?? 為了解網(wǎng)絡(luò)運(yùn)營商在收集哪些個(gè)人信息及用作何處，南都記者近日查閱了50家網(wǎng)站和APP的隱私政策(協(xié)議)，發(fā)現(xiàn)存在諸多問題。對(duì)此，中國工程院院士沈昌祥告訴南都記者，這要求運(yùn)營者遵守網(wǎng)絡(luò)安全法，做好保護(hù)用戶隱私的工作。

　　調(diào)查說明

　　隨機(jī)選取常見網(wǎng)站及APP評(píng)分標(biāo)準(zhǔn)細(xì)分為十個(gè)選項(xiàng)

　　近日，南都記者隨機(jī)選取常見的50家網(wǎng)站及APP，從官方網(wǎng)站或APP中下載最新的使用條款及用戶協(xié)議。采樣截止時(shí)間為2017年3月3日。

　　參考現(xiàn)行法律法規(guī)以及個(gè)人信息政策規(guī)定較為完善的網(wǎng)站，南都記者在評(píng)分標(biāo)準(zhǔn)上細(xì)分為十個(gè)選項(xiàng)，分別從是否及時(shí)準(zhǔn)確提供隱私政策、是否公布收集信息的種類手段和目的、是否公布如何使用個(gè)人信息、用戶是否有選擇權(quán)、是否明示用戶信息可能被披露的情況、用戶是否有修改信息的權(quán)利、隱形信息收集技術(shù)是否有說明、是否對(duì)數(shù)據(jù)安全管理進(jìn)行說明、向第三方或關(guān)聯(lián)方傳輸及共享信息是否說明、是否設(shè)置投訴和反饋機(jī)制10個(gè)方面為各網(wǎng)站及APP的隱私政策打分，每項(xiàng)滿分5分，共計(jì)滿分50分。

　　需要說明的是，打分高的網(wǎng)站或APP并不意味著其對(duì)公民的個(gè)人隱私具有最高的保護(hù)力度，而僅表示在個(gè)人隱私政策制度制定方面相對(duì)完善。

　　從打分結(jié)果上來看，南都記者發(fā)現(xiàn)，如果以30分作為及格線，能夠達(dá)到及格或以上的網(wǎng)站或APP僅有7家，超過半數(shù)(27家)的網(wǎng)站或APP都在20分或以下，評(píng)分不足10分的達(dá)9家。

　　根據(jù)南都記者統(tǒng)計(jì)，在50家網(wǎng)站、APP中，有30家制定了獨(dú)立的隱私政策，18家關(guān)于隱私保護(hù)的內(nèi)容存在于用戶協(xié)議中，2家完全沒有關(guān)于隱私的聲明。

　　盡管被選取的網(wǎng)站和APP中多數(shù)都有關(guān)于個(gè)人信息保護(hù)的相關(guān)說明，但南都記者發(fā)現(xiàn)，大多數(shù)網(wǎng)站和APP都對(duì)同意用戶協(xié)議采取了默認(rèn)勾選，更有部分APP在用戶首次使用時(shí)，并不告知他們存在使用協(xié)議，用戶輕易就“被同意”了。如在使用滴滴出行APP時(shí)，注冊(cè)界面中并不存在用戶協(xié)議，但在成功登錄之后，卻能在設(shè)置里的法律聲明中查詢到“您已閱讀、理解并同意接受以下條款的約束”。

　　用戶協(xié)議及隱私政策的不規(guī)范不止于此。南都記者還發(fā)現(xiàn)，50家網(wǎng)站、APP中，僅有13家標(biāo)明了隱私政策的生效日期，所有網(wǎng)站及APP均表示，用戶協(xié)議及隱私政策可隨時(shí)更新。

　　發(fā)現(xiàn)問題

　　A　部分網(wǎng)站和APP沒有隱私政策

　　手機(jī)用戶未下載APP之前，可在應(yīng)用商店里查閱隱私政策。蘋果的手機(jī)商店里涉及的每款A(yù)PP都有相應(yīng)詳情介紹，除了內(nèi)容提要、產(chǎn)品最新動(dòng)態(tài)外，還有版本記錄、開發(fā)人員網(wǎng)站、開發(fā)人員其他APP及客戶隱私政策。

　　不過，當(dāng)點(diǎn)擊“客戶隱私政策”，南都記者發(fā)現(xiàn)，一些APP并未提供相關(guān)說明，比如超級(jí)手機(jī)管家和鈴聲大全，并且在APP內(nèi)也找不到任何關(guān)于隱私政策的內(nèi)容。值得一提的是，有些APP雖然在蘋果手機(jī)商店上有提供“客戶隱私政策”，但在鏈接頁面上卻出現(xiàn)了問題。

