科技日报记者张晔

　　打开手机，查看新闻资讯、分享心得体会、搜索美食、购买物品……南京某高校教师小宇每天有大量时间花在手机上，手机内置和安装的App达150多个。

　　她发现，每次注册账号或者安装软件时，屏幕上都会弹出“用户协议和隐私政策”，但她都是直接拖拽到最底部，点击“我已阅读并同意用户协议”。她告诉记者，那些协议篇幅过长、专业性强，认真读完并弄懂协议几乎不可能做到。

　　小宇并不是特例，据去年的一项调查研究显示，在点击同意之前，真正阅读这些协议的用户不到四成。

　　按理说，用户协议是约定App开发者与用户之间权利与义务的法律文书，对保障用户隐私等权利有着重要的作用，为何六成用户将其略过？点击同意后App获得的权限是否均有必要？“过度要权”的情况是否存在？引导App调用隐私数据形成行业规范我们还需要做些什么？

　　用户协议能否长话短说

　　移动互联网时代，App成了人们的必备工具。首次下载使用时，点击“我已阅读并同意用户协议和隐私政策”也成为常规操作。

　　对于我们常见的App来说，用户协议和隐私政策通常包含哪些方面的内容呢？

　　南京大学法学院单勇教授告诉科技日报记者，常规平台的用户协议一般包括“信息收集范围、信息的存储和保护方式、信息使用方式、涉及信息共享的告知以及涉及信息处理的告知”等内容。

　　一旦用户在点击同意，也就意味着自己的部分权利让渡给App的运营公司，比如调用手机通讯录、读取手机存储、获取定位信息、开启蓝牙或无线网络等。

　　单勇说，根据《个人信息保护法》，基于用户同意的个人信息处理行为，仅具备为达成特定目的处理个人信息的权利，而为制衡信息处理行为，用户依法享有知情同意、限制拒绝、查阅复制、修改删除、撤回同意等权利。

　　然而，用户协议动辄上万乃至数万字，充斥着大量专业、晦涩的内容。据统计，5款下载量过亿次的手机App，平均每款需要用户“阅读并同意”的协议内容约有2.7万字。

　　从司法角度来看，协议越详尽双方权利责任就越明晰，因为这是充分告知，能够最大程度地避免事后纠纷。但是，从实际使用的角度来说 ，动辄上万字的协议恰恰会阻碍了消费者的知情权。

　　因为大多数用户没有耐心也没有专业知识看完并读懂协议，在这样的情况下勾选同意，也就弄不清让渡了哪些权利。

　　“App获取哪些信息需要我同意，我有什么权利，要承担什么责任，完全可以列出一个清单来。”小宇希望用户协议最好能“长话短说”，将与用户关系密切的重要部分放前面突出显示。

　　“过度要权”是否存在

　　“您的好友也在使用某App”“TA与你有3位共同好友”“匹配您的通讯录有助更快找到好友”……这样的提示您一定不陌生。

　　移动互联网的兴起，带动了新型社交平台的发展，短视频、购物、健身、新闻资讯等App，过去与社交基本不沾边，但如今都被赋予了社交属性。

　　“数学领域有一个‘小世界理论’，即世界上任何两个人只要通过6个中间人就能建立联系。”南京信息工程大学网络安全专家任勇军教授说，用户点击同意后，App通过调取通讯录，并在后台进行数据匹配，就会把你推荐给素不相识的人，并告诉对方你和TA有共同好友。

　　过去，要证明“小世界理论”并不容易，现在却轻易实现，我们在感叹“世界真小”的同时，是不是也要警惕App的过度要权呢？

　　单勇教授介绍说，2021年3月，国家四部委印发《常见类型移动互联网应用程序(App)必要个人信息范围规定》，其中第五条以列举形式明确了39种常见类型App的必要个人信息范围，而通讯录权限并不属于必要范围。

