警惕 | 部分网站和APP无客户隐私政策 收集信息向第三方共享
为了解网络运营商在收集哪些个人信息及用作何处,南都记者近日查阅了50家网站和APP的隐私政策(协议),发现存在诸多问题。对此,中国工程院院士沈昌祥告诉南都记者,这要求运营者遵守网络安全法,做好保护用户隐私的工作。
调查说明
随机选取常见网站及APP评分标准细分为十个选项
近日,南都记者随机选取常见的50家网站及APP,从官方网站或APP中下载最新的使用条款及用户协议。采样截止时间为2017年3月3日。
参考现行法律法规以及个人信息政策规定较为完善的网站,南都记者在评分标准上细分为十个选项,分别从是否及时准确提供隐私政策、是否公布收集信息的种类手段和目的、是否公布如何使用个人信息、用户是否有选择权、是否明示用户信息可能被披露的情况、用户是否有修改信息的权利、隐形信息收集技术是否有说明、是否对数据安全管理进行说明、向第三方或关联方传输及共享信息是否说明、是否设置投诉和反馈机制10个方面为各网站及APP的隐私政策打分,每项满分5分,共计满分50分。
需要说明的是,打分高的网站或APP并不意味着其对公民的个人隐私具有最高的保护力度,而仅表示在个人隐私政策制度制定方面相对完善。
从打分结果上来看,南都记者发现,如果以30分作为及格线,能够达到及格或以上的网站或APP仅有7家,超过半数(27家)的网站或APP都在20分或以下,评分不足10分的达9家。
根据南都记者统计,在50家网站、APP中,有30家制定了独立的隐私政策,18家关于隐私保护的内容存在于用户协议中,2家完全没有关于隐私的声明。
尽管被选取的网站和APP中多数都有关于个人信息保护的相关说明,但南都记者发现,大多数网站和APP都对同意用户协议采取了默认勾选,更有部分APP在用户首次使用时,并不告知他们存在使用协议,用户轻易就“被同意”了。如在使用滴滴出行APP时,注册界面中并不存在用户协议,但在成功登录之后,却能在设置里的法律声明中查询到“您已阅读、理解并同意接受以下条款的约束”。
用户协议及隐私政策的不规范不止于此。南都记者还发现,50家网站、APP中,仅有13家标明了隐私政策的生效日期,所有网站及APP均表示,用户协议及隐私政策可随时更新。
发现问题
A 部分网站和APP没有隐私政策
手机用户未下载APP之前,可在应用商店里查阅隐私政策。苹果的手机商店里涉及的每款APP都有相应详情介绍,除了内容提要、产品最新动态外,还有版本记录、开发人员网站、开发人员其他APP及客户隐私政策。
不过,当点击“客户隐私政策”,南都记者发现,一些APP并未提供相关说明,比如超级手机管家和铃声大全,并且在APP内也找不到任何关于隐私政策的内容。值得一提的是,有些APP虽然在苹果手机商店上有提供“客户隐私政策”,但在链接页面上却出现了问题。
3月3日,南都记者打开“起点读书”的“客户隐私政策”介绍,页面显示“404Not Found”。而酷狗音乐链接到的是该官网“关于酷狗”的页面,显示的是“公司介绍”,内容与隐私政策无关。
南都记者调查发现,大部分网站和APP的用户隐私政策并不容易发现,用户经常需要经过两次及以上的点击次数才能找到相关内容,而有些则是在整个注册过程和使用过程中都很难获知这款软件的任何隐私政策。
有业内人士告诉南都记者,隐私政策在施行过程中面临一个现实问题,即隐私政策文本变得越来越冗长。对于用户来说,为安装一个软件而去看完一份八九页的协议,需要投入一定的阅读理解成本。
根据规定,收集个人信息需要经过用户的知情,由于有些用户协议所在位置并不显眼,且内文长,因此很少有用户点击阅读。这算不算用户真正知情同意?北京志霖律师事务所律师、中国互联网协会信用评价中心法律顾问赵占领认为,这需要根据个人信息的敏感程度划分,根据个人信息国标,收集一般个人信息,用户默示同意即可。而涉及敏感信息则需要用户明示用意,也就是除了用户协议外还需单独提醒用户。“即使用户默示同意了,如未满足个人信息的收集使用遵循的正当合法必要原则,也不代表收集使用个人信息的相关格式条款就是有效的。”
B 信息收集范围甚至含个人健康信息
在很有可能未阅读的情况下,用户同意并接受的隐私政策到底包括什么内容呢?