　　3月3日，南都記者打開“起點(diǎn)讀書”的“客戶隱私政策”介紹，頁面顯示“404Not Found”。而酷狗音樂鏈接到的是該官網(wǎng)“關(guān)于酷狗”的頁面，顯示的是“公司介紹”，內(nèi)容與隱私政策無關(guān)。

　　南都記者調(diào)查發(fā)現(xiàn)，大部分網(wǎng)站和APP的用戶隱私政策并不容易發(fā)現(xiàn)，用戶經(jīng)常需要經(jīng)過兩次及以上的點(diǎn)擊次數(shù)才能找到相關(guān)內(nèi)容，而有些則是在整個(gè)注冊(cè)過程和使用過程中都很難獲知這款軟件的任何隱私政策。

　　有業(yè)內(nèi)人士告訴南都記者，隱私政策在施行過程中面臨一個(gè)現(xiàn)實(shí)問題，即隱私政策文本變得越來越冗長。對(duì)于用戶來說，為安裝一個(gè)軟件而去看完一份八九頁的協(xié)議，需要投入一定的閱讀理解成本。

　　根據(jù)規(guī)定，收集個(gè)人信息需要經(jīng)過用戶的知情，由于有些用戶協(xié)議所在位置并不顯眼，且內(nèi)文長，因此很少有用戶點(diǎn)擊閱讀。這算不算用戶真正知情同意？北京志霖律師事務(wù)所律師、中國互聯(lián)網(wǎng)協(xié)會(huì)信用評(píng)價(jià)中心法律顧問趙占領(lǐng)認(rèn)為，這需要根據(jù)個(gè)人信息的敏感程度劃分，根據(jù)個(gè)人信息國標(biāo)，收集一般個(gè)人信息，用戶默示同意即可。而涉及敏感信息則需要用戶明示用意，也就是除了用戶協(xié)議外還需單獨(dú)提醒用戶。“即使用戶默示同意了，如未滿足個(gè)人信息的收集使用遵循的正當(dāng)合法必要原則，也不代表收集使用個(gè)人信息的相關(guān)格式條款就是有效的?！?/p>

　　B　信息收集范圍甚至含個(gè)人健康信息

　　在很有可能未閱讀的情況下，用戶同意并接受的隱私政策到底包括什么內(nèi)容呢？

　　南都記者比較后發(fā)現(xiàn)，在得分較高的APP和網(wǎng)站的隱私協(xié)議中，至少都含有收集哪些信息、如何使用信息及與第三方是否共享信息等說明。

　　綜合多家網(wǎng)站和APP的相關(guān)隱私協(xié)議，非個(gè)人信息是指不會(huì)與任何特定個(gè)人直接相關(guān)聯(lián)的數(shù)據(jù)，指記錄在服務(wù)器上的信息，比如URL、IP地址、瀏覽器類型、使用語言、訪問日期和時(shí)間；用戶在使用網(wǎng)站和APP時(shí)的行為習(xí)慣等基本信息和用戶隱私信息外的一切普通信息等。

　　南都記者發(fā)現(xiàn)，互聯(lián)網(wǎng)企業(yè)所收集的信息范圍較為寬泛，不僅包括部分個(gè)人信息也包括非個(gè)人信息，還有敏感信息，比如個(gè)人健康信息等。

　　以閱讀類APP掌閱為例，其隱私政策上共提及收集三類信息：“您向掌閱科技提供的信息”、“我們獲取的您的信息”、“您對(duì)我們產(chǎn)品或服務(wù)的使用情況，例如使用時(shí)長、閱讀記錄等數(shù)據(jù)”。第一類主要指用戶填寫或提交的信息，包括姓名、性別、出生年月、身份證號(hào)碼、電話號(hào)碼、電子郵箱、地址、支付寶賬號(hào)、微信賬號(hào)等其他第三方賬號(hào)。而掌閱獲取的用戶信息包括日志信息，設(shè)備或軟件信息，有關(guān)用戶曾使用的移動(dòng)應(yīng)用(APP)和其他軟件的信息，以及曾經(jīng)使用該移動(dòng)應(yīng)用和軟件的信息，如使用Apple Health中的健康數(shù)據(jù)等。

　　南都記者注意到，一些APP在獲取用戶敏感信息權(quán)限時(shí)會(huì)有單獨(dú)提示。比如，在搜狗輸入法APP中，當(dāng)用戶初次登錄會(huì)收到這樣的提示：“此輸入法可能會(huì)收集您輸入的文字，包括密碼及信用卡號(hào)碼數(shù)據(jù)。它源自應(yīng)用搜狗輸入法”。在萬年歷APP中，也出現(xiàn)“讀取運(yùn)動(dòng)數(shù)據(jù)(以提供計(jì)步和搖一搖等功能)，您是否允許？您可以在‘手機(jī)管家’權(quán)限管理中配置權(quán)限”。

