是基于用户与各层级服务提供者之间的隐私协议。经过用户对隐私协议的同意，免费亦或付费的服务提供者都在通过不同的方式获取用户的信息，收集和使用用户信息在日常的互联网体验中已经变得无处不在。[2-5]理论上，个人信息在传输时，各层级的服务提供者都有能力对其进行复制、聚合和分析，并且可能分享给第三方，但所有行为都受到隐私协议的限制。过去学者对用户个人信息保护的分析，或聚焦于各方之间的利益衡量[6]，或从新兴权利角度建构个人数据权利体系[7,8]，抑或对数据私权化的批判①(1)①将个人数据作为公共物品纳入公法体系予以规制，参见吴伟光：《大数据技术下个人数据信息私权保护论批判》，载《政治与法律》2016年第7期；因数据的特性无法将其客体化和财产华，而数据的工具中立性使得法律难以对其进行规制，参见梅夏英《数据的法律属性及其民法定位》，载《中国社会科学》2016年第9期。，少数从服务协议和隐私协议视角分析的学者，要么针对用户基本权利和协议的效力[9,10]，要么针对协议的法律规制[11]，而最近的ZAO事件表明，用户对于隐私协议的内容更为关注，其对用户个人信息的影响也更大。[12,13]根据中国消费者协会发布的《100款APP个人信息收集与隐私政策测评报告》来看，大多数APP的隐私协议对于用户个人信息的保护仅在及格线徘徊[14]，这也促使笔者将目光投向此处。虽然学者总是提及用户不阅读隐私协议就点击同意，但在阅读并试图理解隐私协议内容上，学者的努力也乏善可陈。基于此，本文通过对互联网不同层级的服务提供者的隐私协议进行分析，试图回答以下问题，在互联网分层的体系下，服务提供商基于隐私协议对用户个人信息所享有的权利以及用户个人信息保护所面临的问题，并提出可能的解决路径。

二、隐私协议中个人信息的保护现状

(一)数据传送的一般方式与互联网的分层

自1994年中国接入国际互联网，用户与互联网之间的互动方式就不断发生变化。在Web1.0时代，用户通常基于桌面的浏览器使用互联网，而操作系统，如windows，是以付费方式提供，当用户运行应用程序时，操作系统并不会将用户的在线和离线信息传输给微软公司。[15]205-207如今，随着智能设备价格越发低廉，用户更多的是通过智能手机等智能设备连入互联网，互联网服务提供者也不再向过去的微软公司一样，对其产品定价销售，而是普遍采用了免费使用的互联网经营策略。在这个Web2.0时代，操作系统、浏览器以及其他应用程序已经成为用户在线体验和大数据经济的一部分，在用户享受服务的同时，用户在社交媒体和智能手机应用程序中的数据很容易就被收集、聚合和分享。[15]205-227现在的用户连入互联网可能是这样的一个过程：解锁自己的智能手机，接入无线网络或者蜂窝移动网络，打开微信应用程序。在这一过程中，用户将他的数据传输给了不同的三个对象，网络提供者(移动、联通或电信，以及其他租用这三者带宽的二级服务商)、智能手机的操作系统提供者(苹果、谷歌或者微软以及像小米一样的UI制作者)和内容提供者(腾讯)，这使得互联网成为了一种分层的存在，上述的每一个服务提供者都构成互联网的一个层级，这种分层对于数据传送和在线交互来说是必要的。但是，即使用户没有再进一步动作，数据传输也可能持续进行。

过去对用户隐私分析的视角更多的是放在内容提供者上，这不仅是因为其与用户的紧密度和互动程度更高，更是因为其数量更为庞大。但这不代表操作系统提供者和网络提供者不会收集用户数据。操作系统更注重的是互联网生态的构建，无论是开源的Android系统还是封闭的ios系统，都建立在庞大的应用数量上，使得在消费领域难以产生新的操作系统，但各大手机生产商可以在UI上推陈出新，使自己归入操作系统提供者之列。与内容提供者一样，用户用来启动应用和访问网站的操作系统同样能够收集和使用设备识别码、用户位置和行为习惯。也就是说，一个用户在小米手机上借助安卓系统使用应用程序时，即使他并没有直接使用小米公司的应用程序，也可能把数据传输给小米公司。这使得小米公司不仅可以向服务提供者一样收集用户的在线数据，还可以收集用户在断开网络连接之后的离线数据。网络提供者则属于垄断行业，三大运营商在隐私保护的区别上实在乏善可陈。尽管其存在感较低，但其垄断地位也足以引起研究者的警惕。因为数据在互联网各层级间是呈漏斗形传输的，网络提供者作为将用户与互联网相连接的第一条道路，其处理的数据量是最多的。与操作系统在时间上的连续性和一致性不同，理论上讲，当用户选择其他网络提供者来继续进行在线互动时，对最初的网络提供者来说就会出现盲区，但现实中出现这种问题的概率越来越小。对于三大运营商来说，他们不仅提供移动网络，同时也提供宽带服务，而且他们的运营政策越来越倾向于将手机套餐与宽带套餐绑定，以保证用户的在线行为一直处在其服务之中。而且作为垄断行业，在没有竞争压力或者监管压力的情况下，互联网提供者很难做到在提供必要的服务和坚持开放的互联网中立原则的同时，采取隐私保护措施以遏制对个人信息的收集分享和聚合。[16]

