◆王晓宁

移动社交APP隐私政策的合规性研究——基于20例隐私政策文本的内容分析

◆王晓宁

（天津师范大学 新闻传播学院 天津 300382）

为保障用户个人信息安全，本文以个人信息保护相关法规政策和标准为依据构建隐私政策合规性评价体系，选取了20例国内常用移动社交APP隐私政策，进行总体合规性与重点指标合规性分析，探究其存在的问题并提出完善措施。

社交APP；隐私政策；合规性评价；个人信息保护

1 引言

移动社交APP是移动社交服务应用软件（Mobile Social Network Service Application）的简称，就是指安装在手机、平板等移动终端上，用以实现娱乐、社交等功能的应用软件的统称。[1]

随着移动互联网环境下社交软件的快速发展，移动社交应用软件凭借其即时性和交互性的特点吸引了大量用户，同时移动社交应用软件为用户提供越来越多的服务以增强用户黏性，如交友、视频聊天、视频分享、转账、移动支付、社区交流、文件传输。移动社交APP功能的实现依赖用户信息的交换与传播，随着功能的逐渐增多，部分移动社交APP出现了违规收集和使用个人信息的现象，个人隐私信息泄露问题日益凸显。

隐私政策（又名个人信息保护政策、隐私保护政策等）是指网站在收集、传递、共享、利用、发布个人信息的过程中，所制定的应当承担保护个人信息合法权益的责任和义务，以及非网站原因造成信息泄露的免责声明。[2]有效的移动社交APP隐私政策的制定有助于增强企业的个人信息保护意识，从法律条款层面对企业个人信息处理行为进行约束。

目前，国际上对个人隐私信息保护的主要规范有两种，即欧盟的《通用数据保护条例》（General Data Protection Regulation，简称GDPR）和美国加州议会通过的《消费者隐私法案》。通过立法来保障个人信息安全，规范企业个人信息收集行为是主流趋势。我国则采用软件运营者自律为主、政府监管为辅的模式，即政府相关部门出台条例和规范，软件运营者自行制定隐私保护政策，对用户隐私安全保护相关的权利、义务及责任进行明示。[3]因此，隐私保护政策已成为移动APP隐私保护安全链上的重要一环，移动社交应用软件运营商会根据现行规范制定一套自己的隐私政策，来声明企业对用户个人信息的收集、存储和使用，并列明了用户享有的权利。然而，2018年11月28日，中国消费者协会发布《100款APP个人信息收集与隐私政策测评报告》，评估结果极其令人失望，100款APP中，多达91款APP列出的权限存在涉嫌“越界”，即存在过度收集用户个人信息的问题。在隐私政策方面，47款APP隐私条款内容不达标，其中34款APP没有隐私条款。

在隐私裸奔的大数据时代，隐私政策作为现代公司治理体系的重要组成部分，必然对数字经济的发展产生重要影响。随着消费者对数据隐私保护的需求增加，那些拥有完整隐私政策的运营商在市场上的竞争力也将不断增强。隐私政策不完善的运营商势必会损耗用户的信任，对企业发展带来不利影响。因此，考察移动社交APP的隐私文本合规情况，对规范APP经营者的数据使用行为、保护个人信息具有重要意义。

2 研究设计

2.1 研究对象

本文根据艾媒咨询发布的《2020-2021年中国移动社交行业研究报告》，结合国内移动社交APP用户量、下载排名，将我国移动社交软件划分为即时通讯、婚恋交友、陌生人社交、职场社交、视频直播、内容社区六类，在六个类别中，选择了20款移动社交应用软件，通过手机APP和网站查找、去重，最终收集了共计20部隐私政策（见表1）。（隐私政策本文获取时间截至2021年5月4日）。

