“我已閱讀并同意”暗藏哪些貓膩？

未經(jīng)同意卻被讀走的個人信息，想看又看不懂的協(xié)議內容，一次同意終身授權的默認條款……記者調查發(fā)現(xiàn)，一些App在收集、處理用戶個人信息過程中仍然存在侵犯公民個人信息權益的情形。

多數(shù)手機App在首次下載使用時，點擊“我已閱讀并同意用戶協(xié)議和隱私政策”是常規(guī)操作，但不少人為了圖省事可能并不會真的閱讀用戶協(xié)議，進而忽視了這些問題：App通過隱私政策會獲取哪些個人信息？App提供服務必須收集這些信息嗎？App是如何存儲利用這些信息的？

來自北京的張女士在使用某詞典App時注意到，App的隱私政策選項為默認勾選“同意”，取消勾選、拒絕App處理其個人信息則App自動退出。當張女士注冊使用一段時間后想停用該App時，又發(fā)現(xiàn)無法撤回允許該App處理其個人信息，因此將App運營者訴至法院。近日，北京市第四中級人民法院二審審結了該案，認定某詞典App存在侵犯公民個人信息權益的情形，依法應當承擔侵權責任。

個人信息被App悄悄讀取

“每次讓勾選同意我都萬般無奈，但又不能不勾，所以如果必須使用這款App時只能無奈同意，這種‘被迫自愿’顯然已經(jīng)違背了立法初衷?！眮碜员本┑闹芘繉τ诟黝怉pp反復要求獲取用戶同意和手機權限表達了相同的擔憂，“我撒過最多的謊就是‘已閱讀并同意用戶協(xié)議’?！敝芘刻岬降姆梢?guī)定是我國個人信息保護法第十四條——基于個人同意處理個人信息的，該同意應當由個人在充分知情的前提下自愿、明確作出。

審理張女士案件的法官、北京市第四中級人民法院法官助理劉津寧告訴記者，涉案App正是因為隱私政策被默認勾選“同意”，并未讓張女士自愿作出同意的選擇，不符合“自愿”“明確”的要求，這是App提供商顯著違法行為之一。

2021年起施行的《常見類型移動互聯(lián)網(wǎng)應用程序必要個人信息范圍規(guī)定》中明確，App不得因為用戶不同意提供非必要個人信息，而拒絕用戶使用其基本功能服務。在記者體驗的幾款主流社交類、資訊類App中，多數(shù)App目前已經(jīng)不存在不勾選同意就無法使用的情況，但會有App基本功能使用受限的情況，如只能瀏覽部分信息，無法評論收藏相關內容等。

但當記者打算登錄賬號時，多數(shù)App又會立即提示可使用本機號碼快捷登陸，然而記者此前并未授權App讀取手機號碼等相關信息，更未勾選相關“同意”選項。如此“快捷”固然方便，也意味著這些App在未經(jīng)同意之前，已經(jīng)在悄悄讀取用戶個人信息。

App協(xié)議“想看又看不懂”

與張女士和周女士不同，正在高校就讀法學專業(yè)的大學生王佳樂對于App的用戶協(xié)議和隱私協(xié)議興趣不小?！白詮膶W完民法學的課程后，我和身邊的同學對于個人信息保護都特別關注?！蓖跫褬犯嬖V記者，在使用一些新下載的App時，他會特意主動點開App的用戶協(xié)議和隱私協(xié)議，“就是想看看這類App收集我的個人信息都用來干什么。”但點開的協(xié)議讓王佳樂在閱讀時又犯了難——什么是爬蟲協(xié)議？第三方服務瑕疵是什么意思？如何界定商業(yè)適售性、特定用途適用性？

記者查閱了一些App的用戶協(xié)議和隱私協(xié)議發(fā)現(xiàn)，協(xié)議內容里中英文專業(yè)術語摻雜甚至還有圖表；文本內容冗長堪比專業(yè)論文，一些字句還標注了帶有注釋和附錄；協(xié)議條款動態(tài)更新，如需獲取最新協(xié)議內容需要時常反復查看……

“想看又看不懂，更讓人難受?！蓖跫褬凡唤?，“如此折騰用戶，會不會是本來就沒想讓用戶看懂，甚至協(xié)議背后藏著其他貓膩？”某互聯(lián)網(wǎng)企業(yè)的法務齊珊對王佳樂的困惑做出了解答，“涉及專業(yè)術語和特定用語的內容閱讀起來確實需要門檻，協(xié)議內容也是專業(yè)領域的人士擬定的，一味用淺顯易懂的大白話去解釋專業(yè)問題很容易產(chǎn)生歧義，如果因此導致協(xié)議產(chǎn)生漏洞可能為公司帶來麻煩。”

記者了解到，為回應用戶呼聲，一些主流社交App已經(jīng)推出了所謂的“省流版”用戶協(xié)議，即把原協(xié)議中的重要內容、重點章節(jié)單獨拎出來成文，并對重中之重的部分采取字體加黑、斜體等顯著方式標示，但不少內容閱讀起來仍晦澀難懂，甚至注釋、跳轉的鏈接更多。

一次同意，終身授權？

記者梳理網(wǎng)友對用戶協(xié)議和隱私政策的吐槽發(fā)現(xiàn)，“過度索權”“一次同意終身授權”等是網(wǎng)友對App協(xié)議問題關注度較高的問題。在上述張女士的案件中，根據(jù)法院庭審意見，該涉案App的屬性應為提供詞匯查詢的實用工具類App。根據(jù)《常見類型移動互聯(lián)網(wǎng)應用程序必要個人信息范圍規(guī)定》的規(guī)定，實用工具類App無須手機號等個人信息，即可使用基本功能服務，因此該詞典App要求先收集個人信息才提供服務的行為違法。

而“一次同意終身授權”的服務協(xié)議內容則更讓網(wǎng)友憤慨。記者查閱某社交App相關條款內看到，該App承諾不會將用戶個人信息轉移或披露給任何第三方，除非幾種特殊情況。但對特殊情況的具體場景并未提供顯著的撤回同意或承諾的方式方法。

個人信息保護法第十五條第一款規(guī)定，基于個人同意處理個人信息的，個人有權撤回其同意。在張女士一案中，法院認為涉案App未提供撤回同意方式，侵犯了用戶的個人信息權益。最終，案件經(jīng)過一審、二審，涉案App的運營公司被判刪除收集的張女士個人信息，并向張女士賠禮道歉、賠償其合理開支。

北京市道可特律師事務所朱思睿律師認為，除了當用戶首次使用App時通過明確的協(xié)議告知其哪些信息將被收集外，App服務商還應該做好對已收集信息的保管，如加密存儲和傳輸?shù)挠脩魯?shù)據(jù)，定期檢查和更新數(shù)據(jù)保護措施；做好用戶控制權的落實，即允許用戶查看、修改或刪除被收集的個人信息，能夠輕松地撤銷對某些信息的許可。（記者張子諭）