隱私條款真的能防止APP“越界”收集個人資訊麽？

原文首發於447期《法治周末》4版

原題：多款App被指“越界”收集個人資訊

哪些App“竊取”了消費者個人資訊？哪些App“非法使用”了消費者資訊？哪些App存在洩露個人資訊的隱患？

8月至10月，中國消費者協會(以下簡稱中消協)開展了App個人資訊保護情況測評活動，消費維權志願者對10類(通訊社交、影音播放、網上購物、交易支付、出行導航、金融理財、旅遊住宿、新聞閱讀、郵箱雲盤和拍攝美化)100款App進行現場體驗。

近日，中消協發布的《100款App個人資訊收集與隱私政策測評報告》(以下簡稱《報告》)給出了測評答案，並從App用戶協定、隱私政策等方面作出了綜合評價。

中國人民大學商法研究所所長、中國消費者協會副會長劉俊海表示，此《報告》意在提醒消費者下載App時要認真閱讀應用權限和用戶協定或隱私政策，隻提供必要資訊，如果使用過程中發現資訊洩露，要留存相關證據，依法主動維權。

過度收集的用戶資訊

《報告》指出，100款App中，多達91款App列出的權限存在涉嫌“越界”收集用戶資訊。其中，出行導航、金融理財、拍攝美化、通訊社交和影音播放5類App中，每一款都涉嫌存在過度收集或使用用戶資訊的情況。

測評結果顯示，“位置資訊”“通訊錄資訊”和“手機號碼”是過度收集或使用個人資訊最常見的內容。此外，用戶的“身份資訊”，包括個人照片、個人財產資訊、生物識別資訊、工作資訊等，以及交易账號資訊、交易記錄、上網瀏覽記錄、教育資訊、車輛資訊以及簡訊資訊等均存在被過度使用或收集的現象。

按照個人資訊安全規範規定，對個人資訊的收集應有明確的目的，不得超出產品功能相關目的外收集額外的個人資訊。很多被測評的App在其隱私政策等檔案中，未將其收集的個人資訊與其實現的產品功能明確掛鉤，其中很多個人資訊與消費者通常理解的產品功能之間無明顯關聯，甚至明顯超出合理範圍。

比如，新聞閱讀類App聚看點收集個人身份資訊(生日、籍貫)、個人上網記錄、個人財產資訊、位置資訊和通訊錄資訊，但各類資訊對應的業務功能未明確說明；網易彩票App收集個人財產證明、個人上網記錄、通訊資訊、位置資訊(包括行程、住宿)等資訊。

定位資訊的過度收集或使用是眾多App普遍且突出的問題。100款App中，59款App涉嫌過度收集“位置資訊”，被點名的App包括天天P圖和咪咕影片。今年“五四”青年節，天天P圖推出的一款“前世青年照”小遊戲，就引發了用戶對於個人資訊安全隱患的擔憂。

《報告》認為，出行導航、旅遊住宿、網上購物類App對於用戶個人位置資訊具有根據定位資訊提供產品和服務的合理訴求。但是，對於大部分社交類、影音播放類、拍攝美化類、新聞閱讀以及金融理財類App來說，用戶的位置資訊屬於非必需資訊。

常用App美圖秀秀“榜上有名”，被點名涉嫌過度收集可識別生物資訊、財務資訊等。《報告》指出，個人財產資訊、個人生物識別資訊屬於個人敏感資訊。個人敏感資訊一旦洩露，將導致個人資訊主體及收集、使用個人資訊的組織和機構喪失對個人資訊的控制能力，造成個人資訊擴散範圍和用途的不可控，可能對個人資訊主體人身和財產帶來重大風險。

形同虛設的隱私條款

個人資訊安全規範對於個人資訊收集、保存、使用、流轉等環節提出了要求，是國內在個人資訊保護實踐方面的重要參考標準。基於“隱私政策應公開發布且易於訪問”的原則，測評活動對100款App的隱私條款進行測評。

測評結果顯示，有47款App隱私條款內容不達標，其中有34款未對用戶公布個人資訊隱私條款。

不達標的App存在隱私條款籠統不清，對收集、使用個人資訊的目的、方式、範圍、保存期限和地點等沒有明確說明的問題。常用交易支付類App支付寶被指未在收集的資訊種類中注明個人敏感資訊，且未對核心和附加功能進行區分，導致用戶易認為所收集的資訊均為必需項。