表1 所选社交软件及其隐私政策

社交软件分类软件名称隐私政策政策最新生效时间社交软件分类软件名称隐私政策最后更新时间 即时通讯QQ《QQ隐私保护指引》2021.4.6职场社交脉脉《脉脉隐私政策》2021.4.16 微信《微博个人信息保护政策》2021.1.29领英《隐私政策》2020.8.11 TIM《TIM隐私保护指引》2020.8.14视频直播抖音《抖音隐私政策》2020.9.15 婚恋交友珍爱网《珍爱网个人信息保护政策》2021.3.15快手《隐私权保护政策》2019.11.8 世纪佳缘《世纪佳缘隐私保护政策》2021.3.6西瓜视频《西瓜视频隐私政策》2020.6.25 百合婚恋《百合网隐私保护政策》2020.7.29内容社区微博《微博个人信息保护政策》2020.12.15 陌生人社交MOMO陌陌《陌陌隐私权政策》2021.1.5小红书《小红书用户隐私政策》2021.4.29 探探《探探隐私政策》2019.7.1知乎《个人信息保护指引》2021.1.20 Soul《Soul App个人信息保护政策》2020.12.28豆瓣《豆瓣个人信息保护政策》2021.4.16 职场社交钉钉《钉钉隐私权政策》2021.3.8百度贴吧《百度贴吧隐私政策》2018.10.30

2.2 研究方法

本文采用的主要研究方法是内容分析法（content analysis）。内容分析法是一种对文献内容进行客观、系统和量化描述的研究方法。它通过将内容归类为预先定义的类别，从而将定性信息定量化。[4]

我国业界目前尚未有统一的隐私政策合规性评价体系，本文结合《中华人民共和国网络安全法》、《电信和互联网用户个人信息保护规定》、《信息安全技术个人信息安全规范》（GB /T35273—2020）、《儿童个人信息网络保护规定》等法律法规构建合规性评价体系，其中《信息安全技术个人信息安全规范》明确了对个人信息控制者在信息收集、保存、使用、共享、转让和披露等方面行为的规范，同时也提供了隐私政策书写模板，为移动社交APP完善隐私保护政策提供依据，因此，本文以《信息安全技术个人信息安全规范》作为主要标准，在此基础上结合其他法规加以修改和完善。创造了一套合规性评价标准。其中包括9个一级指标和40个下属二级指标（见表2）。

表2 我国隐私政策合规性评价指标体系

一级指标二级指标一级指标二级指标 个人信息的收集与使用所收集信息类型信息主体的权利查询访问 信息所用于业务功能个人信息的更正 敏感信息提醒个人信息的删除 用户信息的用途改变授权范围 争取授权同意的例外账号的注销 Cookie和相关技术的使用Cookie技术使用目的隐私政策的修订及时更新 Cookie技术使用方式变动通知 Cookie技术禁用说明重大变更范围 个人信息的存储存储信息类型联系与争议处理联系方式与渠道 信息存储地域投诉渠道 信息存储时限承担法律责任情况 到期后处理方式争议解决 信息的跨境传输侵权处理 涉及的个人信息类型未成年人个人信息保护征得监护人同意 接收信息第三方类型监护人反馈方式 安全和法律责任未经监护人同意删除未成年人信息 个人信息安全保障风险提示是否有独立的《儿童个人信息保护政策》 应急预案 安全事件处理 安全保障措施 安全技术认证 成立相关部门，进行员工素质培养

3 研究结果

3.1 总体合规性分析

20例移动社交APP隐私政策，在所考察的9个一级指标当中，“信息主体的权利”指标合规性最高，其五项二级指标中，四项达标率为百分之百。其次“个人信息的收集和使用”指标合规性较好。

不同的移动社交APP合规情况不同，其中“珍爱网”、“Soul”表现最好，在所考察的全部二级指标当中，未达标指标仅有3项，“领英”表现最差，存在22项二级指标不达标情况。不同类型的移动社交APP合规情况也不相同，其中，“婚恋交友类”与“陌生人社交类”表现较好，合规性程度高，而“职场社交类”则表现较差。

3.2 核心指标合规性分析

（1）个人信息的收集与使用相关指标分析

个人信息的收集与使用是隐私政策中的重要内容，隐私政策完备的移动社交APP应告知用户收集信息的种类及所用于业务功能，并进行敏感信息提醒，详述信息具体用途，说明征得用户授权同意的例外情形，否则将存在个人隐私信息泄露的风险。[5]研究结果显示，在个人信息的收集与使用方面，移动社交APP总体表现较好，在所收集信息类型、信息所用于业务、信息用途等二级指标中，所考察的20款社交APP达标率为100%。但也存在“脉脉”和“知乎”未进行敏感信息提示，“探探”、“钉钉”、“领英”未说明征得授权同意的例外情形等问题。

