互聯網時代下用戶隱私協議的合規性研究

新疆農業大學國際教育學院 許靜兒，謝嫻，張睿佳，梁振邦，韓昱

反思現今各大App已經滲透了各個領域，給生活、工作、習慣帶來了翻天覆地的變化。它的多樣化面面俱到地滿足了人們的需求，但個人信息卻在眼皮底下不脛而走的現象頻發。盡管通過對《中華人民共和國個人信息保護法》不斷修改，取得的成效卻不盡人意。網絡運營商仍會利用漏洞在用戶隱私協議上“做手腳”。為此，《關鍵信息基礎設施安全保護條例》的實施將為網絡空間的個人信息安全帶來全新的展望。

一、研究背景

互聯網時代下數字經濟不斷發展，個人信息以數據的方式呈現，在網絡空間中流通。國家推進互聯網、實體經濟、大數據和人工智能深度融合是一把雙刃劍[1]。一方面，在國民生產生活和國家經濟發展中發揮了不可忽視的作用，尤其是在這次的新型冠狀病毒疫情中，各地方政府開通應用軟件（以下簡稱App）掌握了本地區的居民的行程信息，能夠在發現新增病例時及時找到源頭，控制疫情擴散，“中國速度”得以體現得淋漓盡致；另一方面，在此過程中用戶個人信息泄露的風險不斷地升級。例如滴滴出行App存在違法違規收集使用用戶的隱私信息被責令下架。而用戶隱私協議作為網絡空間中個人信息的一張通行許可證，它的合規性顯得尤為重要。

2021年10月18日，習近平總書記對關鍵信息基礎設施安全保護給出重要指示。自從黨的十八大以來，黨中央對發展數字經濟的重視程度越來越高，強調對網絡個人信息的安全意識和國際環境復雜多變導致網絡空間的安全隱患頻發。為了保障國家的網絡空間的主權，國務院正式公布了《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》)[2]。對維護用戶的合法權益、規范網絡運營者的行為和提升中國的國際競爭力具有重大的意義。App的網絡運營商需要根據《條例》對涉及用戶個人信息的相關內容進行整改。可見，隱私協議進行合規性調整是大勢所趨。

隱私協議是典型的格式條款，是網絡運營商為了與不特定多數人進行交易而預先擬定的，一般情況下不允許用戶對其內容做任何變更的條款。在此基礎上隱私協議具有節省時間、提高效率、降低成本和精簡締約過程的優勢。但也存在著一定缺陷。由于網絡運營商是隱私協議擬定方，往往利用自己的優勢地位，制定有利于自己而不利于用戶的條款。要求對其從以下三個方面加以限制：第一，公平擬制即網絡運營商經多次聽取用戶的意見，根據意見進行多次修改；第二，網絡運營商需主動承擔提醒義務，主動請用戶注意閱讀隱私協議條款；第三，網絡運營商應履行說明義務，根據用戶的要求，對其不理解的地方進行詳細闡述。《民法典》第497條第二款規定“提供格式合同一方不合理地免除或者減輕其責任、加重對方責任、限制對方主要權利該條款無效。”說明網絡運營商在制定隱私協議時要注意雙方的權利義務關系的平等。2021年8月21日修改的《中華人民共和國個人信息保護法》規定“處理個人信息應當遵循合法正當必要和誠信原則、具有明確合理的目的、限于實現處理目的的最小范圍、公開透明原則、對用戶個人信息處理活動負責。”值得注意的是，我國在互聯網時代下關于隱私協議中的被遺忘權的學術研究相對薄弱。在中國知網輸入關鍵詞“被遺忘權”進行檢索，可以發現2013～2020年間文章數分別為1、20、37、54、77、114、124 和 98篇。這說明從2014年開始才陸續有了對被遺忘權的關注，2018年開始是研究的高峰時段，人們對于被遺忘權的認知不斷加強。但以“互聯網時代下的被遺忘權”為關鍵詞在中國知網進行檢索共有41篇，以“隱私協議中的被遺忘權”進行關鍵詞檢索僅有1篇。由此可見人們對于該問題的關注度有待提高。在調查過程中，大部分用戶對于何為被遺忘權感到陌生（見表1）。這可能會導致用戶的被遺忘權利正在被侵犯時他們渾然不覺，對此設立再嚴密的法律保障也無濟于事。因此，增強人們對于隱私協議中被遺忘權的權利意識刻不容緩。本文以用戶隱私協議作為研究對象。從隱私協議的表現形式和條款內容進行分析，著重點放在用戶的被遺忘權即在用戶注銷賬戶或App停止運營后處理個人隱私信息的方式，發現其存在對隱私安全的潛在風險。

