行業(ye) 主管部門應持續開展違法違規收集使用個(ge) 人信息專(zhuan) 項治理，充分發揮頭部平台的“看門人”作用，由其盡責履行對應用市場內(nei) App及平台內(nei) 小程序的監管義(yi) 務，規範相關(guan) App、小程序的個(ge) 人信息收集行為(wei) 。

　　打開手機，查看新聞資訊、分享心得體(ti) 會(hui) 、搜索美食、購買(mai) 物品……南京某高校教師小宇每天有大量時間花在手機上，手機內(nei) 置和安裝的App達150多個(ge) 。

　　她發現，每次注冊(ce) 賬號或者安裝軟件時，屏幕上都會(hui) 彈出“用戶協議和隱私政策”，但她都是直接拖拽到最底部，點擊“我已閱讀並同意用戶協議”。她告訴記者，那些協議篇幅過長、專(zhuan) 業(ye) 性強，認真讀完並弄懂協議內(nei) 容幾乎不可能做到。

　　小宇並不是特例，近期的一項調查研究顯示，在點擊同意之前，真正閱讀這些協議的用戶不到四成。

　　按理說，用戶協議是約定App開發者與(yu) 用戶之間權利與(yu) 義(yi) 務的法律文書(shu) ，對保障用戶隱私等權利有著重要的作用，為(wei) 何六成用戶將其略過？點擊同意後App獲得的權限是否均有必要？“過度要權”的情況是否存在？引導App調用隱私數據形成行業(ye) 規範，我們(men) 還需要做些什麽(me) ？

　　協議過長反會(hui) 阻礙用戶知情權

　　移動互聯網時代，App成了人們(men) 的必備工具。首次下載使用時，點擊“我已閱讀並同意用戶協議和隱私政策”也成為(wei) 常規操作。

　　對於(yu) 我們(men) 常見的App來說，用戶協議和隱私政策通常包含哪些方麵的內(nei) 容呢？

　　南京大學法學院單勇教授告訴科技日報記者，常規平台的用戶協議一般包括“信息收集範圍、信息的存儲(chu) 和保護方式、信息使用方式、涉及信息共享的告知以及涉及信息處理的告知”等內(nei) 容。

　　一旦用戶點擊同意，就意味著將自己的部分權利讓渡給App的運營公司，比如調用手機通訊錄、讀取手機存儲(chu) 、獲取定位信息、開啟藍牙或無線網絡等。

　　單勇說，根據《個(ge) 人信息保護法》，基於(yu) 用戶同意的個(ge) 人信息處理行為(wei) ，僅(jin) 具備為(wei) 達成特定目的處理個(ge) 人信息的權利，而為(wei) 製衡信息處理行為(wei) ，用戶依法享有知情同意、限製拒絕、查閱複製、修改刪除、撤回同意等權利。

　　然而，用戶協議動輒上萬(wan) 乃至數萬(wan) 字，充斥著大量專(zhuan) 業(ye) 、晦澀的內(nei) 容。據統計，5款下載量過億(yi) 次的手機App，平均每款需要用戶“閱讀並同意”的協議內(nei) 容約有2.7萬(wan) 字。

　　從(cong) 司法角度來看，協議越詳盡雙方權利責任就越明晰，因為(wei) 這是充分告知，能夠最大程度地避免事後糾紛。但是，從(cong) 實際使用的角度來說，動輒上萬(wan) 字的協議恰恰會(hui) 阻礙消費者的知情權。

　　因為(wei) 大多數用戶沒有耐心，也沒有專(zhuan) 業(ye) 知識看完並讀懂協議，在這樣的情況下勾選同意，也就讓用戶弄不清讓渡了哪些權利。

　　“App獲取哪些信息需要我同意、我有什麽(me) 權利、要承擔什麽(me) 責任，完全可以列出一個(ge) 清單來。”小宇希望用戶協議最好能“長話短說”，將與(yu) 用戶關(guan) 係密切的重要部分放到前麵突出顯示。

　　“過度要權”最終目的可能是獲利

　　“您的好友也在使用某App”“TA與(yu) 你有3位共同好友”“匹配您的通訊錄有助更快找到好友”……這樣的提示對於(yu) 很多手機使用者來說並不陌生。

　　移動互聯網的興(xing) 起，帶動了新型社交平台的發展，短視頻、購物、健身、新聞資訊等App，過去與(yu) 社交基本不沾邊，但如今都被賦予了社交屬性。

　　“數學領域有一個(ge) ‘小世界理論’，即世界上任何兩(liang) 個(ge) 人隻要通過6個(ge) 中間人就能建立聯係。”南京信息工程大學網絡安全專(zhuan) 家任勇軍(jun) 教授說，用戶點擊同意後，App通過調取通訊錄，並在後台進行數據匹配，就會(hui) 把你推薦給素不相識的人，並告訴對方你和TA有共同好友。

　　過去，要證明“小世界理論”並不容易，現在卻能輕易實現，我們(men) 在感歎“世界真小”的同時，是不是也要警惕App的“過度要權”呢？

　　單勇教授介紹說，2021年3月，國家四部委印發《常見類型移動互聯網應用程序（App）必要個(ge) 人信息範圍規定》，其中第五條以列舉(ju) 形式明確了39種常見類型App的必要個(ge) 人信息範圍，而通訊錄權限並不屬於(yu) 必要範圍。