(二)隐私协议的规则与内容

尽管我国有诸如《网络安全法》一类的法律规范，但对于用户和服务提供者来说，他们之间的关系更多的是由两者签订的用户服务协议和隐私协议决定的，其中的隐私协议直接与用户个人信息相关。与通常订立合同的过程不同，这些协议中的条款并不是有用户和服务提供者协商得来的，而是由服务提供者事先拟定，属于格式合同，其中的条款概述了从诉讼管辖到用户隐私的各个方面，而且普遍采用了“同意或离开”规则，即用户要么同意其服务协议和隐私协议以获取服务，要么不同意相关协议，也就无法使用该服务。因为用户无需具体浏览协议的内容，只要点击同意即受协议的约束，而服务提供者也往往不会直接展示协议的具体条款，只提供指向协议的链接，并且用户对于协议的任何改动都不被服务提供者接受，这些协议也被称作“点击即同意”协议。[17]事实上，用户往往不会点开协议进行浏览，只是通过点击同意来使用他们需要的服务。[18]①(2)①Solove将用户的认知问题总结为四点，第一，用户不会阅读隐私协议；第二，用户会阅读隐私协议，但无法理解；第三，用户能够阅读和理解隐私协议，但缺乏足够的经验来做出明智的选择；第四，用户不仅能阅读和理解隐私协议，而且能够做出明智的选择，但他们的选择可能会因为各种各样的决策困难而变得不准确。当然，即使用户点开协议的链接，试图理解协议的具体内容以及自己的权利义务时，也会受制于协议适用的广泛性和条文的模糊性，例如，作为用户来说，想要理解服务提供者所谓的关联方或第三方几乎是不可能，而协议中并未列明这些对象。即使如此，这些协议也具有法律效力。[19]

隐私协议一般包括前言、信息收集、信息使用、信息分享、保存及期限、信息安全、用户权利、协议变更和服务提供者的联系方式。前言多用于介绍服务提供者的相关情况以及该隐私协议的目标和适用范围，简略说明该隐私协议所包含的内容，同时会以宣言的方式强调对用户个人信息保护的重视，部分隐私协议的前言还会对后文中的术语进行定义。信息收集主要为了说明收集信息的目的、种类、范围和方式等，并会以列举的方式说明所收集的信息类型。信息使用主要是结合使用目的说明用户被收集的信息会如何使用，其侧重于说明使用的效果，例如为用户提供个性化服务，或者用于改善现有服务，但几乎不会对具体的使用方式进行说明。信息分享通常包括共享、转让和公开披露三部分，共享是指用户信息向第三方的分享，通常指部分分享，且服务提供者会继续保有这些信息，该部分会说明第三方的范围，但通常不会说明用户的哪些信息在何种情况下会被分享；转让通常是指信息的整体流转，其适用的情形会被严格限定；公开披露是说明将用户个人信息公开的情形。保存及期限主要包括个人信息的保存地点、最长保存期以及期满后的处理方式，此部分经常与信息安全以及用户权利相结合来进行说明。信息安全包括服务提供者为保护用户个人信息所采取的措施，以及当信息安全事件发生时的处理方式。用户权利会列举用户访问、修改、删除其个人信息的情形和途径，并会说明用户撤销授权的方式和注销账号或服务的后果。协议变更则说明当协议发生变更时会如何通知用户，以及用户的同意方式。

(三)保护现状：基于典型隐私协议的分析

如今的数据传输、收集和存储呈现出动态化的趋势，也越来越隐蔽性，即使用户熟知隐私协议中的每一个条款，也很难确切的了解自己的哪些数据被传送、记录和分析，更不必说隐私协议都经过服务提供者的精心设计，其中许多条款都被模糊化处理，对于用户来说，想要真正的了解这些条款几乎难以实现。而且用户很少会认识到对多个隐私协议的同意所导致的信息累积效应中存在的隐私问题。[20]尽管如此，对隐私协议的深入研究也是有必要的，因为用户与各层级服务提供者之间的隐私协议决定了用户与服务提供者之间的关系，也正是这些隐私协议授予了服务提供者一定的权利，所以对隐私协议的研究是了解用户个人信息保护现状的一种方式。为了提高效率，降低交易成本，互联网各个层级的隐私协议普遍采用“同意或离开”规则以及“点击即同意”协议，而这些隐私协议中就包含了用户个人信息保护的相关政策。联通、小米和腾讯作为互联网市场上重要的服务提供者，同时也分别位于互联网的三个层级，其隐私协议的条款具有代表意义，下文将以三者的隐私协议为对象进行审视，主要关注他们的隐私政策赋予了服务提供者和用户什么权利，申言之，每家公司会收集哪些数据，如何使用这些数据，是否会分享给第三方，如果是，第三方的定义为何，用户能否查阅、变更、删除其个人信息和撤回授权，个人信息的保存期限，信息安全事件发生后服务提供者可采取的行为，以及隐私协议变更时的效力。

