用户对APP用户协议点击的“同意”,意味着对产品或服务的提供商进行授权,但这种授权不意味着全部授权——对一些特定情形和个人敏感信息,APP依然需要单独获得用户同意
用户对协议条款一键点击的“同意”,并不意味着APP可以随意处理用户个人信息——企业处理个人信息需要符合“最小必要”要求
“法网”越织越密,但缺乏侦办、惩处一批有影响力的典型案件,而真实案例往往比法律法规更容易被用户接受、被企业重视。“不能光有‘交规’,也要有‘罚单’”
用守护个人信息安全的技术来加持技术,也许会成为未来适应市场新需求的一个方向
文 |《瞭望》新闻周刊记者 于雪 实习生 吴倩
近日,有媒体记者调查发现,某网贷平台在贷款人同意用户隐私协议后,将其个人信息一键授权给1292家公司。
相关案例并不鲜见。一段时间以来,APP基于用户在用户协议(含隐私条款)时选择的“一键同意”,在后台反复读取用户相册信息、擅自获取用户定位,甚至远程私自删除相册图片、利用算法推荐技术进行大数据杀熟等新闻频繁曝出,令用户不安。
用户对协议条款点击的“同意”,究竟同意了什么?只要用户点击“同意”,APP就可以随意处理用户信息吗?以一键“同意”为代表的高技术领域执法难题如何破解?……诸多疑问既关乎每个人的切身利益,也关乎大数据时代的数字治理能力。
“同意”了什么
根据相关法律规定,所有网络产品和服务都必须设立用户协议。
这也意味着,用户一般需要对用户协议勾选“同意”,才能继续使用该产品或服务。
专家表示,点击“同意”,意味着用户对产品或服务的提供商进行授权。
据了解,这种授权包括两方面内容,一是是否授权处理用户信息、授权哪些信息处理方式(比如收集、存储、使用、加工、传输、提供、公开、删除等);二是对处理用户信息的范围是否授权,比如是否可使用相机、麦克风,是否可访问相册、位置信息等。
上海段和段律师事务所合伙人刘春泉律师表示,在法律意义上,用户点击“同意”,即表示知晓并同意协议所有内容,同时允许此APP依法对个人信息进行处理。
不过在实践层面,不少用户虽然点击了“同意”,却仍不明确知晓APP可以做什么、将会做什么,以及相应的法律后果、安全风险等。
武汉大学网络治理研究院副院长袁康的一项调查显示,77.8%的用户在安装APP时“很少或从未”阅读过隐私协议,69.69%的用户会忽略APP隐私协议的更新提示。
原因之一是冗长繁杂的信息,以及充斥其中的专业术语。
中国社会科学院大学互联网法治研究中心执行主任刘晓春说,一些下载量过亿次的APP,平均每款APP需要用户“阅读并同意”的内容约2.7万字。这种情况下,即便用户勾选“同意”,也是基于信息不对称做出的非理性选择,建议细化对用户协议透明性的规范要求,通过清单制简洁明了地列出消费者需要了解的内容,降低阅读门槛。
监测发现 王琪图/本刊
一键“同意”埋有三坑
而在用户并不明确了解的用户协议里,可能埋有三个坑。
第一坑,默认一键“同意”等于全部授权。一些APP在实际操作中将用户对产品或服务的授权视为对服务提供商的全部授权。其实,对一些特定情形和个人敏感信息,APP依然需要单独获得用户同意。
中国政法大学传播法研究中心副主任朱巍说,目前很多APP获取用户个人信息后,为了匹配更适合用户的POI(兴趣点)模式进行精准营销,常常会将用户信息提供给第三方。一些APP会选择在初始协议中设定相关条款,告知用户“有权将其许可给任何第三方使用”“实际行使时无须另行征得您的同意”,但这并不意味着用户放弃对其个人信息被流通、转让的审查权利。
刘晓春表示,根据个人信息保护法要求,APP在处理个人敏感信息或是将个人信息提供给第三方时,必须取得个人单独同意或书面同意,并且要赋予用户可以拒绝的权利。“这一规定是一个巨大进步,它意味着企业不再可能通过一键‘同意’就获得全部授权,它甚至比被业内看作标杆的欧盟版GDPR(《通用数据保护条例》)还要严。”
第二坑,默认一键“同意”等于次次同意。一些APP会附加免责条款,比如在用户协议中提出,公司有权根据需要不定期地制订、修改本协议及/或各类规则,不再另行单独通知用户,并称“消费者使用平台服务,即表明接受修订后的协议和规则”。
刘晓春认为:“这属于霸王条款,有违立法精神和现行法律规定,不属于法律认可的免责情形。”
刘晓春说,根据个人信息保护法相关规定,个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
第三坑,默认用户一键“同意”后,APP可以随意处理个人信息。事实上,用户点击“同意”只是授权APP可以为其提供相关产品或服务,并不意味着企业拿到了规避责任的“免死金牌”。
根据个人信息保护法相关规定,APP处理个人信息必须遵循合法、正当、必要、诚信四大基本原则。同时,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
专家分析,这也意味着企业处理个人信息需要符合“最小必要”要求。
实践层面,相关法律法规也在不断厘清何为“最小必要”。
2019年,国家网信办、工信部等部门联合发布《APP违法违规收集使用个人信息行为认定方法》,明确了“违反必要原则,收集与其提供的服务无关的个人信息”的6种行为。
