分析| 在手机上,你的隐私比你想象的更重要
(本文首发于InternetLawReview,授权紫金财经发布,转载请注明来源) 从什么时候开始,你手机上的App成了你的贴心闺蜜、铁哥们儿?
(本文首发于Internet Law Review,授权紫金财经发布,转载请注明来源)
从什么时候开始,你手机上的App成了你的贴心闺蜜、铁哥们儿?
它们知道你最近喜欢什么色号的口红,你喜欢哪款游戏机,所以争先恐后地给你推荐各种品牌;它们了解你喜欢的菜系从川菜变成了贵州菜,因此前仆后继地给你推送当地的热门餐厅;你和同事聊着家里宠物的话音还没落,它们就开始在首页展示热销的猫粮、狗粮......而这一切并非巧合,也许只是与你曾勾选过的App隐私政策有关。
《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)正式生效后,监管部门持续重拳出击。
11月3日,工信部通报38款App存在超范围、高频次索取权限,非服务场景所必需收集用户个人信息,欺骗误导用户下载等违规行为。
12月20日,国家计算机病毒应急处理中心发现17款移动应用存在隐私不合规行为,具体包括未向用户明示申请的全部隐私权,App向第三方提供个人信息未做匿名化处理,未提供有效的更正、删除个人信息及注销用户账号功能等。
数字化时代,人们的生活显然已无法离开智能手机和安装其中的各种App。
无可否认,App确实给我们的工作和生活带来了极大便利,但作为信息主体,除了感慨这是一个隐私“裸奔”的时代外,我们是否真正了解过,那些一遍遍勾选的隐私政策,到底对我们的权益有什么影响?
01 什么是App隐私政策
直观上来看,隐私政策就是我们在使用App时,App运营者向我们展示的涉及用户个人信息保护、收集以及使用的条款。进一步来看,App隐私政策是App运营者满足监管要求的必备要件。
除《网络安全法》的有关规定外,根据《个人信息保护法》中“处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围”、“处理个人信息应当取得个人同意”等规定,只要是涉及处理个人信息的,App运营者就必须按照相关规定公开、明示规则,并且取得用户同意。
综上,隐私政策的实质是企业的个人信息保护政策,主要功能为公开个人信息处理者收集、使用个人信息的范围和规则。
那App运营者在什么场景下需要收集、使用个人信息呢?
其实很简单,第一,某些App需要采取个人信息才可以正常使用,尤其是涉及支付类、投资理财类的App;第二,App运营者可以通过收集、使用个人信息优化自身产品,为客户提供更精准的服务;第三,按照法律法规需要强制收集、使用个人信息,例如根据《反洗钱法》必须收集的个人信息。
02 为什么我们会忽略关注隐私政策
12月,国家计算机网络应急技术处理协调中心与中国网络空间安全协会发布《App违法违规收集使用个人信息检测分析报告》,该份报告显示,App无隐私政策问题呈现下降趋势,问题占比由2019年最高的26%,下降为今年的6.7%,该趋势与《个人信息保护法》的颁布实施息息相关。
然而,扪心自问,作为信息主体的我们,有没有真的了解过App隐私政策,或者说,我们为什么会忽略App隐私政策?
第一,隐私政策的呈现方式容易导致忽略。大多数App隐私政策是如何呈现的呢?一般来说都是在注册或登陆App时,以在“您已阅读并同意隐私政策”的文字前进行勾选表示同意。大多数用户根本没有意识到,在勾选前,需要先点击隐私政策进行查阅。
第二,即使点开了,阅读感受也很糟糕。以我们使用频率最高的微信举例,微信的隐私政策全文11,907个字,估算了一下,按照每分钟500字的速度,阅读完一篇这样“分量”的文章大概需要23分钟。所以,光是看完隐私政策,我们就需要23分钟,更别提理解其中含义需要的时间了。
更何况,对于生活在数字化时代的我们,大多数人更愿意把时间花在刷抖音和微博上,基本上丧失了阅读习惯,对文字的理解力已经大大减退,更别说隐私政策这种存在较多专业术语的文字内容。
第三,本质上,还是不了解隐私政策的真正意义所在。在我们的意识中,下载一个App的目的在于使用,并期待这款App给我们带来不同的体验和感受,而同意“隐私政策”这个动作仅仅只是我们在使用前的标准动作,并不会对我们的合法权益产生影响,这是大多数用户的认知盲区。
但这“长篇大论”的隐私政策,恰恰蕴含着我国个人信息保护立法体系下,对个人信息保护的层层考虑。
03《个人信息保护法》下,App隐私政策的正确打开方式
1.首先关注App隐私政策的“呈现”方式
除满足《个人信息保护法》中数据处理者应公开个人信息处理规则的规定外,《App违法违规收集使用个人信息行为认定方法》还对隐私政策的“呈现”方式提出了进一步要求。
“在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则”、“隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到”、“隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等”的情形,可被认定为“未公开收集使用规则”。