中国联合网络通信有限公司(以下简称“联通”)可以为用户提供固定(有线)和移动(无线)互联网宽带服务，移动服务会提供像4G网络一样的蜂窝网络连接，固定服务则会在住所或者企业场所为用户提供光纤技术服务。无论是移动服务用户还是固定服务用户，其同意的隐私协议是相同的。在联通通用的隐私政策中①(3)①参见中国联通用户隐私政策http://www.10010.com/net5/front/include/index_a/privacypolicy.html。，公开了联通会从他的产品或服务用户处收集哪些数据和收集的理由、如何使用这些数据、数据的分享以及对数据的保护措施，但并未包含数据的保存期限和具体的分享对象。

根据隐私政策，联通会收集“用户登记的个人身份信息”②(4)②用户的个人身份及网络身份标识鉴权信息，主要包括个人用户姓名、有效通信联系方式、有效证件类型及号码、证件登记信息、装机地址、交费账号、电子邮箱、拍照人像、服务账号及密码、密码保护答案、办理的业务。“使用服务过程中自主上传产生的服务数据”③(5)③主要包括通话内容、短信/彩信、邮件信息、通讯录、好友/群组列表、网盘存储内容、发布内容等更具有隐私性的信息。“ 使用产品或服务过程中产生的日志信息”④(6)④订购信息(用户使用通信服务和互联网服务时签订的入网/变更/终止各类登记资料、协议或合同，以及订购套餐、增值业务信息)、服务详单(通话费详单、点对点短信和点对点彩信费详单、增值业务费详单、手机上网流量费详单、无线上网卡流量费详单、宽带上网详单、WLAN流量费详单、查询记录、上网记录、网购记录)、使用记录、消费信息(账单信息、缴费信息、欠费信息、账户余额变动信息、账户信息、信用额度综合级账务信息)、账单、位置信息(基站定位信息、经纬度信息)、终端信息(硬件型号、设备MAC地址、操作系统类型、软件列表唯一设备识别码)。以及“从关联公司、合作伙伴及其他受信任的第三方接收的个人信息及其他信息”。对于“用户登记的个人身份信息”，联通声称其是基于《电话用户真实身份信息登记规定》(工业和信息化部令第25号)的要求，但《电话用户真实身份信息登记规定》第六条仅规定，用户应当出示有效证件、提供真实身份信息，除此以外的装机地址等信息实际上是联通为了自身需要留存的，但联通并未对此申明。此外，为了保护用户的权益，《电话用户真实身份信息登记规定》第九条要求服务提供者如果需要复印用户的身份证件，应当注明服务提供者的名称、复印目的以及复印日期，但联通并非说明除此以外的其他个人身份信息是否会采取与此种保护程度相当的措施。值得注意的是，《电话用户真实身份信息登记规定》第十二条要求服务提供者在提供服务期间和终止提供服务的两年内留存相关信息，但并未规定最长留存年限，联通的隐私政策中也未提及其将在多长的时间内留存这些信息。“使用服务过程中自主上传产生的服务数据”，将由用户“自主选择上传”，并且联通“只提供相关设备存储”，并不会使用信息的内容。“ 使用产品或服务过程中产生的日志信息”是用户在使用服务时由基站、交换机和终端等自动采集的日志信息，该类日志信息中的许多都涉及用户个人信息，甚至是敏感信息，例如账单、位置，而且其中的上网记录主要包括网站浏览记录、软件使用记录、点击记录信息，尽管联通并未说明这些信息对于其提供基本服务有何意义，但用户并不能对此种收集行为说“不”。

联通会在许多方面使用这些信息，包括网络安全、提供个性化服务、广告效果评价等。其表示将使用这些信息进行数据分析，并在去标识化处理后对个人数据进行聚合和分析，但并未表明聚合和分析的目的，因为聚合和分析条款没有放置在提供服务条文之内，联通的此种行为可能将不限于提供服务，还会包含商业目的。联通不仅会收集用户的数据，而且会将数据分享给第三方，除了向银行和征信机构，联通还会向关联公司和授权合作伙伴共享数据，但根据隐私政策，关联公司的定义过于宽泛，不仅包括传统意义上的以所有权和股份控制的公司，甚至包括依照合同能被直接或者间接影响的公司。联通还声明，其只会向关联公司共享必要的个人信息，且受隐私政策所表明的目的所约束，关联公司若要改变其处理个人信息的目的需再次征得用户的同意。除了关联公司，联通还会向授权合作伙伴分享用户信息，授权合作伙伴包括了供应商、服务提供商、第三方商家以及与广告和分析服务相关的合作伙伴。此外，联通也会从关联公司、合作伙伴及其他受信任的第三方接收用户的个人信息及其他信息。在信息共享之外，联通还可能转让和公开披露个人信息，其表明只有在三种情况下才会转让个人信息，即明确同意，合并、收购或破产清算和依照约定，而公开披露的情形则更加严格，仅包括明确同意和法律强制。