（2）Cookie和相关技术的使用相关指标分析

Cookie和相关技术包括Cookie、网络信标、像素标签等技术。Cookie及相关技术主要基于向物理设备发送小型数据追踪文件，从而记录用户信息行为并被整理于数据库中，[6]容易对用户造成隐私侵犯。通过调查研究发现，首先，多数移动社交APP明确了Cookie及相关技术使用的目的，即主要用于保障产品或服务的安全、高效运转、进行用户数据分析、广告投放等。如微博的Cookie技术主要用于了解用户的偏好和使用习惯，进行数据分析，以改善产品服务、推荐用户感兴趣的信息或功能，并优化用户对广告的选择。其次，多数APP明确了网络隐形追踪技术的个人信息采集方式，如抖音指出当使用抖音及相关服务时，可能会使用相关技术向用户的设备发送一个或多个Cookie或匿名标识符，以收集、标识用户访问和使用本产品时的信息。再者，绝大多数APP皆提示可通过浏览器设置拒绝或禁止Cookie技术的使用。此外，部分APP还在隐私政策中通过超链接形式，提示设立了专门的Cookie政策，如领英的《Cookie政策》。

（3）个人信息的存储相关指标分析

在个人信息存储阶段，软件运营商应在隐私政策中对存储信息类型、存储地点、存储时限，到期后处理方式以及信息的跨境传输等做出详细说明。调查结果显示，在所考察的20款移动社交APP中，17款APP未对存储信息类型进行说明，仅“QQ”、“微信”、“TIM”三款APP进行了简要说明，如《微信隐私保护指引》中说明了手机号码和朋友圈信息的存储与删除。“存储地点”、“存储时限”、“到期后处理方式”等二级指标合规性较好，各APP隐私政策一般承诺会将用户的个人相关信息保存在我国境内，不会在全球范围内转移，如发生跨境传输将通知用户。同时表明会在必要期限内存储信息，到期后进行删除或匿名化处理。

（4）个人信息的共享、转让、公开披露相关指标分析

在个人信息的共享、转让、公开披露环节，存在的问题较多，根据《信息安全技术个人信息安全规范》（GB /T35273—2020）对个人信息保护政策的规定，隐私政策当中应当说明对外共享、转让、公开披露个人信息的目的、涉及的个人信息类型、接收个人信息的第三方类型，以及各自的安全和法律责任。如表3所示，有7款APP存在未告知共享、转让、公开披露所涉及的信息类型的问题，占比35%；8款APP存在未表明接收信息的第三方类型的问题，占比40%；4款APP在安全和法律责任的说明上存在欠缺，未说明会遵守相关法律法规。内容社区类APP在这一环节表现最好，5款APP的四项指标全部达标，其中《Soul APP隐私政策》中以附件形式列明了第三方合作伙伴的类型，第三方收集个人信息的目的，收集信息的类型与方式，所列详尽。

表3 “个人信息共享、转让与公开披露”指标合规性分析

移动社交APP类型移动社交APP名称信息的委托处理、共享、转让、公开披露 共享、转让、公开披露的目的涉及的个人信息类型接收信息第三方类型安全和法律责任 即时通讯QQ√√×× 微信√××× Tim√√×× 婚恋交友珍爱网√×√√ 世纪佳缘√×√√ 百合婚恋√×√√ 陌生人社交陌陌√×√√ 探探√××√ Soul√√√√ 职场社交钉钉√√√× 脉脉√√×√ 领英√××√ 视频直播抖音√√×√ 快手√√√√ 西瓜视频√√×√ 内容社区微博√√√√ 小红书√√√√ 知乎√√√√ 豆瓣√√√√ 百度贴吧√√√√ 达标APP数目20131216 占总体百分比100%65%60%80%

