中外移動APP用戶隱私保護文本比較研究

劉嬌，白凈

（汕頭大學長江新聞與傳播學院，廣東 汕頭 515063）

中外移動APP用戶隱私保護文本比較研究

劉嬌，白凈

（汕頭大學長江新聞與傳播學院，廣東 汕頭 515063）

隨著移動互聯網發展，各類移動APP層出不窮，用戶個人信息成為移動互聯網多個參與主體搶奪的目標，個人信息保護成為網絡時代的研究熱點。一些國家嘗試通過立法，保障網絡上的個人信息。本文通過調研55個中文移動APP和20個英文移動APP的“用戶隱私聲明”文本內容，發現中文APP明顯存在“用戶隱私聲明”文本框架不完整、服務商收集和使用用戶信息的告知義務不規范等現象。

移動互聯網；隱私保護；隱私聲明；個人信息

劉嬌 (1989-)，女，安徽省阜南縣人，汕頭大學長江新聞與傳播學院畢業生，碩士。

白凈 (1967-)，女，汕頭大學長江新聞與傳播學院教授。

隨著移動互聯網發展，各類移動APP層出不窮，用戶個人信息成為移動互聯網多個參與主體搶奪的目標，個人信息保護成為網絡時代的研究熱點。

制定用戶隱私聲明或服務條款，是互聯網企業與用戶簽訂的線上合同，內容一般包括告知用戶APP開發者的權利和義務、將收集和使用用戶哪些信息，以及相關免責條款等。

用戶隱私聲明的制定和執行源于互聯網的興起和發展，旨在規范互聯網企業收集和使用用戶個人信息的行為，是滿足用戶個人信息保護需求的重要措施，常見稱謂多為隱私政策、隱私策略、隱私條款、隱私制度等。用戶隱私聲明是政府規范互聯網企業發展和互聯網行業自律的產物，更是互聯網企業與用戶長期博弈的產物。

美國互聯網巨頭谷歌（Google）分別于2012年、2014年、2015年多次修改或簡化網站隱私政策，每一次隱私政策的修改都引起巨大爭議。2012年Google宣布將適用于多種服務的60項隱私指南簡化為一項單一政策，因新隱私政策允許Google將使用其各項服務用戶的信息整合在一起，遭到用戶強烈不滿。2015年Google宣布繼續統一其旗下60款服務和產品的隱私政策，并擴展至YouTube視頻網站以及Android智能手機。美國隱私保護機構EPIC對Google公司提起訴訟，指控Google的新隱私政策沒有明確表達修訂原因，也未事先獲得用戶明確許可，而且新隱私政策不具備拒絕選項。

移動互聯網時代，用戶每天進行大量“數據排放”，有權了解個人信息被收集和使用的情況，并有權對不合理的收集和使用提出質疑及提出索賠。

關于互聯網企業的隱私政策都包含哪些內容？2016年6月，國家網信辦發布《移動互聯網應用程序信息服務管理規定》，其中第七條規定：依法保障用戶在安裝或使用過程中的知情權和選擇權，未向用戶明示并經用戶同意，不得開啟收集地理位置、讀取通訊錄、使用攝像頭、啟用錄音等功能，不得開啟與服務無關的功能，不得捆綁安裝無關應用程序。這項規定對服務商提出了具體要求。

美國1998年的兒童在線隱私保護法案，①美國兒童在線隱私保護法案Children's Online Privacy Protection Act，1998以及2013年的加利福尼亞在線隱私保護法案，②美國加利福尼亞州在線隱私法案，California Online Privacy Protection Act 2003及California Online Privacy Protection Act—Do Not Track Amendment, 2014對服務商的用戶告之義務做了比較詳細的規定，根據這些法律，服務商應在顯著位置張貼用戶隱私聲明，聲明應包含以下幾個部分：隱私聲明版本更新描述；用戶個人信息定義；個人信息收集類型；用戶信息使用情況；信息披露描述；用戶數據控制權描述；數據安全保障；未成年特殊群體信息收集和使用；反饋和投訴機制，以及重要關鍵詞釋義等內容。