联通为用户提供了网上营业厅的手机应用访问和更正个人信息，但用户仅能变更自己的个人资料，只有当联通处理用户的个人信息出现错误时，用户才有权要求联通更正。用户也可以通过上述方式对“额外收集的个人信息”撤回授权，但联通并未明确额外收集的信息具体包括什么，而且此种撤回不具有溯及力，并不影响此前的信息处理。用户可以选择删除个人信息，但只能是在特定情形下，要么是联通违反法律或约定或者未经同意处理用户个人信息，要么是一方从服务关系中退出。无论是何种情形，用户只能以请求联通公司的方式删除个人信息，唯一的例外是注销账号。联通承诺，用户注销账号后，该账号内的所有信息都将被清空，联通也不会再收集、使用和分享用户信息。但联通同时表示注销前的信息仍会按照监管政策保存，且在保存期限内有权机关仍然可以查看。这与其承诺的清空所有信息相矛盾。按照有利于用户的解释，应当理解为在注销账号后，监管政策要求保存的信息会被继续保存，而且联通只是保管该信息，其他信息将全部清空。

一旦出现信息安全事件后，联通表示将“按照相关法律法规及监管政策的要求”及时向用户告知。联通会优先采用个别通知的方式，只有当难以逐一告知时，才会采用公告形式。告知的内容包括安全事件的基本情况和可能影响、已采取或将要采取的处置措施、用户可自主防范和降低风险的建议、联通采取的补救措施等。但根据笔者在乌云网的检索，在2016年乌云网停止更新之前，联通被公开的安全漏洞就多达667个，其中许多漏洞涉及用户个人信息①(7)①参见山东联通宽带某系统漏洞修复不当导致getshell(千万用户数据/姓名/身份证/详细住址) http://www.anquan.us/static/bugs/wooyun-2016-0203466.html；中国联通某核心业务系统缺陷/全国32省用户资料泄漏/可查全国公民身份证信息(可办理及查询全国各省用户业务)http://www.anquan.us/static/bugs/wooyun-2016-0189562.html，最后访问时间：2019年9月29日。，也经过国家信息安全漏洞共享平台及联通的确认，但联通从未发布安全公告告知用户其个人信息所面临的危险境地。

当隐私政策的内容变更时，联通仅表明未经用户明示同意，不会减少用户所享有的权利，但并未申明是否会在增添自身权利时是否需要用户明示同意，且其不承诺一定会将变更的情况进行个别通知，也有可能仅以公告方式告知用户。而且用户一旦同意隐私政策，即使其嗣后有所修改，用户在修改后的使用行为将被视为“已充分阅读、理解并愿意”并受修改后的隐私协议约束。

小米的隐私政策②(8)②参见小米隐私政策https://privacy.mi.com/all/zh_CN/，最后访问时间：2019年9月29日。将个人信息定义为“通过信息本身或通过关联其他信息后能够识别特定个人的信息”，并且规定其隐私政策“适用于引用或链接至本隐私政策的所有小米设备、网站或应用程序”，如果特定的小米产品或服务有单独的隐私政策，那么此政策将作为补充适用。在2018 年 5 月 25 日的版本③(9)③参见http://www.mi.com/about/new-privacy，最后访问时间：2019年9月29日。中，小米甚至规定只要用户使用小米的产品或服务，就表明用户“已阅读、认可并接受本隐私政策中所有条款”，这种同意的效力还及于隐私协议随时的变化，④(10)④根据《中华人民共和国网络安全法》第二十二条：网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意。小米的做法明显违反法律规定。但最新的版本中已经删除了此条款。

小米会收集的个人信息包括用户提供或上传的信息⑤(11)⑤例如，在小米商城购物时提供的姓名、联系方式、电子邮箱地址、送货地址、订单信息、发票信息，以及银行账户号码、银行账户持有人姓名、信用卡号码；使用小米云同步时上传的相关资料；创建账号时提供的生日、性别、账号安全设置；使用小米社区时提供的职业、教育背景等社交信息。、在用户使用服务过程中收集的信息、来源于第三方的信息。在用户使用服务过程中收集的信息包括与用户设备或SIM卡相关的信息⑥(12)⑥IMEI编号、GAID编号、IMSI编号、MAC地址、序列号、MIUI版本及类型、ROM版本、Android版本、Android ID、Space ID、SIM卡运营商和归属地、屏幕显示信息、设备输入信息、设备激活时间、设备制造商信息和型号名称、网络运营商、连接类型、硬件基础配置信息及使用相关信息(例如CPU、内存；电量使用情况；设备分辨率、设备温度；相机镜头型号)。、第三方服务提供商与业务合作伙伴指定的与用户相关的信息、与用户应用使用相关的信息、用户使用服务时生成的信息、位置信息、日志信息和环境特征值 (ECV)。对于上述信息，小米声称用户有权选择是否提供，但其同时表明在多数情况下，如果用户拒绝提供信息将无法使用，而且小米也未具体说明这些信息对其提供服务有何意义。小米还会从第三方收集用户的个人信息，根据隐私政策，这种行为只要符合法律规定即可，无需再征得用户的同意。除了个人信息，小米还会收集“其他无法识别到特定个人、根据当地适用法律不属于个人信息”的非个人信息。根据隐私协议，这些非个人信息不仅仅是用户在使用服务时产生的统计类数据，也包括小米将与用户使用服务有关的信息①(13)①例如唯一设备标识符、设备型号、系统版本号。汇总后形成的汇总信息。如果小米将个人信息与非个人信息相结合，那么结合后的信息将被视为个人信息。