（5）个人信息安全保护相关指标分析

在个人信息安全保护方面，存在的主要问题有：一是没有对用户进行风险提示，没有告知用户无法保障个人信息的绝对安全，没有提醒用户应提高自身信息安全意识；二是没有说明制订了应急预案或没有预案内容介绍，如“探探”、“快手”、“微博”、“豆瓣”等；三是未告知所取得的安全技术认证或达到的安全标准，如“世纪佳缘”、“百合婚恋”、“探探”、“Soul”等，告知所取得的安全技术认证或达到的安全标准，能够增加用户的信任，表明软件运营商在个人信息安全保障方面的权威；四是没有说明会加强员工对用户个人信息保护的素质培养，且没有明确信息安全的责任部门和人员，如“脉脉”、“领英”、“小红书”、“知乎”等。各类移动社交APP中，视频直播类APP的表现最好，“抖音”、“快手”、“小红书”6项指标全部达标，“领英”的表现最差，既没有设置单独模块，政策文本中也很少提及。

表4“个人信息安全保护”指标合规性分析

移动社交APP类型移动社交APP名称个人信息安全保障 风险提示应急预案安全事件处理安全保障措施安全技术认证员工素质培养 即时通讯QQ×√√√√√ 微信×√√√√√ Tim×√√√√√ 婚恋交友珍爱网√√√√√√ 世纪佳缘√√√√×√ 百合婚恋√√√√×√ 陌生人社交陌陌√√√√√√ 探探√×√√×√ Soul√√√√×√ 职场社交钉钉√×√√√√ 脉脉√×√√√× 领英×××√×× 视频直播抖音√√√√√√ 快手√×√√√√ 西瓜视频√√√√√√ 内容社区微博√×√√√√ 小红书√√√√×× 知乎√√√√√× 豆瓣√×√√√√ 百度贴吧√√√√×√ 达标APP数目161319201316 占总体百分比80%65%95%100%65%80%

（6）信息主体权利相关指标分析

在信息主体权利方面，根据《信息安全技术个人信息安全规范》的规定，个人信息保护政策应当包含个人信息主体的权利和实现机制，如查询方法、更正方法、删除方法、注销账户的方法、撤回授权同意的方法等，研究发现，“信息主体权利”方面的合规性程度较高，信息的查询访问、更正、删除以及注销账户等二级指标，20款APP全部达标，占比100%，仅“脉脉”APP在撤销授权同意方面存在问题。

（7）政策的修订与通知相关指标分析

隐私政策的修订与通知是指当隐私政策所载事项发生变化时，应及时更新个人信息保护政策并重新告知个人信息主体。隐私政策需说明政策变动通知的具体方式，以便用户在政策变动时及时了解到变动后的情况。其中“脉脉”和“领英”表现最差，均未设置单独的模块对隐私政策的修订与通知进行说明。此外，仅11款APP对重大变更范围进行了说明。

（8）联系方式与争议处理相关指标分析

在联系与争议处理环节，出现的问题较多，这一指标的合规性是所有评估指标中最差的，根据《信息安全技术个人信息安全规范》的规定，隐私政策中应当说明个人信息控制者的基本情况，包括主体身份、联系方式，说明用户投诉的渠道和机制，以及外部纠纷解决机构及联络方式。调查研究显示，所有社交应用软件均提供了联系方式。然而在争议处理方面存在问题，具体表现为：只有60%的APP明确表示，如果侵犯用户权益或违法将承担法律责任，极少数APP在隐私政策中提示用户认为自身合法权益受到侵犯时，可在有管辖权的法院提起诉讼。如《小红书用户隐私政策》中，表明如对其处理个人信息事宜引起的任何争议，可诉至上海市黄浦区人民法院。“世纪佳缘”在其隐私政策中还提供了其他的投诉或举报渠道，如网信、电信、公安及工商等监管部门。不足一半的APP提供了纠纷解决方案，然而只提供了大方向，没有明确详细的规定。每个社交APP都根据自己的需要制定具体的计划。例如，处理时间在15天左右，并且需要先验证用户身份，然后进一步了解纠纷再提供解决方案，这给及时快速解决纠纷带来了更多的障碍[7]。

表5 “联系方式与争议处理”指标合规性分析

移动社交APP类型移动社交APP名称联系与争议处理 联系方式与渠道投诉渠道承担法律责任情况争议解决侵权处理 即时通讯QQ√√××× 微信√√××× Tim√√××× 婚恋交友珍爱网√√√√√ 世纪佳缘√√√×√ 百合婚恋√√√×√ 陌生人社交陌陌√√√×√ 探探√√√×√ Soul√√√√× 职场社交钉钉√√√×√ 脉脉√×××× 领英√√××× 视频直播抖音√√××× 快手√√√×√ 西瓜视频√√××× 内容社区微博√×××× 小红书√√√√√ 知乎√×√√√ 豆瓣√√√√√ 百度贴吧√√√×√ 达标APP数目191612511 占总体百分比95%80%60%25%55%

