監測發現 王琪圖/本刊

➤用戶對APP用戶協議點擊的“同意”，意味著對産品或服務的提供商進行授權，但這種授權不意味著全部授權——對一些特定情形和個人敏感資訊，APP依然需要單獨獲得用戶同意

➤用戶對協議條款一鍵點擊的“同意”，並不意味著APP可以隨意處理用戶個人資訊——企業處理個人資訊需要符合“最小必要”要求

➤“法網”越織越密，但缺乏偵辦、懲處一批有影響力的典型案件，而真實案例往往比法律法規更容易被用戶接受、被企業重視。“不能光有‘交規’，也要有‘罰單’”

➤用守護個人信息安全的技術來加持技術，也許會成為未來適應市場新需求的一個方向

文 |《瞭望》新聞周刊記者 于雪  實習生 吳倩

　　近日，有媒體記者調查發現，某網貸平臺在貸款人同意用戶隱私協議後，將其個人資訊一鍵授權給1292家公司。

　　相關案例並不鮮見。一段時間以來，APP基于用戶在用戶協議（含隱私條款）時選擇的“一鍵同意”，在後臺反覆讀取用戶相冊資訊、擅自獲取用戶定位，甚至遠端私自刪除相冊圖片、利用演算法推薦技術進行大數據殺熟等新聞頻繁曝出，令用戶不安。

　　用戶對協議條款點擊的“同意”，究竟同意了什麼？只要用戶點擊“同意”，APP就可以隨意處理用戶資訊嗎？以一鍵“同意”為代表的高技術領域執法難題如何破解？……諸多疑問既關乎每個人的切身利益，也關乎大數據時代的數字治理能力。

　　“同意”了什麼

　　根據相關法律規定，所有網絡産品和服務都必須設立用戶協議。

　　這也意味著，用戶一般需要對用戶協議勾選“同意”，才能繼續使用該産品或服務。

　　專家表示，點擊“同意”，意味著用戶對産品或服務的提供商進行授權。

　　據了解，這種授權包括兩方面內容，一是是否授權處理用戶資訊、授權哪些資訊處理方式（比如收集、存儲、使用、加工、傳輸、提供、公開、刪除等）；二是對處理用戶資訊的范圍是否授權，比如是否可使用相機、麥克風，是否可訪問相冊、位置資訊等。

　　上海段和段律師事務所合夥人劉春泉律師表示，在法律意義上，用戶點擊“同意”，即表示知曉並同意協議所有內容，同時允許此APP依法對個人資訊進行處理。

　　不過在實踐層面，不少用戶雖然點擊了“同意”，卻仍不明確知曉APP可以做什麼、將會做什麼，以及相應的法律後果、安全風險等。

　　武漢大學網絡治理研究院副院長袁康的一項調查顯示，77.8%的用戶在安裝APP時“很少或從未”閱讀過隱私協議，69.69%的用戶會忽略APP隱私協議的更新提示。

　　原因之一是冗長繁雜的資訊，以及充斥其中的專業術語。

　　中國社會科學院大學互聯網法治研究中心執行主任劉曉春説，一些下載量過億次的APP，平均每款APP需要用戶“閱讀並同意”的內容約2.7萬字。這種情況下，即便用戶勾選“同意”，也是基于資訊不對稱做出的非理性選擇，建議細化對用戶協議透明性的規范要求，通過清單制簡潔明瞭地列出消費者需要了解的內容，降低閱讀門檻。

　　一鍵“同意”埋有三坑

　　而在用戶並不明確了解的用戶協議裏，可能埋有三個坑。

　　第一坑，默認一鍵“同意”等于全部授權。一些APP在實際操作中將用戶對産品或服務的授權視為對服務提供商的全部授權。其實，對一些特定情形和個人敏感資訊，APP依然需要單獨獲得用戶同意。

　　中國政法大學傳播法研究中心副主任朱巍説，目前很多APP獲取用戶個人資訊後，為了匹配更適合用戶的POI（興趣點）模式進行精準行銷，常常會將用戶資訊提供給第三方。一些APP會選擇在初始協議中設定相關條款，告知用戶“有權將其許可給任何第三方使用”“實際行使時無須另行徵得您的同意”，但這並不意味著用戶放棄對其個人資訊被流通、轉讓的審查權利。