本文通過調研55個中文、20個英文移動APP用戶隱私聲明文本內容，查看這些APP用戶隱私聲明的名稱、張貼位置、文本內容詳細程度、APP獲取用戶權限數量、文本是否包含告知用戶“與第三方分享”內容表述、是否包含告知用戶“數據加密技術”內容表述、是否包含“未成年使用問題”表述等七個部分，以期找出中文和英文移動APP隱私聲明文本中的差異，檢視這些文本是否符合標準隱私聲明文本框架。

一、中文APP用戶隱私聲明研究方法和發現

依據中國最大的獨立第三方數據服務提供商TalkingData發布的《2014移動互聯網數據報告》，中國安卓用戶與IOS用戶比例為7:3，安卓系統依舊是中國智能手機主流使用系統，選擇安卓市場應用平臺，具有代表性。本文依據TalkingData報告，選取11類細分行業領域覆蓋率前5名的APP共55個，通過360手機助手平臺依次下載、安裝、注冊和查看，獲取APP用戶隱私聲明文本作為研究對象。

11類用戶覆蓋率TOP55的樣本APP分別為：

移動社交：手機QQ、微信、陌陌、YY、微博；

移動電商：手機淘寶、美團團購、天貓、小米商城、京東；

移動銀行：中國建設銀行、工行手機銀行、掌上銀行、招商銀行、交通銀行；

移動理財：同花順、隨手記、大智慧、挖財記賬理財、東方財付網；

移動視頻：騰訊視頻、優酷、愛奇藝、搜狐視頻、暴風影音；

移動游戲：PopStar！消滅星星、天天酷跑、歡樂斗地主、開心消消樂；

移動新聞：騰訊新聞、今日頭條、網易新聞、搜狐新聞、一點資訊；

移動旅游：去哪兒旅行、攜程旅行、智行火車票、同程旅游、阿里旅游；

移動健康：美柚、大姨嗎、咕咚、薄荷、超級減肥王；

移動教育：超級課程表、英語流利說、百詞斬、猿題庫、作業幫；

移動醫療：春雨醫生、快速問醫生、微醫、1號藥網、丁香醫生。

通過查看55個移動APP的用戶隱私聲明文本內容，發現以下問題：

1.關于移動APP用戶隱私聲明名稱

明示“用戶隱私聲明”的較少：含“隱私聲明”、“隱私政策”等字眼的APP僅占全部樣本的27.2%。服務協議與隱私聲明不區分，用戶隱私聲明內容多作為章節或段落呈現在“服務協議”、“用戶許可”等文本中。

2.用戶隱私聲明“張貼”位置隱蔽

由于智能手機屏幕小，用戶隱私聲明通常以二次鏈接或者多次跳轉鏈接的形式呈現在注冊或設置界面。安裝APP時默認勾選用戶協議和隱私政策，若用戶拒絕信息收集，則自動視為拒絕該服務，等于強制用戶接受APP開發商的隱私政策。

3.權限數量與隱私越軌

在55個樣本中，聲明中顯示的讀取用戶權限數量，與實際下載安裝過程中APP獲取的權限數量明顯不符，各樣本平臺介紹APP讀取權限多在6-15個，本文在下載安裝中發現實際讀取權限數量幾乎全部在16個以上。其中值得注意的是，55款APP全部默認請求讀取用戶地理位置權限、短信記錄權限、通話記錄權限、設備識別信息權限等。與“最少、夠用”原則背道而馳。

4.關鍵文本描述模糊

在55個樣本中，用戶隱私聲明文本完善，內容詳細的APP共6個，占全部樣本的10%左右。其中，社交通信類APP用戶隱私聲明內容相對比較完整；教育、醫療健康類APP對用戶隱私聲明的設置和呈現不夠重視，側面體現了新興互聯網企業對用戶個人信息保護的力度不足。

以百度、阿里巴巴、騰訊（BAT）為代表的大型互聯網企業，用戶隱私聲明內容相對比較周全，已逐漸形成符合國際隱私標識認證、符合基本規范的用戶隱私聲明框架。

5.敏感信息收集告知不明確

在55個樣本中，明確表示會收集用戶敏感信息和明確表示不會收集用戶敏感信息的APP共有22個，占全部樣本的40%，超56%的APP未提及是否會收集、使用、披露用戶個人敏感信息。