　　雖然有單獨(dú)提示，但也有不少用戶可能未注意。根據(jù)互聯(lián)網(wǎng)數(shù)據(jù)中心發(fā)布的《2015年中國安卓手機(jī)隱私報(bào)告》顯示，50.4%的用戶不會(huì)注意到APP獲取權(quán)限。該報(bào)告還統(tǒng)計(jì)到，有11.9%的安卓手機(jī)APP越界獲取了隱私權(quán)限。

　　趙占領(lǐng)表示，移動(dòng)互聯(lián)網(wǎng)企業(yè)及其產(chǎn)品對(duì)個(gè)人信息收集更多。甚至一些惡意程序會(huì)直接非法獲取個(gè)人信息，比如手機(jī)通訊錄和地理位置等。

　　C　與第三方共享信息，部分網(wǎng)站未加說明

　　除了依靠自身平臺(tái)，互聯(lián)網(wǎng)企業(yè)亦可從第三方獲取信息。

　　旅游網(wǎng)站貓途鷹的用戶隱私政策稱：“我們還可能定期從途趣的關(guān)聯(lián)實(shí)體、業(yè)務(wù)伙伴及其他獨(dú)立第三方來源獲得關(guān)于您的個(gè)人和非個(gè)人信息，并把它添加到有關(guān)您的其他信息中。”

　　在從第三方獲取信息的同時(shí)，有些互聯(lián)網(wǎng)企業(yè)也通過關(guān)聯(lián)公司或第三方組織共享用戶信息。如聚美優(yōu)品在服務(wù)協(xié)議中提到，用戶同意并授權(quán)聚美優(yōu)品將信息傳遞給向用戶提供其他服務(wù)的聚美優(yōu)品關(guān)聯(lián)公司或其他組織。

　　南都記者統(tǒng)計(jì)發(fā)現(xiàn)，在“對(duì)向第三方傳輸信息和與關(guān)聯(lián)方共享信息是否進(jìn)行說明”這一評(píng)分選項(xiàng)中，僅有22家評(píng)分在3分以上(包括3分)，尚不足半數(shù)。

　　貓途鷹網(wǎng)站的用戶隱私政策中提及，其與供應(yīng)商、第三方服務(wù)商、推介網(wǎng)站、社交媒體服務(wù)、合作伙伴和本公司集團(tuán)內(nèi)部公司共享用戶信息。

　　以推介網(wǎng)站為例，當(dāng)用戶從其他網(wǎng)站被推介至貓途鷹，那么貓途鷹可能會(huì)與該網(wǎng)站分享用戶的注冊(cè)信息，例如姓名、電子郵件地址、郵寄地址、電話號(hào)碼和旅行喜好。而對(duì)于推介網(wǎng)站如何使用這些個(gè)人信息，貓途鷹稱并未施加任何限制，同時(shí)建議用戶查看推薦網(wǎng)站的隱私政策。

　　此外，在進(jìn)行促銷活動(dòng)或抽獎(jiǎng)時(shí)，互聯(lián)網(wǎng)企業(yè)可能會(huì)與贊助商和第三方網(wǎng)站和服務(wù)共享用戶信息。在愛奇藝、嗶哩嗶哩和喜馬拉雅等網(wǎng)站和APP的隱私政策中均提到，在進(jìn)行抽獎(jiǎng)、促銷等活動(dòng)時(shí)，贊助商、合作伙伴可通過訪問的第三方因特網(wǎng)站點(diǎn)和服務(wù)得知用戶個(gè)人信息，并進(jìn)行獨(dú)立的數(shù)據(jù)收集工作。用戶可以通過不參與來終止傳送過程。

　　D　有些協(xié)議更像免責(zé)聲明，用戶選擇權(quán)低

　　南都記者發(fā)現(xiàn)，有些隱私政策更像單方的免責(zé)聲明。

　　以趕集網(wǎng)為例，在蘋果手機(jī)商店點(diǎn)擊該款A(yù)PP的詳情介紹，對(duì)應(yīng)的“客戶隱私政策”鏈接是其官方網(wǎng)站中的“免責(zé)聲明”。免責(zé)聲明第二條稱：“任何透過趕集網(wǎng)的網(wǎng)頁鏈接得到的資訊、產(chǎn)品及服務(wù)均系用戶自行發(fā)布，趕集網(wǎng)對(duì)其真實(shí)性、準(zhǔn)確性、合法性概無負(fù)責(zé)，亦不承擔(dān)任何法律責(zé)任?！?/p>