　　劉曉春表示，根據個人資訊保護法要求，APP在處理個人敏感資訊或是將個人資訊提供給第三方時，必須取得個人單獨同意或書面同意，並且要賦予用戶可以拒絕的權利。“這一規定是一個巨大進步，它意味著企業不再可能通過一鍵‘同意’就獲得全部授權，它甚至比被業內看作標桿的歐盟版GDPR（《通用數據保護條例》）還要嚴。”

　　第二坑，默認一鍵“同意”等于次次同意。一些APP會附加免責條款，比如在用戶協議中提出，公司有權根據需要不定期地制訂、修改本協議及/或各類規則，不再另行單獨通知用戶，並稱“消費者使用平臺服務，即表明接受修訂後的協議和規則”。

　　劉曉春認為：“這屬于霸王條款，有違立法精神和現行法律規定，不屬于法律認可的免責情形。”

　　劉曉春説，根據個人資訊保護法相關規定，個人資訊的處理目的、處理方式和處理的個人資訊種類發生變更的，應當重新取得個人同意。

　　第三坑，默認用戶一鍵“同意”後，APP可以隨意處理個人資訊。事實上，用戶點擊“同意”只是授權APP可以為其提供相關産品或服務，並不意味著企業拿到了規避責任的“免死金牌”。

　　根據個人資訊保護法相關規定，APP處理個人資訊必須遵循合法、正當、必要、誠信四大基本原則。同時，處理個人資訊應當具有明確、合理的目的，並應當與處理目的直接相關，採取對個人權益影響最小的方式。收集個人資訊，應當限于實現處理目的的最小范圍，不得過度收集個人資訊。

　　專家分析，這也意味著企業處理個人資訊需要符合“最小必要”要求。

　　實踐層面，相關法律法規也在不斷厘清何為“最小必要”。

　　2019年，國家網信辦、工信部等部門聯合發布《APP違法違規收集使用個人資訊行為認定方法》，明確了“違反必要原則，收集與其提供的服務無關的個人資訊”的6種行為。

　　2021年5月起施行的《常見類型移動互聯網應用程式必要個人資訊范圍規定》，針對39類常見類型APP規范了“必要個人資訊”的范圍。比如地圖導航類應用，必要個人資訊為：位置資訊、出發地、到達地。那麼，諸如相冊、麥克風、通訊錄等均不屬必要范疇。

　　劉春泉提醒，由于互聯網技術日新月異，幾乎每天都有最新應用上線，原有APP的功能也在快速迭代，目前仍很難對市面上所有的APP劃定何為“最小必要”的明確標準，已有法條中的規定需要在實踐中動態調整。

　　專家表示，隨著個人資訊保護法的實施，我國對個人資訊保護的具體規則和標準已趨完善、細致，但無論是監管部門、司法執法部門、從業者還是普通用戶，也還都需要去熟悉、了解相關法律法規，並在實踐中不斷落實、細化。

　　在劉春泉看來，當前的問題“不是沒有立法，而是執法不到位”。

　　他説，“法網”越織越密，但缺乏偵辦、懲處一批有影響力的典型案件，而真實案例往往比法律法規更容易被用戶接受、被企業重視。“不能光有‘交規’，也要有‘罰單’。”劉春泉説。

　　高技術領域執法難題待解

　　有“交規”、缺“罰單”的背後，折射出我國高技術領域的執法難題。

　　其一，政策制定者、監管方和企業之間存在資訊鴻溝。與企業相比，政策制定者、監管方有豐富的法律知識儲備，但技術素養稍遜一籌，在具體實踐中，要想準確甄別企業的違法違規行為，特別是要在紛繁復雜的技術架構中找出並有效固定證據，難度較大。因此，完善法律法規僅僅只是第一步，關鍵是各方都能弄懂、弄通，進而能夠有力保障法律執行到位。