南都记者比较后发现,在得分较高的APP和网站的隐私协议中,至少都含有收集哪些信息、如何使用信息及与第三方是否共享信息等说明。
综合多家网站和APP的相关隐私协议,非个人信息是指不会与任何特定个人直接相关联的数据,指记录在服务器上的信息,比如URL、IP地址、浏览器类型、使用语言、访问日期和时间;用户在使用网站和APP时的行为习惯等基本信息和用户隐私信息外的一切普通信息等。
南都记者发现,互联网企业所收集的信息范围较为宽泛,不仅包括部分个人信息也包括非个人信息,还有敏感信息,比如个人健康信息等。
以阅读类APP掌阅为例,其隐私政策上共提及收集三类信息:“您向掌阅科技提供的信息”、“我们获取的您的信息”、“您对我们产品或服务的使用情况,例如使用时长、阅读记录等数据”。第一类主要指用户填写或提交的信息,包括姓名、性别、出生年月、身份证号码、电话号码、电子邮箱、地址、支付宝账号、微信账号等其他第三方账号。而掌阅获取的用户信息包括日志信息,设备或软件信息,有关用户曾使用的移动应用(APP)和其他软件的信息,以及曾经使用该移动应用和软件的信息,如使用Apple Health中的健康数据等。
南都记者注意到,一些APP在获取用户敏感信息权限时会有单独提示。比如,在搜狗输入法APP中,当用户初次登录会收到这样的提示:“此输入法可能会收集您输入的文字,包括密码及信用卡号码数据。它源自应用搜狗输入法”。在万年历APP中,也出现“读取运动数据(以提供计步和摇一摇等功能),您是否允许?您可以在‘手机管家’权限管理中配置权限”。
虽然有单独提示,但也有不少用户可能未注意。根据互联网数据中心发布的《2015年中国安卓手机隐私报告》显示,50.4%的用户不会注意到APP获取权限。该报告还统计到,有11.9%的安卓手机APP越界获取了隐私权限。
赵占领表示,移动互联网企业及其产品对个人信息收集更多。甚至一些恶意程序会直接非法获取个人信息,比如手机通讯录和地理位置等。
C 与第三方共享信息,部分网站未加说明
除了依靠自身平台,互联网企业亦可从第三方获取信息。
旅游网站猫途鹰的用户隐私政策称:“我们还可能定期从途趣的关联实体、业务伙伴及其他独立第三方来源获得关于您的个人和非个人信息,并把它添加到有关您的其他信息中。”
在从第三方获取信息的同时,有些互联网企业也通过关联公司或第三方组织共享用户信息。如聚美优品在服务协议中提到,用户同意并授权聚美优品将信息传递给向用户提供其他服务的聚美优品关联公司或其他组织。
南都记者统计发现,在“对向第三方传输信息和与关联方共享信息是否进行说明”这一评分选项中,仅有22家评分在3分以上(包括3分),尚不足半数。
猫途鹰网站的用户隐私政策中提及,其与供应商、第三方服务商、推介网站、社交媒体服务、合作伙伴和本公司集团内部公司共享用户信息。
以推介网站为例,当用户从其他网站被推介至猫途鹰,那么猫途鹰可能会与该网站分享用户的注册信息,例如姓名、电子邮件地址、邮寄地址、电话号码和旅行喜好。而对于推介网站如何使用这些个人信息,猫途鹰称并未施加任何限制,同时建议用户查看推荐网站的隐私政策。
此外,在进行促销活动或抽奖时,互联网企业可能会与赞助商和第三方网站和服务共享用户信息。在爱奇艺、哔哩哔哩和喜马拉雅等网站和APP的隐私政策中均提到,在进行抽奖、促销等活动时,赞助商、合作伙伴可通过访问的第三方因特网站点和服务得知用户个人信息,并进行独立的数据收集工作。用户可以通过不参与来终止传送过程。
D 有些协议更像免责声明,用户选择权低
南都记者发现,有些隐私政策更像单方的免责声明。
以赶集网为例,在苹果手机商店点击该款APP的详情介绍,对应的“客户隐私政策”链接是其官方网站中的“免责声明”。免责声明第二条称:“任何透过赶集网的网页链接得到的资讯、产品及服务均系用户自行发布,赶集网对其真实性、准确性、合法性概无负责,亦不承担任何法律责任。”
在用户隐私免责声明一项中,赶集网写道:“赶集网络一定不会公开、编辑或透露用户的注册资料及保存在赶集网络各种服务中的非公开内容,除非在认为必要的其他情况下”。
对此,赵占领认为,收集和使用个人信息应该符合正当合法必要原则。有些条款没有约定清楚收集和使用的方式,甚至没有明确说明转让给哪些第三方以及第三方的使用方式,这种情况下即使约定了免责条款也不一定有效。
南都记者注意到,在隐私协议中规定用户同意互联网公司对个人信息进行可能超范围的收集、可用于商业用途、不能确保个人信息不被泄露等,但对如何使用用户的个人信息、如何提供给用户选择权、如何让用户随时可以查阅、更正和删除自己的信息,以及如果发生用户个人信息被泄露事件,如何向用户承担责任等内容,均未有明晰规定。
不过,当用户注册使用网站和APP时,即被视为对用户协议和隐私政策全部认可。
以淘宝为例,其在《隐私权政策》中规定,“如果您不同意本隐私权政策任何内容,您应立即停止使用淘宝平台服务。当您使用淘宝平台提供的任一服务时,即表示您已同意我们按照本隐私权政策来合法使用和保护您的个人信息。”
针对用户隐私政策的问题,中国工程院院士沈昌祥告诉南都记者,这要求运营者遵守网络安全法,做好保护用户隐私的工作。
企业回应
收集用户数据是为提升产品服务
且已做加密处理
相关业内人士告诉南都记者,实际上从互联网本身的商业模式看,如果互联网公司不采集用户信息,那么这种互联网免费模式则不存在。用户损失匿名性和部分隐私来置换免费服务。不过这其中涉及到一个合规和尺度的问题。
美图秀秀的公司相关负责人向南都记者回应,收集的相关数据是用来进行用户数据统计的,例如记录IP地址意在防止商业作弊,而记录GPS定位则是为了区分国家和地区,作为广告系统的投放标准。在用户个人信息的保护上,美图公司相关负责人表示,他们对用户信息进行了强制且多层加密存储,防止用户数据泄露。
针对收集用户数据的目的,百度相关负责人告诉南都记者,收集用户数据主要是为了提升产品服务和用户使用体验。微信相关负责人告诉南都记者,用户在使用微信时,提交个人信息是用于网络身份验证或保障账号安全的。此外,无论是互联网行业还是其他行业,收集用户信息是用户开通账户并正常使用的前提。对于用户的用户数据,腾讯通常采取匿名化、加密等多种安全技术手段,避免识别出用户身份,保障使用用户数据的安全性。