（9）未成年人个人信息保护相关指标分析

20款移动社交APP当中，婚恋交友类APP“珍爱网”、“世纪佳缘”、“百合婚恋”与陌生类社交类APP“MOMO陌陌”、“探探”、“Soul”均表示只面向成年人提供服务，不允许未成年人使用其软件，因此不纳入该项指标的合规性考核，其余社交APP主要向成年人提供服务。根据相关法规，在缺乏监护人同意时，未成年人不得私自创建和使用账户，在涉及未成年人相关信息时，只有在法律允许和监护人明确同意后，才能收集、使用和披露，并且应删除未征得监护人同意的未成年人信息。同时，根据《儿童个人信息网络保护规定》，网络运营者应当设置专门的儿童（未满14周岁的未成年人）个人信息保护规则和用户协议。调查研究发现，在征得监护人同意方面，各APP表现较好。然而仅半数APP提示了监护人联系渠道，并表示若发现未经监护人同意将删除未成年人信息。部分面向未成年人提供服务的APP，未制定独立的《儿童个人信息保护政策》，区分14岁以下和14岁以上未成年人适用的内容，如“知乎”、“豆瓣”、“百度贴吧”均面向未成年人提供服务，却未对儿童和未成年人加以区分。所APP中“领英”的表现最差，隐私政策中并没有任何关于未成年人个人信息保护的内容。

表6 “未成年人个人信息保护”指标合规性分析

移动社交APP类型移动社交APP名称未成年人个人信息保护 征得监护人同意监护人联系渠道未经同意删除信息是否有独立的儿童个人信息保护政策 即时通讯QQ√√×√ 微信√√×√ Tim√√×√ 职场社交钉钉√√×√ 脉脉√××× 领英×××× 视频直播抖音√√√√ 快手√×√√ 西瓜视频√√√× 内容社区微博√××√ 小红书√×√√ 知乎√√√× 豆瓣√×√× 百度贴吧√√√× 达标APP数目13878 占总体百分比93%57%50%57%

4 主要结论与建议

（1）隐私政策文本晦涩冗长，表述模糊不清

首先，APP隐私政策的内容晦涩难懂、冗长繁琐，可读性低，多数APP隐私政策文本字数都达到10000字以上，最高可达17000字以上，如此长的文本需要用户花费大量的时间去阅读，即使用户有耐心读完，一些条款的说明专业性较强，用户难以理解，如对Cookie和同类技术的使用说明中含有大量专业词汇，普通用户难以读懂，缺乏相应的技术背景和专业知识，往往不知所云，因此在制定隐私政策时需要特别注意语言的平实、易懂，特别是涉及到技术问题时，应当对相关技术进行通俗地说明。

其次，APP隐私政策文本中仍然存在部分条款模棱两可，表述模糊不清，如在《探探隐私政策》中表明仅会出于合法、正当、必要、特定、明确的目的，共享提供服务所必要的个人信息。而这里“必要的个人信息”到底包含哪些信息，又该如何界定“必要”的范围，在隐私政策条款中并未见到相应的解释。在未成年人个人信息保护环节，隐私政策多仅以“征得监护人同意”作为未成年人个人信息管理限定，但都未说明监护人身份验证方式，如何确认是否征得监护人同意，隐私政策中并未进行明确说明，可操作性不强。

隐私政策一方面既要做到所列详尽，一方面又要做到简短易懂，这看似相互矛盾，其实不然，运营商在书写隐私政策时可以将简要易懂的重点内容放在前面供用户快速阅读理解，多利用附件或超链接的形式，将需要详尽列明的内容放在附件或超链接中，这样可以兼具可读性和专业性。

（2）将平台的利益放在首位，忽视用户权利

这一问题在信息的共享、转让、披露环节表现得尤为明显。尽管原则上消费者的个人数据不得共享、披露与转移，但在现实生活中，数据背后巨大的经济效益使得运营商难以抵制二次使用的诱惑。APP运营商们往往将用户数据与第三方共享，第三方通过算法进行特征与偏好分析，形成间接人群画像，精准推送商业广告。

