從什么時候開始,你手機上的App成了你的貼心閨蜜、鐵哥們兒?
它們知道你最近喜歡什么色號的口紅,你喜歡哪款游戲機,所以爭先恐后地給你推薦各種品牌;它們了解你喜歡的菜系從川菜變成了貴州菜,因此前仆后繼地給你推送當地的熱門餐廳;你和同事聊著家里寵物的話音還沒落,它們就開始在首頁展示熱銷的貓糧、狗糧......而這一切并非巧合,也許只是與你曾勾選過的App隱私政策有關。
《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)正式生效后,監管部門持續重拳出擊。
11月3日,工信部通報38款App存在超范圍、高頻次索取權限,非服務場景所必需收集用戶個人信息,欺騙誤導用戶下載等違規行為。
12月20日,國家計算機病毒應急處理中心發現17款移動應用存在隱私不合規行為,具體包括未向用戶明示申請的全部隱私權,App向第三方提供個人信息未做匿名化處理,未提供有效的更正、刪除個人信息及注銷用戶賬號功能等。
數字化時代,人們的生活顯然已無法離開智能手機和安裝其中的各種App。
無可否認,App確實給我們的工作和生活帶來了極大便利,但作為信息主體,除了感慨這是一個隱私“裸奔”的時代外,我們是否真正了解過,那些一遍遍勾選的隱私政策,到底對我們的權益有什么影響?
01、什么是App隱私政策
直觀上來看,隱私政策就是我們在使用App時,App運營者向我們展示的涉及用戶個人信息保護、收集以及使用的條款。進一步來看,App隱私政策是App運營者滿足監管要求的必備要件。
除《網絡安全法》的有關規定外,根據《個人信息保護法》中“處理個人信息應當遵循公開、透明原則,公開個人信息處理規則,明示處理的目的、方式和范圍”、“處理個人信息應當取得個人同意”等規定,只要是涉及處理個人信息的,App運營者就必須按照相關規定公開、明示規則,并且取得用戶同意。
綜上,隱私政策的實質是企業的個人信息保護政策,主要功能為公開個人信息處理者收集、使用個人信息的范圍和規則。
那App運營者在什么場景下需要收集、使用個人信息呢?
其實很簡單,第一,某些App需要采取個人信息才可以正常使用,尤其是涉及支付類、投資理財類的App;第二,App運營者可以通過收集、使用個人信息優化自身產品,為客戶提供更精準的服務;第三,按照法律法規需要強制收集、使用個人信息,例如根據《反洗錢法》必須收集的個人信息。
02、為什么我們會忽略關注隱私政策
12月,國家計算機網絡應急技術處理協調中心與中國網絡空間安全協會發布《App違法違規收集使用個人信息檢測分析報告》,該份報告顯示,App無隱私政策問題呈現下降趨勢,問題占比由2019年最高的26%,下降為今年的6.7%,該趨勢與《個人信息保護法》的頒布實施息息相關。
然而,捫心自問,作為信息主體的我們,有沒有真的了解過App隱私政策,或者說,我們為什么會忽略App隱私政策?
第一,隱私政策的呈現方式容易導致忽略。大多數App隱私政策是如何呈現的呢?一般來說都是在注冊或登陸App時,以在“您已閱讀并同意隱私政策”的文字前進行勾選表示同意。大多數用戶根本沒有意識到,在勾選前,需要先點擊隱私政策進行查閱。
第二,即使點開了,閱讀感受也很糟糕。以我們使用頻率最高的微信舉例,微信的隱私政策全文11,907個字,估算了一下,按照每分鐘500字的速度,閱讀完一篇這樣“分量”的文章大概需要23分鐘。所以,光是看完隱私政策,我們就需要23分鐘,更別提理解其中含義需要的時間了。
更何況,對于生活在數字化時代的我們,大多數人更愿意把時間花在刷抖音和微博上,基本上喪失了閱讀習慣,對文字的理解力已經大大減退,更別說隱私政策這種存在較多專業術語的文字內容。
第三,本質上,還是不了解隱私政策的真正意義所在。在我們的意識中,下載一個App的目的在于使用,并期待這款App給我們帶來不同的體驗和感受,而同意“隱私政策”這個動作僅僅只是我們在使用前的標準動作,并不會對我們的合法權益產生影響,這是大多數用戶的認知盲區。
但這“長篇大論”的隱私政策,恰恰蘊含著我國個人信息保護立法體系下,對個人信息保護的層層考慮。
03、《個人信息保護法》下,App隱私政策的正確打開方式
1.首先關注App隱私政策的“呈現”方式
除滿足《個人信息保護法》中數據處理者應公開個人信息處理規則的規定外,《App違法違規收集使用個人信息行為認定方法》還對隱私政策的“呈現”方式提出了進一步要求。
“在App首次運行時未通過彈窗等明顯方式提示用戶閱讀隱私政策等收集使用規則”、“隱私政策等收集使用規則難以訪問,如進入App主界面后,需多于4次點擊等操作才能訪問到”、“隱私政策等收集使用規則難以閱讀,如文字過小過密、顏色過淡、模糊不清,或未提供簡體中文版等”的情形,可被認定為“未公開收集使用規則”。