小米不仅会在产品和服务、处理请求和软硬件分析上使用这些数据，还会在事先获取用户明确同意的前提下对用户数据进行分析以向其直接推广小米及其合作伙伴的产品或服务，但小米承诺不会基于直接推广的目的与合作伙伴共享用户信息。小米也给出了部分详细示例以说明使用用户个人信息的情境。需要说明的是，小米还会将跨服务和跨设备的信息结合起来，而且用户在同意隐私协议时不能拒绝此类结合，只能依靠小米根据“合并信息的原因以及适用法律的要求”向用户提供的控制机制来嗣后更改，而根据隐私协议，用户只能拒绝以直接影响为目的实施的信息处理和自动化决策，以及在“某些情况下”小米为了自己的利益进行的信息处理。

同联通一样，小米也会分享用户信息，除了用户明确同意或主动选择，其还会向小米集团内的关联公司、小米生态系统公司分享，并且此种分享并未被限制在特定目的中。这就意味着，只要小米认为有必要，则其可以分享用户个人信息。出于“正当、合法、必要、特定、明确”的目的，小米也会向第三方服务提供商和合作伙伴分享个人信息，不止于此，前文所述的汇总信息以及服务使用的一般趋势也可能被分享。小米承诺仅在用户明确同意或者参与兼并、收购或出售资产时才会转让用户信息，并且会以邮件和/或者公告的形式告知用户相关变化及提供给用户的选择，并非如联通一样首先以个别通知的方式告知用户，在无法通知时才会采取公告通知的方式。在信息公开披露方面，小米也将其情形限定在用户明确同意和法律强制。个人信息也可能会出现跨国转移的情况，隐私政策只表明这种转移将遵守相关法律，并且对数据采取安全保护机制，相比于2018 年 5 月 25 日的版本，小米删除了用户对这些安全保护机制的知情权，更不享有阻止这种转移的权利。

小米为用户提供了隐私权控制设置，用户可以根据自己对隐私权的关注来限制小米收集、使用、处理和披露其数据。对于已经收集的信息，小米会基于用户的申请提供一份个人信息记录，用户也可以要求小米更正或完善不正确、不完整的信息，但如果用户要求小米删除个人信息，必须是基于法律规定，且小米没有理由继续使用该信息。除非是基于法律规定(例如《通用数据保护条例》(GDPR)，用户无权拒绝所有形式的自动化决策，也不能要求小米以“结构化、通用的形式”将其数据转移给其他主体。用户还可以撤销对小米的授权，小米表示其将在合理时间内处理该请求，但并未明示该期间，并且此种撤销同样不具有溯及力，小米并未承诺删除撤销前收集的数据。小米同样允许用户注销账号和服务，但令人惊讶的是，隐私协议中完全没有提及注销后用户的个人信息如何处置。这似乎意味着，即使用户不再享用小米的产品或服务，整个隐私协议也未赋予其完全删除个人信息的途径。

当发生个人信息泄露时，小米仅表明其会按照数据保护法规进行处理，只有在必要时才会及时通知监管机构以及数据主体，这就意味着，即使用户个人信息面临甚至已经陷入危险之中，用户是否享有知情权依赖于小米的判断。

小米隐私政策随时可能会由小米进行单方面变更，小米仅承诺在发生重大变更时以电子邮件、网站公告或移动设备通知的方式告知用户，用户无论是继续使用产品、网站还是任何设备上的服务，都将视为对新隐私政策的同意，只有更新后会收集更多的个人信息或基于新的目的使用或者披露个人信息时，需要用户对隐私协议的明示同意。