此外，中消協稱，個人資訊收集規則包括明確告知用戶收集的個人資訊類型，以及收集敏感資訊時明確告知用戶，並告知用戶拒絕提供將帶來的影響。中國建設銀行App收集個人敏感資訊時，雖然概括性地告知了敏感資訊的種類和使用的方式，但未告知拒絕提供將具體影響哪些功能。

中國社會科學院文化法制研究中心研究員劉明曾表示，很多時候，用戶自認為收集的某些數據沒有用，但是從商家角度來說，確實是其所提供服務的組成部分或必要部分，這種情況下，不僅要告訴用戶收集哪些資訊，還要告知用戶這些資訊用於哪些服務。

不主動向用戶展示隱私條款或展示內容晦澀冗長、征求用戶授權同意時，未給用戶足夠選擇權也是隱私條款內容不達標App的典型問題之一。拚多多的隱私政策規定，當用戶點擊同意該政策或使用拚多多提供的任一服務時，即表示用戶已同意該政策的全部內容，自願授權我們按該政策收集、使用、共享、管理和保護用戶個人資訊。該條款被批涉嫌“綁架”用戶。

近八成App存在默認同意隱私條款的現象，並未征得用戶同意。其中，金融理財和交易支付類App默認同意隱私條款的現象相對較嚴重。

測評發現，有42款App對外提供個人資訊時不會單獨告知並征得用戶同意。其中，ofo小黃車App在向關聯公司及第三方分享相關資訊時，未單獨征得用戶同意，且對外提供行為未體現其必要性，其存在的風險不得而知。

ofo小黃車存在的問題還包括，用戶可以更正基本資訊，但未向用戶明確說明撤回同意、刪除更正個人資訊的方式，聯繫客服的方式不夠便利，且未說明響應時間。

從源頭加強個人資訊保護

從測評情況來看，10類App中大多數App僅達到及格水準甚至低於及格水準，各類型App均存在過度收集資訊、無隱私條款、條款不完整以及不合理格式條款等問題，表明我國當前在保護消費者個人資訊形勢的嚴峻性。

8月，中消協發布的《App個人資訊洩露情況調查報告》顯示，超八成受訪者曾遭遇個人資訊洩露問題，常見情形為推銷電話、簡訊騷擾、詐騙電話、垃圾郵件。

對此，劉俊海表示，洩露個人隱私，侵害了用戶的隱私權、個人資訊權，也可能威脅到用戶的人身和財產權益。一些企業利用個人資訊進行精準行銷，還有一些不法團夥在掌握了一定用戶資訊以後，有針對性的進行詐騙。當前，非法獲取、非法提供、非法銷售個人資訊的產業鏈已經形成。

日前，浙江省溫州市警察局抓獲18名侵犯公民個人資訊和購買公民個人資訊的犯罪嫌疑人，涉案公民個人資訊達2000餘萬條，涉案金額500餘萬元。這些犯罪嫌人盜取網絡用戶使用App時的注冊數據，將個人資訊售賣給不正規的網貸公司用於業務推廣。

事實上，中國檢察機構近年來不斷推動完善個人資訊司法保護的法律依據，依法打擊侵犯個人資訊犯罪，2016年1月至2018年9月，檢察機構共起訴侵犯個人資訊犯罪案件3719件8719人。

不過，劉俊海強調，防止侵犯公民個人資訊，還要從源頭治理，App經營者要遵循正當、合法、必要、明示、公開、知情、同意、保密、安全的基本原則，如果違反規定就應該承擔相應的法律責任。

《報告》建議，各App經營者主動引導用戶閱讀和理解隱私政策的核心內容，不使用默認同意的選項，變默認勾選為消費者主動勾選；根據核心功能和擴展功能明示個人資訊收集範圍，給予消費者知情權和選擇權；盡可能少的收集消費者個人資訊，並采取有效措施，保護消費者個人資訊安全。

與此同時，應用商店履行平台審核責任，強化App隱私條款的明示公示義務，對於沒有隱私條款的應當及時下架，並提醒消費者謹慎下載使用，應當要求相關隱私條款內容不得損害消費者合法權益，不得保留不公平格式條款。

—END—

責編 | 吳昊 王碩