6.第三方分享未及時“通知和提醒”

在55個樣本中，用戶隱私聲明明確告知“會與第三方分享信息”以及明確“不會與第三方分享信息”的APP有26個，占全部樣本的47%。45%的移動APP并未提及是否會與其他第三方分享用戶信息，其中多為移動教育、醫療健康、移動銀行等新興應用類型。用戶的郵箱地址、姓名、位置、移動設備識別碼等信息，是移動應用與第三方分享的常見數據。

7.未成年信息收集和使用不規范

未成年人是行為識別能力有限的特殊群體，互聯網企業在保護未成年人隱私方面，應負有更高的善良管理人注意義務。在55個樣本中，明確不允許未成年使用該服務、明確不收集使用未成年人信息、取得家長書面同意后才會收集使用未成年人信息的APP共有19款，占全部樣本的34.5%。

8.數據安全保護措施告知不充分

為了保證數據的完整性和機密性，通常在隱私數據保護中會使用數據加密技術。數據的產生、存儲、應用、傳輸等環節中，均存在泄漏的風險。對用戶信息和數據的保護，如果少了技術的支撐，則會成為空談。明示數據安全保障，不僅是互聯網企業技術自信的體現，也是企業爭取用戶信任的資本。

55個樣本中，以BAT為代表的大型互聯網企業旗下APP產品多使用統一用戶隱私聲明；移動社交和移動游戲APP用戶隱私聲明文本較詳細；移動教育、醫療健康、移動旅行、金融理財類新興APP用戶隱私文本簡略。另外，用戶隱私聲明文本存在兩種極端：一種表現為無處查詢針對用戶的隱私策略，或僅僅在用戶協議、服務條款中簡單幾句表述帶過，未涉及用戶真正關心的問題；另一種則體現為隱私政策、服務條款冗長難懂，專業術語較多，未考慮大多數普通用戶的理解水平。

除此之外，一些網絡交易平臺的法律聲明、服務協議、相關規則，以及著作權與商標聲明、服務條款、隱私聲明等頁面中，存在以合同格式條款作出排除或限制用戶權利、減輕或者免除經營者責任、加重用戶責任等不公平、不合理的規定，例如某旅游APP的《隱私條款及服務說明》在“信息安全”一欄顯示，“用戶明確同意其使用會員服務所存在的風險將完全由其自己承擔。”

二、英文APP用戶隱私聲明研究方法和發現

據美國comScore & MobiLens報告顯示，安卓系統智能手機占全部智能手機系統的52.2%，位列第一，谷歌應用商店（Google Play）作為第三方應用下載平臺位居首位。①https://www.comscore.com/Insights/Market-Rankings/comScore-Reports-July-2015-US-Smartphone-Subscriber-Market-Share 最后一次查看時間：2016年2月26日故本文選擇Google Play，作為國外制作的英文樣本APP（本文簡稱“英文APP”）下載渠道。依據該報告公布的2015年7月Google Play排名TOP15的APP作為比較樣本，②https://www.comscore.com/Insights/Market-Rankings/comScore-Reports-July-2015-US-Smartphone-Subscriber-Market-Share 最后一次查看時間：2016年2月26日依據APP Annie③https://www.appannie.com/apps/google-play/top-chart/?date=2015-07-01,最后一次查看時間2016年1月10日數據分析平臺,選取移動游戲、移動教育、休閑娛樂等另外5款流行APP作為增加樣本，最終獲取20款英文APP。以相同的內容分析方式，對20款英文APP的隱私聲明文本進行分類和分析。

20款英文APP分別為：Facebook, Facebook Messenger, Twitter, Snapchat，YouTube, Netflix, Twitch，Google Maps, Apple Maps，Pandora Radio, Apple Music, Instagram, VSCO, Gmail, Yahoo Finance,④為Yahoo stocks新版名稱MyFitnessPal, Clash of Clans, Explain Medicine, Sweet Baby Girl, TripAdvisor。