微信作为社交服务产品，其涉及的用户信息在数量和类型上远超于上述两家公司，所以其隐私政策更值得进行分析。为了让用户知晓自己的隐私权益，微信发布了《微信隐私保护指引》，此外，腾讯集团还发布了《腾讯隐私保护平台》，两者都会对用户的隐私产生影响。根据《指引》，微信会收集用户在使用服务时主动提供的信息以及因使用服务而产生的信息，其将信息分为了基础信息和敏感信息，但两者并非是对所收集信息的二分，而是两类不同的信息类型，存在交叉重叠。虽然《指引》没有定义基础信息和敏感信息，但根据文义和《腾讯隐私保护平台》中的定义，基础信息是指为了提供服务所必需的信息，拒绝提供将无法正常使用服务，敏感信息是指 “一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息”。通常情况下，拒绝提供敏感信息只会影响特定功能的使用，并不影响其他功能，但如果对该敏感信息的收集是基于法律规定，则会影响基本服务的使用，例如手机号码属于敏感信息，但按照网络实名制的要求，不提供手机号码将无法使用微信服务。《指引》中详细列举了用户使用不同功能时可以能被收集的个人信息，并说明这些信息是否属于基础信息和敏感信息。同时，微信表示如果因为功能和服务的更新发展，导致列举之外的某些功能或服务需要收集个人信息，其会以其他方式向用户说明收集信息的内容、范围以及目的，并且在用户同意后才会收集。微信承诺将不会主动从腾讯集团以外的第三方获取用户的个人信息，如果其业务需要通过第三方获取个人信息，微信会向用户明示其个人信息的来源、类型和将要使用的范围，但只有在对该信息的处理超过了用户原本对第三方的授权范围时，微信才会寻求用户的明示同意，也就意味着，如果微信对从第三方获取的个人信息的处理没有超过用户之前的授权范围，则无需再次征得用户同意，但如果第三方分享的行为超过授权范围，腾讯获取数据是否需要用户同意仍未可知。尽管微信对其服务可能收集的信息进行了列举式说明，但对收集到的信息的使用并不仅限于该服务，亦可能用于其他功能或服务，包括但不限于广告推广、出于信息安全的目的对用户所阅读的内容进行提示、通过特征标签对用户进行间接人群画像以提供更为精准和个性化的服务。微信还会记录应用程序的相关信息①(14)①包括但不限于使用应用程序的频率、崩溃数据、总体使用情况、性能数据以及应用程序的来源。，但其承诺此类信息不会与用户在应用程序中提供的信息结合。如果微信使用个人信息的行为会超出收集该信息时所主张的目的，或者与此目的有直接或合理关联的范围，其使用行为必须得到用户的明示同意，但何谓“合理关联”并未举例说明。微信表示不会主动将用户信息分享给腾讯集团之外的第三方，但其在征得用户明示同意或者确认第三方已征得明示同意后，可以向该第三方分享。如果微信需要披露个人信息，则必须得到用户的明示同意，并且告知用户披露的目的、所涉及的信息类型以及可能涉及到的敏感信息。在合并、收购和转让时，微信对个人信息的转移无须征得用户的同意，只承诺对个人信息的保护不低于现行标准。微信还为用户提供了具体的访问、修改和删除个人信息以及撤回同意的途径，并提供了多种隐私控制选项，但如果用户注销账号，微信不承诺一定会删除个人信息，也可能会以匿名化的方式继续保存。

当发生信息安全事件时，微信会以推送通知、公告等形式告知用户，但并未明示告知的内容。

微信的隐私协议也可能发生变更，但与联通和小米不同的是，微信会以推送和弹窗的形式向用户展示变更后的协议，只有用户点击同意后才会受到新的隐私协议约束，但值得注意的是，微信并未说明用户不同意新的隐私协议的后果。

三、保护的困境

尽管联通、小米和微信分属互联网的不同层级，但从上述分析可以看出，三者的隐私协议整体倾向是一致的，这也体现了隐私协议的一般趋势。

联通、小米和微信均会收集由用户提供、使用过程中产生以及第三方分享的个人信息，并且都会将这些信息用于广告推广、提供个性化服务以及跨产品、跨功能的信息聚合，并且可能分享给关联公司、集团内部的其他主体以及其他第三方，唯有微信表示会在分享给集团以外的第三方时会确认是否得到用户的明示同意，但这不仅包括直接向用户询问，还包括第三方已经征得用户的同意的情形，如果第三方的隐私协议中同样包括从第三方获取个人信息，用户也无法知晓、更无法约束微信的分享行为。这些被收集的个人信息还会被无限期的保存，即使用户注销账户不再使用相关服务，其个人信息也可能只是以匿名化的方式处理，更不用说小米的隐私协议中并未做出任何承诺了。用户虽然对其个人信息还是享有一定的权利，例如访问、变更、撤回授权、隐私控制以及删除个人信息，但用户能够直接访问的多是由其主动提供的信息，对于服务提供者收集的其他信息，用户只能按照隐私协议中的程序请求服务提供者向其展示，变更和删除同样如此，所以用户想要了解和改变自己已经被收集的个人信息的范围和内容是十分困难的。在发生信息安全事件时，除了微信表示会告知用户，联通和小米对于是否告知都是基于法规或者自己对事件严重程度的判断，而在告知的方式上，只有联通表明会首先采取个别通知的方式，也就是说其他服务提供商有可能仅仅在网站发布一份信息安全的公告来告知用户。当隐私协议条款发生变更时，只有微信明示会将所有的变更告知用户，并在用户同意后才适用新的条款，联通和小米仅表示会将重大变更进行通知，而且可能同样是以公告的形式，同时，两者均规定用户继续使用的行为视为对变更后条款的同意，这意味着用户可能在未收到任何通知的情况下，已经受到新的、不为其所知的条款的约束。

如果用户同意联通、小米和微信的隐私协议，当用户把设备连入联通的网络时，就已经开始把位置、终端、流量和上网记录传送给了联通，这些数据不仅会被收集和储存，也会被分享给第三方，并且与来自其他第三方的数据一起聚合和分析，以便于联通向用户提供精准和个性化的服务和更为高效的广告投放。如果用户连入互联网的设备是小米手机，那么位置、终端等信息会同时传送给小米，这些信息会被小米进行数据处理，并与来自其他设备和服务以及其他第三方的信息相结合，而且结合前和结合后的信息都可能被分享给关联公司、小米生态系统公司、第三方服务提供商和其他合作伙伴，由于小米的隐私政策并未表明保存的最长时限，理论上讲，小米可以无限期的拥有这些数据，并利用和分享这些它们。假设该用户同时使用微信，那么情况可能将变得更不乐观。用户的信息会在腾讯集团中流转，如果用户曾经在其他第三方处做出了授权，微信可以直接从第三方获取个人信息，也就是说，在用户的在线行为之前，其个人信息已经与第三方的信息进行了聚合和分析，这可能导致的结果是，尽管用户没有做出任何选择，微信向其提供的服务已经具有了个性化。

