动辄下笔“万言” 别让冗长App用户协议成隐私陷阱

行业主管部门将继续开展违法违规收集使用个人信息专项管理，充分发挥头部平台的"看门人"作用，从而履行对APP应用市场内APP及平台内小程序的监管义务，规范相关APP、小程序的个人信息收集行为

单勇南京大学法学院教授

打开手机，查看新闻资讯，分享心得，搜索美食，购买物品……南京某高校教师小宇每天花很多时间在手机上，手机内置安装的APP达150多个。

她发现每次注册账户或安装软件时，屏幕上都显示"用户合同和隐私策略"，但她直接拖到底部，然后单击"已阅读并接受用户合同" 她告诉记者，那些协议篇幅太长，专业性强，很难认真阅读理解协议内容。

宇先生不是特例。 最新的调查研究显示，在点击同意之前，实际阅读这些协议的用户不到四成。

本来，用户协议是约定APP开发者与用户之间权利和义务的法律文件，在保障用户隐私等权利方面起着重要的作用，为什么六成用户对此置之不理呢？ 点击同意后，是否需要App获得的所有权限？ 是否存在"过度要求权力"的情况？ 引导APP调用隐私数据形成行业规范还需要做什么？

协商太久反而会阻碍用户的知情权

移动互联网时代，APP成为人们的必备工具。 首次下载并使用时，单击"已阅读并接受用户合同和隐私策略"也是正常操作。

对于我们常见的APP来说，用户协议和隐私政策通常包含哪些内容呢？

南京大学法学院教授单勇告诉科技日报记者，常规平台用户协议包括《信息采集范围、信息存储与保护方式、信息使用方式、信息共享通告和信息处理通告》等内容。

用户点击同意后，将自己的一部分权利转让给APP运营公司，如呼叫手机通讯录、读取手机存储、获取位置信息、打开蓝牙和无线网等

单勇表示，《个人信息保护法》表示，基于用户同意的个人信息处理行为只有权处理个人信息以实现特定目的，为了均衡的信息处理行为，用户依法享有知情、限制拒绝、限制

但是，用户合同往往从数万字到数万字不等，充满了很多专业模糊的内容。 据统计，在超过亿次下载的5个手机APP中，用户需要"阅读并同意"的签约内容平均约为2.7万字。

从司法角度看，协议越详细，双方的权利责任就越明确。 这是充分的告知，因为可以最大限度地避免事后纠纷。 但从实际使用的角度来说，数万字的协议阻碍了消费者的知情权。

很多用户没有耐心，没有专业知识，无法阅读和阅读协议，所以在这种情况下勾选同意，就不知道转让了什么权利。

"完全可以列出APP获得什么样的信息需要我的同意，我有什么权利，承担什么样的责任。 "宇希望用户协议能够"简短"地进行，将与用户关系密切的重要部分放在前面强调。

"过剩权力"的最终目的可能是利益

"你的朋友也在用APP""Ta和你有三个共同的朋友""匹配你的通讯录就能快速找到朋友"……这样的提示对于很多手机用户来说并不陌生。

移动互联网的兴起，带动着新社交平台的发展。 短视频、购物、健身、新闻资讯等APP，以前与社交几乎没有关系，现在被赋予了社交属性。

"在数学领域，有一个'小世界理论'，世界上任何两个人只要通过6个中介就可以联系起来。 "南京信息工程大学网络安全专家任勇军教授表示，用户点击同意后，App会调用通讯录，在后台进行数据匹配，从而向陌生人推荐你，告诉对方你和TA有共同的朋友

过去证明"小世界理论"并不容易，但现在很容易实现了。 在感叹"世界真小"的同时，不是也要警惕APP的"过度的主权"吗？

据单勇教授介绍，2021年3月，国家四部委印发了《常见类型移动互联网应用程序(App)必要个人信息范围规定》。 其中第五条通过列举形式明确了39种常见类型的需要APP的个人信息范围，但通讯录权限不属于需要范围。

2021年12月，国家计算机网络应急技术处理协调中心、中国网络空间安全协会发布的《App违法违规收集使用个人信息监测分析报告》显示，目前，"微信""51Job"等头部APP应用的最新版本启动不要求存储、设备等无关权限

一些APP试图收集更多的个人信息，超出实现功能所需的范围，以实现准确的用户图片、推广营销等业务目的。 例如，一个APP的电话监听功能要求7个敏感权限，包括短信、存储器、通讯录等； 某体育健身类APP应用在用户使用视频观看等无关功能时，每分钟获取近100次位置信息； 在某个APP应用中，共享位置时不仅收集位置信息，还通过扫描支付等无关功能收集位置信息，用于用户的消费行为图像分析。 尽管许多APP不再强制情报收集，但在第一次启动时就要求弹匣有多个无关的权限。

"由于APP获得了这些权限，用户看起来可以扩大朋友圈和生活圈，但用户的隐私信息也是无形中公开的。 APP要求这些权限的根本原因，还是因为企业想扩大市场、普及市场，最终获利。 "任勇军想。

2021年，国家网络事务局对"七类"超范围采集行为进行重点整治，治理了包括超范围采集用户通讯录、准确地理位置、短信、通话记录等在内的诸多违法违规问题。

保护隐私必须由专家"看门人"

近日，国家计算机病毒应急处理中心通过互联网监测发现，17种移动App存在隐私违规行为，涉嫌广泛收集个人隐私信息。

这样的举报屡见不鲜。 仅2021年，国家网络事务局就对存在严重违法违规问题的351起APP进行公开通报，责令限期改正。

但是，App的机密数据收集问题依然突出。 据国家网络运营商监测，60.7%的APP应用收集安卓等设备的唯一识别信息，55.4%的APP应用收集APP应用列表信息，13.7%的APP应用收集裁剪板信息，依此类推

"个人信息是重要的数据资产，一些APP，特别是公用事业类的APP应用，拥有庞大的用户群，不法分子和网络黑客早就盯上了这些敏感信息，形成了黑色产业链。 当APP获得的个人信息被销售时，在各个级别都会出现严重的安全问题。 "任勇军教授说，例如，用户的移动APP和外卖APP中存储着百万以上的用户信息，如果泄露出去，不仅危害个人，还可能危害国家安全。

任勇军表示，对用户来说，不能因为协议太长就放弃阅读。 为防止个人隐私信息被泄露，不要擅自释放不必要的隐私权限同意，不要擅自输入个人隐私信息，要定期维护和整理相关数据。

那么，对于监管部门来说，应该如何约束长篇用户合同，保护用户隐私呢？

目前，相关机构正在起草《信息安全技术互联网平台及产品服务隐私协议要求》，指导平台公司的用户合同和隐私政策合规性。

与制定相关行业规范相比，如何使规范落到实处更是值得关注的问题。

单勇教授认为，违反APP导致的用户信息收集行为无法根治的原因主要有三点。 一是行业主管部门管理资源有限，仅靠行业监管难以规范所有APP的信息采集行为。 二是部分中小企业存在幸运心理，通过违规行为获取更高的经济利益，《个人信息保护法》等相关法律赋予了用户数据权利，但实践中用户权利的实现方式不明确，用户在权利受到侵害时有效

"行业主管部门持续开展非法收集、使用个人信息专项治理，充分发挥头部平台"看门人"作用，负责履行对APP应用市场内APP和平台内小程序的监管义务，负责相关APP、小程序的》还提出，完善个人信息保护投诉举报渠道和透明度报告机制，维护用户对行业治理的知情权和监督权。