這20款英文APP覆蓋11個分類，即時通信、移動視頻、休閑娛樂占多數，20款APP均可在Google Play下載安裝，均可查看用戶隱私聲明，有效樣本100%。其中19款APP有獨立隱私聲明，占全部樣本的95%。

1.多數APP張貼獨立隱私聲明

在20款英文樣本中，有19款張貼獨立隱私聲明，名稱多為隱私政策（privacy policy）、隱私聲明（privacy statement）、條款和隱私（terms & privacy）。大多數用戶隱私聲明名稱清晰。

值得注意的是，20款英文APP中，有6款在其隱私政策下方張貼國際知名隱私保護機構TRUSTe標志，說明該APP隱私聲明獲得隱私保護機構認可。

2.用戶隱私聲明“張貼”位置顯著

在Google Play搜索一款APP即可查看相關隱私政策。以YouTube 為例，在搜索YouTube下載界面時，可查看此款APP的所屬類型、適用群體類別、開發者級別、APP功能說明、APP用戶評價、新版變化以及其他信息等。其中，在其他信息中為用戶呈現更新日期、當前版本信息、過往版本信息、內容分級權限設置、舉報形式、開發者聯系方式以及隱私權政策等。

在此20款英文APP中，在Google Play搜索界面可點擊查看APP隱私政策的數量為16個，占80%。用戶隱私聲明呈現位置顯著。

3.關于獲取用戶權限數量告知明確

在20款英文APP中，平臺顯示獲取權限數量與實際安裝應用時獲取權限數量一致。其中，獲取權限數量最多的即時通信工具Facebook,在平臺應用介紹中明示將獲取42項用戶應用權限，Apple Music、Netflix 、Sweet Baby Girl等5款APP則明確表示不會獲取用戶地理位置信息。

以MyFitnessPal為例，在下載此款APP前，用戶可從APP相關信息介紹中清楚查看APP獲取用戶權限的數量，明示告知此款APP將獲取9項使用權限，包括：付費APP、身份識別、讀取聯絡人、獲取位置、讀取USB存儲裝置內容、查看WiFi連線、讀取手機狀態和識別碼。同時可查看重點關鍵詞釋義，以及如何控制對用戶信息的收集和使用。

4.隱私聲明文本符合框架標準

20款英文APP用戶隱私聲明文本中，文本內容非常詳細的有17款，占全部樣本的85%，其中多數文本對收集用戶信息的類型描述十分清晰，對cookies等追蹤技術系統的啟用和停用有詳細介紹。

5.敏感信息收集及時告知

20款英文APP中，明示敏感信息收集和使用行為的有18款，占全部樣本的90%，基本盡到“通知與提醒”義務，并告知通過哪些渠道獲取用戶敏感信息，以及獲取敏感信息的名稱與分類。其中唯一未提及是否收集個人敏感信息的是旅游應用TripAdvisor。

6.信息披露明確告知

20款英文APP中，明確將用戶信息分享給第三方的有10款，明確不會將用戶信息分享給第三方的有7款，明確告知的占85%。

7.未成年人信息收集和使用情況不盡理想

調研發現，這20款英文APP對未成年人信息收集和使用行為要求嚴格。其中8款APP明確表述不允許13歲以下兒童使用該產品和服務，多為移動社交類和視頻直播類；另有4款APP允許未成年人使用但明確表示不會收集和使用該類用戶信息，兩種情況相加共占60%。

8.數據安全保護措施過半符合要求

在20款英文APP中，明示對用戶信息采取加密技術保護的有10款，占全部樣本的50%。未提及以何種方式保護用戶信息的有4款，其中3款為社交類APP。

通過對20款英文APP用戶隱私聲明調研發現：以Google為代表的大型互聯網企業旗下APP產品多使用統一用戶隱私聲明；20款英文APP樣本基本做到隱私聲明清晰明確、張貼位置顯著、文本足夠詳細，對收集用戶信息的類型和來源描述清晰，符合隱私聲明框架要求。

在未成年人信息收集和使用、數據安全保障方面，英文APP同樣有提升空間。除此之外，英文APP同樣存在隱私政策、服務條款等內容冗長難懂，專業術語較多，未考慮大多數普通用戶的理解水平等問題。