即使用户在使用服务之前细致并尽可能的理解了相关隐私协议，但在大部分情况下，只要他持续的使用该服务，服务提供者对隐私协议的变更将直接约束他，而且不会再次征求他的意见，即使如微信声称会在征得用户同意后适用信息隐私协议，但正如上文所述，用户不同意新隐私协议的后果是不可知的，而且对于即时聊天软件来说，如果用户因为不同意而无法享用服务，其结果与强制用户同意几无差别。更重要的是，隐私协议并不能包含对数据所做的一切行为，对用户数据的分享使得用户根本无法了解其信息所达之地，更不必说这些第三方可以聚合多个来源的数据，并且可以进一步的分享给其他第三方。这就意味着，用户虽然只做出了一次同意，其对信息的控制力已经无比的薄弱，而那些不需要经过用户的具体同意就可以进行数据聚合的第三方更是在用户的盲区中。

与用户不同，服务提供商们可以更好地控制存在于自身或其他地方数据，目前来看，这只能依赖于自我约束，例如，小米拥有从虚拟世界到物理世界的庞大生态链，尽管其一再声称制定隐私政策的目的是为了使用户了解其个人信息收集和使用的行为，并确保用户对提供给小米的个人信息的最终控制，但其隐私协议反而使用户对其个人信息丧失控制，而微信的隐私协议相对于其余两者来说更值得称赞，但也只是相对来说。用户个人信息所具有的价值之大，使得服务提供商趋之若鹜，即使一份隐私政策赋予了用户依照隐私协议或行业规范选择退出的权利，也未必会得到遵守。例如，谷歌公司违反苹果Safari浏览器的隐私设置，将特殊代码嵌入在线广告中以追踪用户，而用户对此一无所知。最终，谷歌以1 700万美元与36个州和解。这表明服务提供者在自我约束和对隐私政策的执行上缺乏透明度，更不必说他们在信息流转中的行为了。

用户隐私不仅面临着上述显在问题，隐私协议在处理潜在隐私问题上也无所作为，例如，未来的信息处理的范围是什么，以及是否存在信息保存的最终形式。而且，随着算法的发展，其能够处理的数据量越来越多，这就意味着现今的非个人信息在未来也可能变成个人信息，换言之，未来的算法能够将非个人信息可识别化，这使得如今的个人信息保护失去效力。

这些丰富了用户线上生活的产品和服务通过窥探用户隐私，实际上也限制了用户的视野。由于算法互联网具有数据启发的自适应性，所以从某种意义上看，算法的结果都是过去用户输入的结果，所以用户的在线行为缩小了他们在线体验的范围。正如腾讯《隐私保护平台》所显示的，其使用网络信标(Web beacon)从其附属网站中追踪用户，然后把数据传回给腾讯，当用户使用微信时，其实际已经被标识化了，微信所提供的信息(比如新闻内容)都是根据用户之前的行为运算的结果，而用户就因此丧失了接触新事物的机会。

四、保护的进路

用户在使用服务时虽然遵循“点击即同意”，但对信息收集和使用的同意可能并不表示其同意进一步的数据分享行为。为了缓和服务提供者利用信息获取利益的需要和用户隐私保护之间的冲突，匿名化是最常被提及的方式。但是，信息越匿名化，其所具有的价值越低，服务提供者能够获得的利益就越少。

欧美的个人信息保护机制为我们解决用户个人信息问题提供了参考。早在2013年，美国联邦贸易委员会针对移动技术就提出了新的隐私原则，要求公司更全面的披露有关数据收集和分享的信息。其还建议手机生态系统的所有参与者都扮演一个增强隐私保护的角色，例如，手机操作系统提供者通过提供内置的隐私警告和保护措施在数据传输之前“及时向消费者披露”以获得他们的明示同意。①(15)①参见FTC Staff Report, Mobile Privacy Disclosures: Building Trust Through Transparency, https://www.ftc.gov/sites/default/files/documents/reports/mobile-privacy-disclosures-building-trust-through-transparency-federal-trade-commission-staff-report/130201mobileprivacyreport.pdf，最后访问时间：2019年9月29日。美国政府也发起了对大数据的隐私影响的研究，报告建议预设数字隐私配置文件作为当前通知和同意制度的替代者，用户可以通过一个隐私选项来固定自己的隐私选择，所有的数字公司都需要遵循这些选项。不同的选项之间不仅是提供数据的差别，而且影响用户使用服务，例如，一种选项可以提供更好的用户体验，但会共享更多的数据，而另一个选项则能更好的保护用户隐私。但是报告也承认，目前在线隐私通常被视为一种商业奢侈品，而非是绝对的权利。②(16)②参见PCAST发布大数据和隐私报告，https://obamawhitehouse.archives.gov/blog/2014/05/01/pcast-releases-report-big-data-and-privacy，最后访问时间：2019年9月29日。直到白宫颁布《消费者隐私权利法案(草案)》，才构建起以情境为主导的用户个人信息保护机制。用户对信息收集、使用和分享的可接受性以及信息利用的敏感性均具有程度之维，这些会对其程度产生影响的因素就被统称为“情境”。③(17)③参见The World Economic Forum，Rethinking Personal Data: Trust and Context in User- Centred Data Ecosystems，http://www3.weforum.org/docs/WEF_RethinkingPersonalData_TrustandContext_Report_2014.pdf，最后访问时间：2019年9月29日。以情境为主导意味着在对用户隐私保护进行判断时要基于所处的具体情况，而不是以假想的情形进行预判。即便如此，为了在大数据时代占据绝对优势，美国政府选择对个人信息进行积极利用，更关注个人信息的经济价值，故采取以市场为主导、以行业自治为中心的策略，通过分散立法的方式，在不同行业内适用不同的保护形式，奉行行业自律和用户个人救济相结合的保护模式。[21]