因此,作为个人用户的我们,除关注所使用的App是否提供隐私政策外,还应当关注:我们在第一次打开App时,App是否以明显方式提示了我们阅读隐私政策;隐私政策是否“隐藏”太深,导致我们点击多次才能进行访问;以及隐私政策的文字和排版是否“阅读友好”。
2.App隐私政策中是否明示处理目的、处理方式,处理的个人信息种类和保存期限
依据《个人信息保护法》第十七条的规定,个人信息者应当向个人告知个人信息的处理目的、处理方式,处理的种类和保存期限。示例如下:
3.App隐私政策中是否显著标识敏感个人信息
《个人信息保护法》规定,App运营者处理敏感个人信息的,除一般告知外, 还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。鉴于此,App隐私政策中应显著标识敏感个人信息如下:
4.App隐私政策中是否明确信息主体享有的权利
实际上,在《个人信息保护法》正式生效前,《信息安全技术 个人信息安全规范》(GB/T 35273-2020)已对个人信息的查询、更正、删除、响应、投诉等一系列主体权利作出了规定,但该规范仅仅属于国家标准,强制力较弱。在《个人信息保护法》以专章对“个人在个人信息处理活动中的权利”进行了明确规定后,查阅、复制、转移、更正、删除等内容应被纳入App隐私政策。
5.App隐私政策中是否提供拒绝个性化推送的方式
我也不记得有多少次,看到微信朋友圈定向推送的减肥产品广告了......,《个人信息保护法》生效后,为我们提供了关闭渠道。
根据《个人信息保护法》的规定,个人信息处理者通过自动化决策方式向个人进行信息推送、商业营销的,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。就此,App隐私政策中应明确提供拒绝个性化推送的方式:
当然,以上仅仅是从非专业用户角度出发,提出我们应当关注的几个要点。对于App运营者而言,建议仔细对照《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》《信息安全技术 个人信息安全规范》等规定及规范完善自身的隐私政策,方可避免被监管部门认定为存在违法违规收集个人信息行为的风险。
04 如果不同意隐私政策,会有什么后果?
现在,你可能想问,那如果不同意App的隐私政策,会怎么样呢?
首先,根据《个人信息保护法》的规定,个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
基于此,如果你不同意隐私政策,可能会面临以下三种场景:
第一种场景,很遗憾,你必须要放弃这款App.......
按照《个人信息保护法》的上述规定,如所提供的个人信息属于提供产品或者服务所必需的,例如对于某类App,它必须要收集、使用你的个人信息才能实现基本功能,那同意隐私政策是使用该类App的必选项。
这一类App最常见的就是支付类、银行类或者投资理财类的。
可以试想一下,如果用户想要使用的是银行App,但又不同意App采取你的银行卡号、身份证号、个人姓名,那结果肯定是无法使用的。
第二种场景,你可能只能使用App的部分功能,但无法使用基本业务功能.......
以之前的知乎为例,若用户需要使用知乎的基本业务功能,则需要注册成为知乎用户,且必须要同意知乎收集用户的个人信息,若用户拒绝,则无法使用知乎的基本业务功能,包括阅读并评价内容、发布内容以及关于其他用户或内容等。
但如果用户不需要使用上述功能,则可以在非注册状态下,以游客模式进行浏览,该种服务被称为“仅浏览”模式。
第三种场景,可以不同意App中的某项业务功能收集、使用个人信息,但不影响其他业务功能.......
如App存在不同业务功能的,用户可以选择是否开通该业务功能,若选择不开通的,并不会影响用户使用其他业务功能。例如用户因不愿意微信收集、使用步数信息,可以选择不开通微信中的“微信运动”功能,但不会因为不开通,而导致用户无法使用微信的其他功能,如聊天或者微信朋友圈功能。
总的来说,用户不同意隐私政策时,可能会产生什么结果,需要结合具体场景具体分析。
05 结语
在App已融入我们衣食住行的今天,App过度收集个人信息,强迫用户授予权限,通过描绘用户画像用于推送广告等问题也层出不穷。
作为用户,可能必须要接受一个残酷的现实,在某些特定情形下,你关心的是App的使用功能,但App运营者可能更关心的是你的个人信息。
因此,在我国个人信息保护立法体系日益完善的同时,作为普通个人,我们也需要提高自己的法治意识,在打开手机上的App时,花上一些时间,了解自己在同意隐私政策的同时,究竟授予了App运营者哪些权限,并在权益收到侵害时,果断地捍卫自己的权利。(作者:刘航《互联网法律评论》特约专家 上海中联(贵阳)律师事务所合伙人)