　　2021年12月，國家計算機網絡應急技術處理協調中心、中國網絡空間安全協會(hui) 發布的《App違法違規收集使用個(ge) 人信息監測分析報告》稱，當前如“微信”“51Job”等頭部應用最新版本啟動均不索要存儲(chu) 、設備等無關(guan) 權限，但中小應用的“過度要權”問題仍十分嚴(yan) 重，僅(jin) 2021年9—12月監測顯示，在華為(wei) 、小米、騰訊應用寶等主流應用商店的新上架應用中，平均每月有近1000款存在此問題的應用上架。

　　部分App出於(yu) 精準用戶畫像、推廣營銷等商業(ye) 目的，想方設法在超出實現功能的必要範圍收集更多個(ge) 人信息。比如，某應用的電話攔截功能索要了短信、存儲(chu) 、通訊錄等7項敏感權限；某運動健身類應用在用戶使用觀看視頻等無關(guan) 功能時，每分鍾獲取位置信息近百次；某應用除了在共享位置時收集位置信息，還在掃碼支付等不相關(guan) 功能中收集位置信息，以用於(yu) 用戶消費行為(wei) 畫像分析。還有很多App盡管不再強製收集信息，仍在首次啟動時就彈窗索要多個(ge) 無關(guan) 權限。

　　“App獲取這些權限後，看似幫助用戶拓展了朋友圈和生活圈，但用戶的隱私信息也在無形中被暴露。App索要這些權限的根本原因還是企業(ye) 想要擴大市場或進行推廣，最終是為(wei) 了獲利。”任勇軍(jun) 認為(wei) 。

　　2021年，國家網信辦針對“七類”超範圍收集行為(wei) 進行重點整治，包括超範圍收集用戶通訊錄、精確地理位置、短信、通話記錄等在內(nei) 的一大批違法違規問題得到治理。

　　保護隱私需專(zhuan) 人“看門”

　　近日，國家計算機病毒應急處理中心通過互聯網監測發現，17款移動App存在隱私不合規行為(wei) ，涉嫌超範圍采集個(ge) 人隱私信息。

　　類似這樣的通報並不鮮見。僅(jin) 在2021年，國家網信辦就對存在嚴(yan) 重違法違規問題的351款App進行了公開通報，責令限期整改。

　　但是，App敏感數據收集問題仍舊突出。國家網信辦監測發現，60.7%的應用收集了安卓ID等設備唯一標識信息，55.4%的應用收集了應用列表信息，13.7%的應用收集了剪切板信息，而這類信息可用於(yu) 人物畫像、個(ge) 性化推送等業(ye) 務。

　　“個(ge) 人信息是重要的數據資產(chan) ，一些App尤其是公用事業(ye) 類的應用，擁有龐大的用戶群，不法分子和網絡黑客早就盯上了這些敏感信息，並形成黑色產(chan) 業(ye) 鏈。一旦App獲取的個(ge) 人信息被售賣，將在多個(ge) 層麵造成嚴(yan) 重的安全問題。”任勇軍(jun) 教授說，比如，用戶出行App或外賣App上麵存有百萬(wan) 級以上的用戶信息，一旦泄露可能不僅(jin) 影響個(ge) 人本身，甚至會(hui) 對國家安全造成危害。

　　任勇軍(jun) 表示，對於(yu) 用戶而言，不能因為(wei) 協議太長，就放棄閱讀。應當不隨意開放和同意不必要的隱私權限、不隨意輸入個(ge) 人隱私信息、定期維護和清理相關(guan) 數據，避免個(ge) 人隱私信息被泄露。

　　那麽(me) ，對於(yu) 監督管理部門來說，究竟該如何約束長篇大論的用戶協議，把保護用戶隱私落到實處？

　　當前，相關(guan) 機構正在起草《信息安全技術互聯網平台及產(chan) 品服務隱私協議要求》，可為(wei) 平台企業(ye) 的用戶協議及隱私政策合規提供指引。

　　相較於(yu) 製定相關(guan) 行業(ye) 規範，如何將規範落到實處是更值得關(guan) 注的問題。

　　單勇教授認為(wei) ，App違規收集用戶信息行為(wei) 無法根治的原因主要在於(yu) 三點：一是行業(ye) 主管部門的治理資源有限，僅(jin) 依靠行業(ye) 監管較難規範所有App的信息收集行為(wei) ；二是部分中小企業(ye) 存在僥(jiao) 幸心理，試圖通過違規行為(wei) 獲取更高經濟利益；三是《個(ge) 人信息保護法》等相關(guan) 法律雖賦予了用戶數據權利，但實踐中用戶權利的實現方式並不明晰，用戶在權利受侵害時難以有效維權。

　　“行業(ye) 主管部門應持續開展違法違規收集使用個(ge) 人信息專(zhuan) 項治理，充分發揮頭部平台的‘看門人’作用，由其盡責履行對應用市場內(nei) App及平台內(nei) 小程序的監管義(yi) 務，規範相關(guan) App、小程序的個(ge) 人信息收集行為(wei) 。”單勇還建議，對於(yu) 個(ge) 人信息保護投訴舉(ju) 報渠道和透明度報告機製應予以完善，維護用戶對行業(ye) 治理的知情權和監督權。（科技日報記者 張曄）