欧盟的《通用数据保护条例》则通过个人信息安全事件通知、隐私影响评估( DPIA)等机制，在场景主导之外增加了隐私风险评估，其本质还是对风险进行程度性评价，目的是使风险可控。其采取的是国家立法主导模式，以人格保护为中心，从适用主体上看，其基本涵盖从政府机关到私营企业的所有主体，从内容上看，其包含了从收集到最终删除的全过程，同时设置了欧盟数据保护委员会对企业进行监管，并要求数据处理企业设置数据保护专员并接受委员会的管理。[21]从隐私协议的具体内容来看，以立法为主导的用户隐私保护模式颇有成效。联通欧洲业务隐私协议④(18)④参见China Unicom(Europe)Operations Limited Privacy Policy, https://www.cuniq.com/uk/general/privacy，最后访问时间：2019年9月29日。，小米隐私协议以及微信国际版隐私协议⑤(19)⑤参见WeChat Privacy Policy, https://www.wechat.com/en/privacy_policy.html#pp_how，最后访问时间：2019年9月29日。对欧洲用户的信息收集、使用和分享均特别对待以符合《通用数据保护条例》的规定。联通和微信都列明收集信息的法律依据，微信甚至对收集信息的类型进行了定义和解释，并说明各类型信息的保存期限，以及信息的删除和可移植性。即使这样，《通用数据保护条例》仍然过于依赖用户知情选择，[22]而这种事前同意已经被证实难以发挥作用。

针对个人信息面对的安全问题，我国既在《民法总则》、《刑法》、《网络安全法》、《消费者权益保护法》等法律中规定了个人信息保护的内容，还出台了《电信和互联网用户个人信息保护规定》、《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题》等部门规章和司法解释，同时制定了《信息安全技术公共及商用服务信息系统个人信息保护指南》(GB/Z 28828—2012)、《个人信息安全规范》(GB/T 35273—2017)等国家标准，其中，《个人信息安全规范》详尽地规定了个人信息的收集、保存、使用、委托处理、共享、转让、公开披露、信息安全事件处置及组织管理要求。其内容无论是横向上还是纵向上都较为完备，对于服务提供者制定隐私协议有很好的指导作用。但从笔者前文对隐私协议内容的分析可以看出，由于该规范只是推荐性国家标准，服务提供者并未严格遵循，使得用户的个人信息并不能得到规范所期待的保护。而且与《通用数据保护条例》的情况类似，目前我国对于合法获取和处理个人信息也依赖于用户的事前同意，这对服务提供者来说并不能产生阻碍。

法律规范为用户提供的保护多是应对不法侵害，而隐私协议赋予用户的权利则是用于应对信息的过度收集和滥用，即使隐私协议中个人信息保护过度依赖事前同意，但并不意味着这种同意是可以舍弃的。正如本文所论述的，用户对个人信息失控不仅仅由于其同意了隐私协议，更重要的是服务提供者的行为缺乏透明度。因此，作为制定法的补充，另一种可能的方式是将透明度与日常报告相结合，并以强制性国家标准赋予用户足够的权利。透明度规则要求服务提供者详细全面的披露其将对用户信息所做的行为，以便于用户在使用服务之前更好地做出决定，并且在隐私政策变化时需重新取得用户的明示同意。在理想情况下，透明度要求服务提供者披露所有影响消费者做出决策的信息，这些信息应当易于获取和理解并且可以得到验证。[23]日常报告则要求服务提供者在特定期间内收集了哪些用户信息、使用信息的方式[24]，更重要的是，服务提供者需要告知用户在此期间与哪些第三方共享了何种数据，这种日常报告可以使用户定期了解自己的隐私保护情况。即便如此，仍然不能对用户阅读和理解隐私协议抱有期望，所以应当制定隐私协议的强制性国家标准来设置隐私保护的底线。(20)《中华人民共和国标准化法》第十条规定，对保障人身健康和生命财产安全、国家安全、生态环境安全以及满足经济社会管理基本需要的技术要求，应当制定强制性国家标准。个人信息无论从安全角度还是社会管理和经济发展角度看，都符合制定强制性国家标准的要求。相比于立法主导，此种方式可以使用户更为详尽的了解个人信息的现状，而且以国家标准推行的隐私协议可以兼顾不同类型服务提供者在信息收集、使用和分享上通用性和差异性，也能得到及时修订以适应飞速发展的信息技术。