三、中外APP用戶隱私聲明文本差異

通過對75款APP（55/20）調研發現，中外APP用戶隱私聲明文本存在許多差異。雖然兩組樣本的APP數量不一致，但可從一個側面一窺端倪：

中文APP英文APP獨立隱私聲明① 27.2% 85%顯著位置呈現方式② 29% 80%文本詳細程度③ 14.5% 80%明示告知是否收集和使用敏感信息④40% 95%明示告知是否與第三方分享信息⑤47.2% 95%明示告知未成年使用行為⑥ 34.5% 65%明示數據安全技術名稱 12.7% 70%

英文APP在應用平臺搜索界面即可跳轉查看隱私政策全文，方便用戶在下載、安裝、注冊使用前，全面透明地了解APP各項內容，辨別是否下載使用此款APP。其文本內容更符合隱私策略框架標準，如對于所需收集的信息內容，采取窮盡列舉的形式，對于專業術語，多以超鏈接和舉例形式或者提供具體操作實踐，方便用戶理解。

但中文APP需要在下載安裝使用后，方可查看全部隱私聲明內容，告知形式明顯不合理；其次，把隱私政策置于“版權聲明”、“使用服務協議”等鏈接項下，且通常需要多次鏈接形式查看文本內容，不是告知用戶的理想場景和方式，并不能盡到充分告知用戶的義務。

在特殊群體的信息保護方面，中文APP明確表示將采取特殊技術，或“明示告知父母”保護兒童用戶信息，占比僅為12.7%，而英文APP則為65%。

中文APP用戶隱私聲明文本在所調研的7項內容中，均與英文APP有明顯差距。同時中英文APP共同問題也十分突出，如文本字數過多、用詞晦澀難懂、文本過長且形式單一、閱讀體驗不佳等。

此外，中文APP用戶隱私聲明存在文本形式不規范、信息收集和使用不透明、無實際約束力等問題，兜底條款過多、免責聲明內容不合理、對用戶敏感信息、特殊群體信息的規范存在缺失等。

調查顯示，大部分中文APP對“隱私政策”不夠重視，僅僅把隱私政策作為是一種政策性宣示，對用戶信息的實際保護力度較弱，對用戶個人信息保護不夠重視。

四、結語

在移動互聯網用戶信息保護實踐相對發達的國家，用戶隱私聲明框架已經深入到具體的企業執行和測試評估階段，保護主要從數據收集、使用、安全與披露以及傳輸流動幾個層面展開。在用戶隱私信息的收集方面，“數據最小化”已經為國際社會所認可的原則。在個人信息使用方面，用戶的控制權越來越被認可。個人聚合信息安全方面，加密存儲等先進技術是保障。此外，很多國家開始在立法層面明確了防止數據泄露的保護措施，以及泄露后的應對措施。

為加強個人信息保護，國家網信辦2016年發布《移動互聯網應用程序信息服務管理規定》，對服務商提出具體要求。但調查發現，國內移動互聯網用戶信息保護從行業自律到第三方監管，再到互聯網企業執行與實施效果評估，都與發達國家有一定差距。

完善用戶隱私聲明文本框架只是移動互聯網時代個人信息保護的其中一步。除此之外，更需要多個參與主體的共同努力。包括依法對侵權行為進行懲戒、賦予應用平臺審核責任、加強第三方隱私保護機構的監督、提升用戶個人信息保護意識，共同維護用戶個人信息合理收集和使用安全。

A Comparative Study on the Privacy Policy of Chinese and Foreign Mobile APP

LIU Jiao, BAI Jing

With the development of mobile APP, personal data protection becomes a hot topic. This article analyzed privacy policy of 55 Chinese mobile APP and 20 English mobile APP, found that Chinese APP privacy policy is incomplete from the users’ point of view, some Chinese service providers didn’t inform the users what data they collected and how they used the data.

Privacy protection, Privacy statement, Personal information, Personal data

TP311

A

1001-4225（2017）03-0082-06

（責任編輯：鐘宇歡）

“中國大眾媒介法體系化研究”（12BXW017）