因此,作為個人用戶的我們,除關注所使用的App是否提供隱私政策外,還應當關注:我們在第一次打開App時,App是否以明顯方式提示了我們閱讀隱私政策;隱私政策是否“隱藏”太深,導致我們點擊多次才能進行訪問;以及隱私政策的文字和排版是否“閱讀友好”。
2.App隱私政策中是否明示處理目的、處理方式,處理的個人信息種類和保存期限
依據《個人信息保護法》第十七條的規定,個人信息者應當向個人告知個人信息的處理目的、處理方式,處理的種類和保存期限。示例如下:
3.App隱私政策中是否顯著標識敏感個人信息
《個人信息保護法》規定,App運營者處理敏感個人信息的,除一般告知外, 還應當向個人告知處理敏感個人信息的必要性以及對個人權益的影響。鑒于此,App隱私政策中應顯著標識敏感個人信息如下:
4.App隱私政策中是否明確信息主體享有的權利
實際上,在《個人信息保護法》正式生效前,《信息安全技術 個人信息安全規范》(GB/T 35273-2020)已對個人信息的查詢、更正、刪除、響應、投訴等一系列主體權利作出了規定,但該規范僅僅屬于國家標準,強制力較弱。在《個人信息保護法》以專章對“個人在個人信息處理活動中的權利”進行了明確規定后,查閱、復制、轉移、更正、刪除等內容應被納入App隱私政策。
5.App隱私政策中是否提供拒絕個性化推送的方式
我也不記得有多少次,看到微信朋友圈定向推送的減肥產品廣告了......,《個人信息保護法》生效后,為我們提供了關閉渠道。
根據《個人信息保護法》的規定,個人信息處理者通過自動化決策方式向個人進行信息推送、商業營銷的,應當同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式。就此,App隱私政策中應明確提供拒絕個性化推送的方式:
當然,以上僅僅是從非專業用戶角度出發,提出我們應當關注的幾個要點。對于App運營者而言,建議仔細對照《個人信息保護法》《App違法違規收集使用個人信息行為認定方法》《信息安全技術 個人信息安全規范》等規定及規范完善自身的隱私政策,方可避免被監管部門認定為存在違法違規收集個人信息行為的風險。
04、如果不同意隱私政策,會有什么后果?
現在,你可能想問,那如果不同意App的隱私政策,會怎么樣呢?
首先,根據《個人信息保護法》的規定,個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由,拒絕提供產品或者服務;處理個人信息屬于提供產品或者服務所必需的除外。
基于此,如果你不同意隱私政策,可能會面臨以下三種場景:
第一種場景,很遺憾,你必須要放棄這款App.......
按照《個人信息保護法》的上述規定,如所提供的個人信息屬于提供產品或者服務所必需的,例如對于某類App,它必須要收集、使用你的個人信息才能實現基本功能,那同意隱私政策是使用該類App的必選項。
這一類App最常見的就是支付類、銀行類或者投資理財類的。
可以試想一下,如果用戶想要使用的是銀行App,但又不同意App采取你的銀行卡號、身份證號、個人姓名,那結果肯定是無法使用的。
第二種場景,你可能只能使用App的部分功能,但無法使用基本業務功能.......
以之前的知乎為例,若用戶需要使用知乎的基本業務功能,則需要注冊成為知乎用戶,且必須要同意知乎收集用戶的個人信息,若用戶拒絕,則無法使用知乎的基本業務功能,包括閱讀并評價內容、發布內容以及關于其他用戶或內容等。
但如果用戶不需要使用上述功能,則可以在非注冊狀態下,以游客模式進行瀏覽,該種服務被稱為“僅瀏覽”模式。
第三種場景,可以不同意App中的某項業務功能收集、使用個人信息,但不影響其他業務功能.......
如App存在不同業務功能的,用戶可以選擇是否開通該業務功能,若選擇不開通的,并不會影響用戶使用其他業務功能。例如用戶因不愿意微信收集、使用步數信息,可以選擇不開通微信中的“微信運動”功能,但不會因為不開通,而導致用戶無法使用微信的其他功能,如聊天或者微信朋友圈功能。
總的來說,用戶不同意隱私政策時,可能會產生什么結果,需要結合具體場景具體分析。
05、結語
在App已融入我們衣食住行的今天,App過度收集個人信息,強迫用戶授予權限,通過描繪用戶畫像用于推送廣告等問題也層出不窮。
作為用戶,可能必須要接受一個殘酷的現實,在某些特定情形下,你關心的是App的使用功能,但App運營者可能更關心的是你的個人信息。
因此,在我國個人信息保護立法體系日益完善的同時,作為普通個人,我們也需要提高自己的法治意識,在打開手機上的App時,花上一些時間,了解自己在同意隱私政策的同時,究竟授予了App運營者哪些權限,并在權益收到侵害時,果斷地捍衛自己的權利。
本文來自微信公眾號“Internet Law Review”(ID:Internet-law-review),作者:劉航,36氪經授權發布。