表1 被遺忘權是當用戶撤回同意隱私條款時，有權要求應用軟件刪除所有的個人信息。您是否在卸載應用軟件時確認其刪除了自己的隱私信息？

二、樣本選擇

在互聯網的背景之下，各個領域都步入智能化。App作為互聯網時代的產物開發數量呈上升趨勢，手機應用商店的App更新頻繁，用戶接受到的信息過多，注意力極易被分散。無法對每個App都給予同等的關注度，只能對自己生活中經常使用的App給予重視，該現象稱為“有限注意力效應”，這要求對數量龐大的App進行分類。根據互聯網絡信息中心（CNNIC）2021年6月發布的第48次《中國互聯網絡發展狀況統計報告》，將APP移動應用分為基礎應用類（即時通信、搜索引擎、網絡新聞、在線辦公），商務交易類（在線旅游預定、網絡支付、網絡購物、網上外賣），網絡娛樂類（網絡視頻、網絡游戲），公共服務類（網約車、在線教育、在線醫療）這四個大類。而下載量最多的軟件更能說明用戶對它們的需求度更高。因此，本研究將選取各個類別中具有代表性的APP中的用戶隱私進行分析。

三、隱私協議分析

（一）設置位置不醒目

在隱私協議設的位置方面，首先四款App在點擊“我”-“設置”-“隱私”中都附有合理的版塊布局讓用戶管理個人信息。除抖音外，其它三款App在此版頁內都可直接查看隱私協議內容。其次釘釘、抖音和支付寶都設置了相應的欄目放置隱私協議。而微信表現遜色于其它三個APP，在點擊了“關于微信”之后，其隱私保護協議并沒有像其它三個APP一樣設單獨的欄目，而是在最底下不顯眼的位置，且字體較于選擇欄中的小。若是用戶不仔細查找，很容易忽略《隱私保護指引》的存在。

（二）展示方式單一

《中華人民共和國個人信息保護法》第17條“個人信息處理者在處理個人信息前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知。”四個APP在展示隱私協議的方式上都有待提高（見表二）。普遍存在文章冗長和排版密集問題，用戶本就對于上千字的閱讀產生恐懼，雖然有小標題，但字體較小，通篇無插圖、視頻等視覺元素，很難抓住用戶閱讀的注意力。根據調查顯示大多數用戶較為認同文本冗長導致閱讀困難，鑒于隱私協議乏味難懂的問題，網絡運營商可以嘗試推出以圖文并茂或短視頻的形式展示隱私協議條款內容，使用戶更加直觀地理解協議內容。可以肯定的是四個App均會對較為晦澀難懂或專業性較強的詞語進行解釋，這在一定程度上緩解了用戶的閱讀負擔。

表2 在閱讀隱私協議時遇到的障礙

（三）履行提醒義務

在網絡運營商提醒義務的履行上，在《條例》開始實行后，四款App都在開頭段落提醒用戶注意字體加粗的字段、需要重點閱讀的條款以及警示用戶在閱讀過程中應保持謹慎的態度，用戶能夠去注意到相關的內容，減少出現用戶不知情其個人信息已被使用的狀況，凸顯了加粗信息在隱私保護中的重要地位以及微信運營商對這些信息的重視。

（四）用戶權利易被忽略/加重用戶的義務

要求網絡運營者公平擬制即經多次聽取用戶的意見，根據這些意見進行多次修改。在《民法典》第497條第2款“提供格式合同一方不合理地免除或者減輕其責任、加重對方責任、限制對方主要權利該條款無效。”抖音、釘釘在隱私協議中的目錄里“用戶權利”并進行相應的闡述。可以使用戶在享受其服務中具備權利意識，不被網絡運營商“牽著鼻子走”。反觀，用戶若未同意全部條款則不得下載微信，沒有給用戶提供相應的途徑，在急需使用微信網絡服務時用戶處于不利地位并不公平。在支付寶中用戶的權利被淡化。