　　其二，不同企業在執行法律法規的能力上存在顯著差別。據胡鋼介紹，近年對個人資訊保護力度不斷加大，對違法違規行為的懲處從嚴、從速、從重，根據個人資訊保護法相關規定，個人資訊保護法針對情節嚴重的違法行為，最高可“沒收違法所得，並處五千萬元以下或者上一年度營業額百分之五以下罰款”，並可責令暫停相關業務或者停業整頓、吊銷相關業務許可或者吊銷營業執照，這給互聯網企業開展數據合規帶來極強動力。

　　劉春泉認為，大型互聯網企業出于利益考量，會花更多時間、聘請更多專業人士參與制定用戶協議，而對小企業來説，很難有如此巨大的投入。

　　其三，用戶依法維權意識不足，維權能力有限。胡鋼表示，若APP經營者未遵循相關法律法規，違背上述原則，涉嫌以誤導、欺詐、脅迫等方式處理個人資訊。若存在不同意就不讓用的行為，涉嫌侵害公民的法定拒絕權。不僅如此，若用戶協議中的格式條款含有減輕或者免除經營者責任、排除或者限制消費者權利、加重消費者責任等對消費者不公平、不合理的規定，依據民法典和消費者權益保護法等相關法律規定，含有上述內容的格式條款無效。公民可向消費者組織申請調解，也可向監管部門投訴，或者向人民法院起訴。

　　不過，囿于不熟悉相關法律知識以及時間、精力等方面限制，鮮有普通用戶能夠主動依法維權。加之用戶對信息技術和法律知識了解有限，在與企業的利益博弈中，這場力量懸殊的較量給企業留出回旋空間。

　　用技術加持技術

　　多位受訪專家表示，破解高技術領域的執法難題，構建個人資訊的“防火牆”，要在人才和技術方面持續努力。

　　胡鋼介紹説，目前我國部分高校已經開設資訊法、網絡法、數據法等課程，啟動計演算法學等交叉學科的研究生項目，進行法學與資訊科學等方向的交叉研究學習，力求培養出一批既精通法律規則、又熟悉信息技術的高端復合型人才。在司法界，也將數據合規業務作為主攻方向之一，大力鑽研拓展。相信多方共同發力、協同育才會在未來産生更加積極的影響。

　　此外，劉曉春建議開發、推廣一些保護隱私安全的監測類軟件，或者成立可信賴的、代表技術中立的第三方機構，創建更加透明、更加良性的數據安全環境。

　　對企業來説，用技術加持技術也許會成為未來適應市場新需求的方向。專家建議，企業可以採用可視化技術，將復雜的用戶協議內容生成動圖或視頻動畫，直觀清晰地呈現出來，讓用戶真正做到“知情同意”。在市場競爭愈發激烈的背景下，只要用戶認可，就不怕企業不買單。

　　在2021國家網絡安全宣傳周上，隱私計算、信源密信等一批守護個人信息安全的新技術亮相。浙江大學網絡空間安全學院教授張秉晟表示，這些技術可以在不解碼具體資訊的前提下，對數據進行處理，既有效保護主體的數據安全，又不影響原有業務。

　　劉曉春認為，用技術來保護信息安全未來可期，但前路漫漫。“目前，業內對這些技術的安全性、有效性尚存爭議，在具體應用過程中，需要更加值得信賴的第三方對其進行評估。”

　　但在實踐層面，當前掌握此類技術的開發人員少之又少，強制所有APP都應用這樣的技術手段並不現實，還可能會影響企業後續的開發活力和創造性。專家建議，未來可將此類技術作為網絡空間裏的基礎設施，不需要每個開發人員都要掌握，而是通過簡單調用介面就可得到標準化、一體化、自動化、智能化的解決方案。

　　同時也要看到，告知和同意是互聯網監管層面最底層的規則，必要性、重要性日益凸顯。劉曉春表示，目前監管思路正在由事後監管向事前監管、事中監管轉型，未來可通過底層規則的完善和監管邏輯的轉變，盡最大可能為用戶創立一個可控、可信任、可預期的網絡生態空間。

　　此外，近年一些地方借力公益訴訟，辦理了一批涉及個人資訊保護的典型案例，具有示范意義。目前對公益訴訟的受案范圍缺乏立法確認，對侵犯個人資訊的行為是否適用公益訴訟尚存爭議，專家建議推進公益訴訟機制的制度化，完善公益訴訟程式。□