　　2021年12月，国家计算机网络应急技术处理协调中心、中国网络空间安全协会发布的《App违法违规收集使用个人信息监测分析报告》称，当前如“微信”“51Job”等头部应用最新版本启动均不索要存储、设备等无关权限，但中小应用的“过度要权”问题仍十分严重，仅2021年9-12月监测显示，在华为、小米、腾讯应用宝等主流应用商店新上架应用中，平均每月有近1000款存在此问题的应用上架。

　　部分 App 出于精准用户画像、推广营销等商业目的，想方设法超出实现功能的必要范围收集更多个人信息。比如，某应用的电话拦截功能索要了短信、存储、通讯录等7项敏感权限；某运动健身类应用在用户观看视频等无关功能时，每分钟获取位置信息近百次；某应用除了在共享位置时收集位置信息，还在扫码支付等不相关功能收集位置信息，可用于用户消费行为画像分析。还有很多App尽管不再强制收集，仍在首次启动就弹窗索要多个无关权限。

　　“App获取这些权限后，看似帮助用户拓展了朋友圈和生活圈，但用户的隐私信息也在无形中被暴露，根本原因还是企业想要扩大市场或进行推广，最终是为了获利。”任勇军认为。

　　2021年，国家网信办针对“七类”超范围收集行为进行重点整治，包括超范围收集用户通讯录、精确地理位置、短信、通话记录等在内的一大批违法违规问题得到治理。

　　保护隐私需专人“看门”

　　近日，国家计算机病毒应急处理中心通过互联网监测发现，17款移动App存在隐私不合规行为，涉嫌超范围采集个人隐私信息。

　　类似这样的通报并不鲜见，仅在2021年，国家网信办就对存在严重违法违规问题的351款App进行了公开通报，责令限期整改。

　　但是，App敏感数据收集问题仍旧突出。国家网信办监测发现，60.7%的应用收集了安卓ID等设备唯一标识信息，55.4%的应用收集了应用列表信息，13.7%的应用收集了剪切板信息，而这类信息可用于人物画像、个性化推送等业务。

　　“个人信息是重要的数据资产，一些App尤其是公用事业类的应用，拥有庞大的用户群，不法分子和网络黑客早就盯上了这些敏感信息，并形成黑色产业链。一旦App获取的个人信息被售卖，将在多个层面造成严重的安全问题。”任勇军教授说，比如，用户出行App或外卖App上面存有百万级以上的用户信息，一旦泄露可能不仅影响个人本身，甚至会对国家安全造成危害。

　　任勇军表示，对于用户而言，不能因为协议太长，就放弃阅读。不随意开放和同意不必要的隐私权限，不随意输入个人隐私信息，定期维护和清理相关数据，避免个人隐私信息被泄露。

　　那么，对于监督管理部门来说，究竟该如何约束长篇大论的“用户协议”，把保护用户隐私落到实处？

　　当前，相关机构正在起草《信息安全技术互联网平台及产品服务隐私协议要求》，可为平台企业的用户协议及隐私政策合规提供指引。

　　相较于制定相关行业规范，如何将规范落到实处是更值得关注的问题。

　　单勇教授认为，App违规收集用户信息行为无法根治的原因主要在于：一是行业主管部门的治理资源有限，仅依靠行业监管较难规范所有App的信息收集行为；二是部分中小企业存在侥幸心理，试图通过违规行为获取更高经济利益；三是《个人信息保护法》等相关法律虽赋予了用户数据权利，但实践中用户权利的实现方式并不明晰，用户在权利受侵害时难以有效维权。

　　“行业主管部门应持续开展违法违规收集使用个人信息专项治理，充分发挥头部平台的‘看门人’作用，由其尽责履行对应用市场内App及平台内小程序的监管义务，规范相关App、小程序的个人信息收集行为。”单勇还建议，对于个人信息保护投诉举报渠道和透明度报告机制应予以完善，维护用户对行业治理的知情权和监督权。

（文章来源：科技日报）