支付寶年度賬單默認勾選用戶協議一事,引發行業對互聯網公司服務協議規範性的關注,也引發了媒體和輿論的關心。
日前,南都個人信息保護研究中心發佈《關於收集個人信息“明示同意”的測評報告與建議》。報告實測了100款常用APP發現,在用戶註冊前,“默認勾選”同意企業用戶協議和隱私政策的情況並不少見,有的甚至存在用戶不可自主選擇同意與否的問題。
僅有11%的APP做到了合乎法規及規範的“明示同意”。
這份報告是行業首個對手機APP收集個人隱私“明示同意”進行全面調查的報告。報告選取了2017年“1550家隱私政策透明度”測評中10個行業排名前十的移動應用(以下簡稱APP)共100家為測評對象,人工考察在用戶註冊場景下,企業徵求用戶授權同意隱私政策(或用戶協議)的方式。
1.行業隱私政策明示現狀
一、“隱私政策”字樣突出處理情況尚可
此次報告其中一個考評維度是:APP是否以強調方式對“隱私政策”字樣進行突出處理。這一點,絕大多數APP表現都還不錯。
從統計結果看,隱私政策透明度較高的100家APP中,94%的APP都能做到在註冊頁面上,通過下劃線,區分顏色和字體的方式明示“隱私政策”以吸引用戶點擊。不過,QQ音樂、今日頭條、搜狐新聞、六塊腹肌、壹球、駕考寶典等6款APP,明示隱私政策的效果並不明顯,只是使用了與前後語句一樣的文字顯示。
二、明示同意如何實現套路多
此次報告另一個考評維度是隱私政策明示同意如何實現,這分為四種方式,(1)不可自主選擇;(2)點擊註冊即表示同意;(3)提供同意勾選框但默認同意;(4)提供勾選框並需要用戶手動同意。
調查結果顯示,大多數APP均採用點擊註冊即表示同意的方式,其次是提供同意勾選框但默認同意,只有少數APP提供勾選框並需要用戶手動同意。
2.行業“隱私政策“明示突出問題:
一、明示隱私政策前就開始收集個人信息
在註冊頁面顯示隱私政策(用戶協議)已經成為業內共識。但如何 “明示”,目前仍有不同的理解。
個人信息安全規範要求,在收集個人信息前,就應向個人信息主體明確告知所供產品或服務的不同業務功能分別收集的個人信息類型等信息。也就是說,從時機來看,明示同意應該在APP開始收集用戶個人信息前完成。
但在測試中,南都個人信息保護研究中心發現,仍有APP在明示隱私政策前就已經開始收集個人信息,並且不給予用戶選擇權。如騰訊旗下微信,在首次打開時,首先要求填寫用戶手機號,填寫完畢點擊下一步後才會彈出隱私政策,如下圖:(左圖為先跳出的頁面,右圖為填寫電話後跳出的頁面)
這意味著,用戶在對微信的用戶協議與隱私政策有任何瞭解前,就必須交出自己的手機號,這已經違反了個人信息安全規範中關於的相關條款。
二、點擊註冊即表示同意
典型案例:小米運動 QQ
在維度二調查的四種方式中,值得重點討論的是“點擊註冊即表示同意”這一處理方式。受測試的近半數(49個)APP都採取了這種獲取用戶同意的方法。
根據《信息安全技術 個人信息安全規範》中對“明示同意”做出解釋,個人信息主體主動點擊註冊可以被視為一個“肯定性動作”。此種情形的舉例如下圖:(左為小米運動登錄頁面,右為QQ註冊頁面)
那麼,是否能看做“點擊註冊即表示同意”的方式就能充分實現用戶的知情同意呢?
歐盟數據保護工作組意見書中曾經討論過類似的問題。意見書中列舉的例子是:某網絡遊戲供貨商要求玩家提供年齡、姓名及住址等數據,以便能夠讓玩家參與網上游戲(涉及玩家年齡和地址的分佈)。對於這一事例,歐盟數據保護工作組的意見認為,登錄並參與網上游戲並不等於同意服務商因參與遊戲外的目的處理玩家的個人資料。這類行為並不構成當事人對自己的數據用於商業目的的明確同意。
回到測評中的事例,願意註冊是否意味著同意隱私政策中的相關內容?用戶的“同意” 是否能一次性指向兩個客體?用戶是否有權利只同意其中一個客體而反對另一個?這些都是需要討論及明確的問題。
因此,南都個人信息保護研究中心並不認為“註冊即表示同意隱私協議”是處理明示同意的最佳策略。
3.行業巨頭隱私政策明示中缺位
事實上,南方都市報不是唯一一個關注當前隱私行業現狀的媒體,日前,鳳凰財經也對當前手機用戶最多的APP微信進行了調查。根據鳳凰財經報道,微信在服務協議中存在“一拖N”的捆綁情景。當你點擊一個協議的同意按鈕後,你不知道的是,自己同意的是微信協議“全家桶”。
微信從註冊開始邊開始了默認勾選的套路。在註冊綁定手機頁面,點擊註冊,即表示同意《騰訊誒新軟件許可及服務協議》和《微信隱私保護指引》。
鳳凰網WEMONEY在實際體驗中發現,在註冊微信的過程中,通過一系列認證後,微信會要求用戶同意《騰訊微信軟件許可及服務協議》。但是點擊協議頁面時,就會發現其中還捆綁了其他協議,尤其是在協議後半段不顯眼的位置,要求用戶接受《微信支付用戶服務協議》。
據瞭解,這只是其中的一部分“捆綁”內容。點擊《微信支付用戶服務協議》,會發現又捆綁了更多其他的協議,其中就包括《財付通服務協議》。
當用戶點擊《財付通服務協議》鏈接,進入網頁:https://www.tenpay.com/zft/low.shtml,會發現當中並不僅僅是《財付通協議》,而是包括四份文件:《財付通服務協議》、《微信支付用戶服務協議》、《QQ錢包支付用戶服務協議》和《徵信業務授權書》。
業內資深人士告訴鳳凰網WEMONEY,通過這種層層遞進及協議捆綁的方式,微信用戶實際上很難知道自己到底簽署了多少協議。至於不同的協議中,自己分別同意了什麼樣的內容,更無從談起。
2017年9月24日,中央網信辦等四部門發起簽署個人信息保護倡議書。倡議書中明確不使用“一攬子協議”的方式強迫用戶打包授權對個人信息的收集等內容。
4、結論:單獨彈窗方式更尊重用戶
南都記者注意到,在《個人信息安全規範》中,對明示同意的要求更為明晰。在用戶首次安裝APP時應彈出一款APP“核心功能需要的敏感個人信息”、“附加功能需要的敏感個人信息”,以及“共享、轉讓、公開披露的個人信息”等頁面,保證用戶明確瞭解並主動作出勾選選擇。
因此報告建議,對用戶的明示同意應嚴格遵循明示、用戶主動勾選兩項原則。在此基礎上,只有與場景良好結合的明示同意動作,才能更好地在效率與保證用戶充分知情權之間取得平衡。
一個有效的解決辦法是,將隱私協議中涉及用戶敏感個人信息或需要用戶單獨明示同 意的條款分離出來,在這一功能或服務啟動時再彈框詢問,並在隱私協議中標註:與用戶個 人利益緊密的條款將以單獨彈窗的方式徵求用戶的同意,這也將打消用戶擔心APP一攬子獲得敏感信息的疑慮。
如下圖:(左為支 付寶彈框選擇方式,右為百度新聞默認不同意方式),這兩種方式都可以認為給予了用戶選擇權。
閱讀更多 互聯網爆料 的文章