　　在用戶隱私免責(zé)聲明一項(xiàng)中，趕集網(wǎng)寫道：“趕集網(wǎng)絡(luò)一定不會(huì)公開、編輯或透露用戶的注冊(cè)資料及保存在趕集網(wǎng)絡(luò)各種服務(wù)中的非公開內(nèi)容，除非在認(rèn)為必要的其他情況下”。

　　對(duì)此，趙占領(lǐng)認(rèn)為，收集和使用個(gè)人信息應(yīng)該符合正當(dāng)合法必要原則。有些條款沒有約定清楚收集和使用的方式，甚至沒有明確說明轉(zhuǎn)讓給哪些第三方以及第三方的使用方式，這種情況下即使約定了免責(zé)條款也不一定有效。

　　南都記者注意到，在隱私協(xié)議中規(guī)定用戶同意互聯(lián)網(wǎng)公司對(duì)個(gè)人信息進(jìn)行可能超范圍的收集、可用于商業(yè)用途、不能確保個(gè)人信息不被泄露等，但對(duì)如何使用用戶的個(gè)人信息、如何提供給用戶選擇權(quán)、如何讓用戶隨時(shí)可以查閱、更正和刪除自己的信息，以及如果發(fā)生用戶個(gè)人信息被泄露事件，如何向用戶承擔(dān)責(zé)任等內(nèi)容，均未有明晰規(guī)定。

　　不過，當(dāng)用戶注冊(cè)使用網(wǎng)站和APP時(shí)，即被視為對(duì)用戶協(xié)議和隱私政策全部認(rèn)可。

　　以淘寶為例，其在《隱私權(quán)政策》中規(guī)定，“如果您不同意本隱私權(quán)政策任何內(nèi)容，您應(yīng)立即停止使用淘寶平臺(tái)服務(wù)。當(dāng)您使用淘寶平臺(tái)提供的任一服務(wù)時(shí)，即表示您已同意我們按照本隱私權(quán)政策來合法使用和保護(hù)您的個(gè)人信息?！?/p>

　　針對(duì)用戶隱私政策的問題，中國工程院院士沈昌祥告訴南都記者，這要求運(yùn)營者遵守網(wǎng)絡(luò)安全法，做好保護(hù)用戶隱私的工作。

　　企業(yè)回應(yīng)

　　收集用戶數(shù)據(jù)是為提升產(chǎn)品服務(wù)

　　且已做加密處理

　　相關(guān)業(yè)內(nèi)人士告訴南都記者，實(shí)際上從互聯(lián)網(wǎng)本身的商業(yè)模式看，如果互聯(lián)網(wǎng)公司不采集用戶信息，那么這種互聯(lián)網(wǎng)免費(fèi)模式則不存在。用戶損失匿名性和部分隱私來置換免費(fèi)服務(wù)。不過這其中涉及到一個(gè)合規(guī)和尺度的問題。

　　美圖秀秀的公司相關(guān)負(fù)責(zé)人向南都記者回應(yīng)，收集的相關(guān)數(shù)據(jù)是用來進(jìn)行用戶數(shù)據(jù)統(tǒng)計(jì)的，例如記錄IP地址意在防止商業(yè)作弊，而記錄GPS定位則是為了區(qū)分國家和地區(qū)，作為廣告系統(tǒng)的投放標(biāo)準(zhǔn)。在用戶個(gè)人信息的保護(hù)上，美圖公司相關(guān)負(fù)責(zé)人表示，他們對(duì)用戶信息進(jìn)行了強(qiáng)制且多層加密存儲(chǔ)，防止用戶數(shù)據(jù)泄露。

　　針對(duì)收集用戶數(shù)據(jù)的目的，百度相關(guān)負(fù)責(zé)人告訴南都記者，收集用戶數(shù)據(jù)主要是為了提升產(chǎn)品服務(wù)和用戶使用體驗(yàn)。微信相關(guān)負(fù)責(zé)人告訴南都記者，用戶在使用微信時(shí)，提交個(gè)人信息是用于網(wǎng)絡(luò)身份驗(yàn)證或保障賬號(hào)安全的。此外，無論是互聯(lián)網(wǎng)行業(yè)還是其他行業(yè)，收集用戶信息是用戶開通賬戶并正常使用的前提。對(duì)于用戶的用戶數(shù)據(jù)，騰訊通常采取匿名化、加密等多種安全技術(shù)手段，避免識(shí)別出用戶身份，保障使用用戶數(shù)據(jù)的安全性。