20例移动社交APP的隐私政策都规定了消费者数据的共享、转让和公开披露。然而，通过对隐私政策的分析发现，大多数运营商强调的是，与关联方和合作伙伴共享消费者数据的权利；在企业合并、分立、清算时，转移消费者资料的权利；在数据主体同意，或维护公共利益或他人的合法利益的情况下，依法披露相关数据的权利。也就是说，经营者过分强调自己的权利，忽视应承担相应的义务和责任。例如，在有必要共享和传输用户信息时，应告知消费者信息共享的目的、涉及的个人信息的范围、接收方的类型以及安全与法律责任，然而，大多数运营商在这方面存在问题。强调权利条款而忽视义务或责任条款，再次体现了消费者面对经营者在数据收集和利用方面的“弱势地位”[8]。

（3）数据存储时限不明确

有史以来，对于我们而言，遗忘一直是常态，而记忆才是例外。然而，由于数字技术与全球网络的发展，这种平衡已经被改变了，遗忘已经变成了例外，而记忆却成为了常态[9]。用户享有被遗忘权，数据有生命周期这点对于个人信息保护来说是至关重要的。然而，调查研究显示，移动社交APP隐私政策当中对信息存储的时限规定并不明确，隐私政策中规定个人信息的保留期限为实现目的所需的必要时间，至于这个“必要时间”到底为多久，无法轻易确定，并没有给出一个明确的时间界限。

个人信息存储设置一个明确的时间界限是必要的，欧盟曾于2006年制定了《数据保留指令》（以下简称《指令》），将数据保留期限规定为6-24个月。然而，2014年4月8日，欧洲法院裁定，该指令无效，因为法院认识到，保留数据使以任何方式识别与用户或订户通信的人的身份，识别通信的时间和地点，并知道用户或订户与特定人在一定时间内的通信频率成为可能。然而，该指令允许相关国家机构访问这些数据，这严重干扰了对私人生活的尊重。此外，保留数据和使用数据而不通知用户或订户可能会让人觉得他们的个人生活不断受到监控[10]。今天，APP运营商们存储着大量用户的个人信息，并未给出信息存储的明确时间，用户们无时不处于各种APP的“监控”下，即使已经停止使用或卸载了某个APP，也难以摆脱其对个人信息的利用，依然承担着信息泄露的风险。

因此，需要为数据使用者设置一个“到期日”，当到期日到来时，设备会自动删除相关数据。这种“到期日设计”源于数据保留原则中的“目的限制”，“如果个人数据因某种特殊原因需要委托给某人，在目的实现后，不再存在允许使用个人数据的条件，自然要删除个人数据”。也就是给个人信息保存时间设定一个清晰的时间节点，依据留存时间长短，时间节点可分为以下几种：账户注销后的10个工作日、１个月、3个月、6个月、1年，等等。

[1]许笑. 基于用户体验的移动社交APP持续使用意愿研究[D]. 山东大学，2015.

[2]范昊，王贺，付少雄，等. 国内外社交媒体个人信息保护政策研究及启示[J]. 现代情报，2019，39（10）：136-144.

[3]何培育，马雅鑫，涂萌．Web浏览器用户隐私安全政策问题与对策研究[J]．图书馆，2019（2）：19-26．

[4]马文峰．试析内容分析法在社科情报学中的应用[J]．情报科学，2000（4）：346-349．

[5]任怡林. 移动App隐私保护政策分析与对策研究[J]. 青年记者，2019（20）：93-94.

[6]范昊，王贺，付少雄，等. 国内外社交媒体个人信息保护政策研究及启示[J]. 现代情报，2019，39（10）：136-144.

[7]肖雪，曹羽飞. 我国社交应用个人信息保护政策的合规性研究[J]. 情报理论与实践，2021，44（03）：91-100.

[8]李延舜. 我国移动应用软件隐私政策的合规审查及完善——基于49例隐私政策的文本考察[J]. 法商研究，2019，36（05）：26-39.

[9]维克托•迈尔•舍恩伯格. 删除：大数据取舍之道[M].浙江人民出版社，2013：16-17.

[10]王融. 大数据时代：数据保护与流动规则[M].人民邮电出版社，2017：61-62.