2021年5月起施行的《常见类型移动互联网应用程序必要个人信息范围规定》,针对39类常见类型APP规范了“必要个人信息”的范围。比如地图导航类应用,必要个人信息为:位置信息、出发地、到达地。那么,诸如相册、麦克风、通讯录等均不属必要范畴。
刘春泉提醒,由于互联网技术日新月异,几乎每天都有最新应用上线,原有APP的功能也在快速迭代,目前仍很难对市面上所有的APP划定何为“最小必要”的明确标准,已有法条中的规定需要在实践中动态调整。
专家表示,随着个人信息保护法的实施,我国对个人信息保护的具体规则和标准已趋完善、细致,但无论是监管部门、司法执法部门、从业者还是普通用户,也还都需要去熟悉、了解相关法律法规,并在实践中不断落实、细化。
在刘春泉看来,当前的问题“不是没有立法,而是执法不到位”。
他说,“法网”越织越密,但缺乏侦办、惩处一批有影响力的典型案件,而真实案例往往比法律法规更容易被用户接受、被企业重视。“不能光有‘交规’,也要有‘罚单’。”刘春泉说。
高技术领域执法难题待解
有“交规”、缺“罚单”的背后,折射出我国高技术领域的执法难题。
其一,政策制定者、监管方和企业之间存在信息鸿沟。与企业相比,政策制定者、监管方有丰富的法律知识储备,但技术素养稍逊一筹,在具体实践中,要想准确甄别企业的违法违规行为,特别是要在纷繁复杂的技术架构中找出并有效固定证据,难度较大。因此,完善法律法规仅仅只是第一步,关键是各方都能弄懂、弄通,进而能够有力保障法律执行到位。
其二,不同企业在执行法律法规的能力上存在显著差别。据胡钢介绍,近年对个人信息保护力度不断加大,对违法违规行为的惩处从严、从速、从重,根据个人信息保护法相关规定,个人信息保护法针对情节严重的违法行为,最高可“没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款”,并可责令暂停相关业务或者停业整顿、吊销相关业务许可或者吊销营业执照,这给互联网企业开展数据合规带来极强动力。
刘春泉认为,大型互联网企业出于利益考量,会花更多时间、聘请更多专业人士参与制定用户协议,而对小企业来说,很难有如此巨大的投入。
其三,用户依法维权意识不足,维权能力有限。胡钢表示,若APP经营者未遵循相关法律法规,违背上述原则,涉嫌以误导、欺诈、胁迫等方式处理个人信息。若存在不同意就不让用的行为,涉嫌侵害公民的法定拒绝权。不仅如此,若用户协议中的格式条款含有减轻或者免除经营者责任、排除或者限制消费者权利、加重消费者责任等对消费者不公平、不合理的规定,依据民法典和消费者权益保护法等相关法律规定,含有上述内容的格式条款无效。公民可向消费者组织申请调解,也可向监管部门投诉,或者向人民法院起诉。
不过,囿于不熟悉相关法律知识以及时间、精力等方面限制,鲜有普通用户能够主动依法维权。加之用户对信息技术和法律知识了解有限,在与企业的利益博弈中,这场力量悬殊的较量给企业留出回旋空间。
用技术加持技术
多位受访专家表示,破解高技术领域的执法难题,构建个人信息的“防火墙”,要在人才和技术方面持续努力。
胡钢介绍说,目前我国部分高校已经开设信息法、网络法、数据法等课程,启动计算法学等交叉学科的研究生项目,进行法学与信息科学等方向的交叉研究学习,力求培养出一批既精通法律规则、又熟悉信息技术的高端复合型人才。在司法界,也将数据合规业务作为主攻方向之一,大力钻研拓展。相信多方共同发力、协同育才会在未来产生更加积极的影响。
此外,刘晓春建议开发、推广一些保护隐私安全的监测类软件,或者成立可信赖的、代表技术中立的第三方机构,创建更加透明、更加良性的数据安全环境。
对企业来说,用技术加持技术也许会成为未来适应市场新需求的方向。专家建议,企业可以采用可视化技术,将复杂的用户协议内容生成动图或视频动画,直观清晰地呈现出来,让用户真正做到“知情同意”。在市场竞争愈发激烈的背景下,只要用户认可,就不怕企业不买单。
在2021国家网络安全宣传周上,隐私计算、信源密信等一批守护个人信息安全的新技术亮相。浙江大学网络空间安全学院教授张秉晟表示,这些技术可以在不解码具体信息的前提下,对数据进行处理,既有效保护主体的数据安全,又不影响原有业务。
刘晓春认为,用技术来保护信息安全未来可期,但前路漫漫。“目前,业内对这些技术的安全性、有效性尚存争议,在具体应用过程中,需要更加值得信赖的第三方对其进行评估。”
但在实践层面,当前掌握此类技术的开发人员少之又少,强制所有APP都应用这样的技术手段并不现实,还可能会影响企业后续的开发活力和创造性。专家建议,未来可将此类技术作为网络空间里的基础设施,不需要每个开发人员都要掌握,而是通过简单调用接口就可得到标准化、一体化、自动化、智能化的解决方案。
同时也要看到,告知和同意是互联网监管层面最底层的规则,必要性、重要性日益凸显。刘晓春表示,目前监管思路正在由事后监管向事前监管、事中监管转型,未来可通过底层规则的完善和监管逻辑的转变,尽最大可能为用户创立一个可控、可信任、可预期的网络生态空间。
此外,近年一些地方借力公益诉讼,办理了一批涉及个人信息保护的典型案例,具有示范意义。目前对公益诉讼的受案范围缺乏立法确认,对侵犯个人信息的行为是否适用公益诉讼尚存争议,专家建议推进公益诉讼机制的制度化,完善公益诉讼程序。■
,