（五）被遺忘權缺乏保障

網絡運營者應當主動承擔提醒義務，主動請用戶注意個人信息的處理情況。四款App在用戶撤回同意授權、保存期屆滿或服務發生停止運營時，都將以推送通知或公告等形式讓用戶知道，并在合理期限內刪除用戶的個人信息或進行匿名化處理。但是并無明確界定合理期限是多少天，用戶缺乏確認自己的個人信息是否真正被刪除的途徑，是否會以匿名化形式繼續保存，這些用戶無法得知。支付寶、抖音和釘釘存在例外情況即個人隱私信息并不會完全刪除，適用法律和安全技術限制的無法立即從備份中刪除。未說明誰會接手這些信息？是否告知用戶備份徹底刪除的具體期限或被徹底從備份中刪除時會不會告知用戶？在調查結果中發現絕大多數的用戶并不了解自己具有被遺忘權（見表一），而App在徹底刪除所有個人信息上也沒有落實到位。用戶的被遺忘權得到進一步保障還有提升的空間。

（六）反饋機制回應時間較長

網絡運營者應當履行說明義務，對用戶不理解的條款細節之處進行詳細闡述。若用戶不同意隱私協議中的某些條款產生疑惑、個人信息相關的事宜存有疑問、投訴或建議時，網絡運營者應當提供相應的渠道和用戶及時溝通。四款App都設有反饋渠道，其中支付寶提供了官方熱線和在線客服兩種；微信提供了在線客服、官方網站和電子郵箱三種；釘釘提供了客服熱線，在線智能客服、郵寄地址和電子郵箱四種；抖音提供了郵寄地址和電子郵箱兩種。除支付寶未表明回饋期限之外，微信、抖音和釘釘的回復時間都為15個工作日以內。但支付寶的亮點在于它設有官方熱線專門為用戶提供隱私協議中的條款答疑解惑。在當今的時代背景下，信息流通速度快，用戶對隱私協議產生疑問時往往需要得到及時的答復以防個人信息被不正當使用。若答復期限都在15個工作日內，用戶可能存在缺乏耐心直接使用App服務的情況，導致個人信息存在安全隱患。這三款App可以去尋求縮短時限的方式。而支付寶的做法在四款App中較為出彩，用戶可以直接撥打官方熱線了解詳情。這樣可以讓用戶準確了解協議內容。四款App在用戶不滿意回復或認為自己的合法權益受到侵害的情況下，可以向該App所在地區的法院提起訴訟。此外，微信和釘釘明確設立個人信息專職保護部門。這些舉措對用戶的個人信息都加了一把鎖。

（七）被動應對Cookie技術的風險

我國Cookie技術的應用隨著互聯網時代不斷普及，但由于法律的滯后性，APP運營商對該技術操作的不嫻熟以及用戶對該技術的不熟悉使隱私信息在Cookie技術的應用下存在泄露的風險。釘釘、支付寶和抖音中對于Cookie技術的介紹只包含其定義和用途，對于使用Cookie技術潛在的風險并未有所描述。用戶可能對Cookie技術不設防。用戶雖然可以控制對Cookie的接受程度，卻缺乏相關的隱私條款對Cookie技術帶來的風險提前預防。若是網絡運營者事先采取保護措施，增強用戶對于Cookie技術應有的意識，將被動面對風險化為主動，可以更好地提升對用戶隱私信息保護的有效性。

（八）未完全實現處理目的的最小范圍

最新修改的《中華人民共和國個人信息保護法》規定“處理個人信息應當遵循合法正當必要和誠信原則、具有明確合理的目的、限于實現處理目的的最小范圍、公開透明原則、對用戶個人信息處理活動負責。”在個人信息的授權、發生部分或全部服務轉交給其關聯主體運營或履行、發生合并、分立、收購、資產轉讓等時，四款App都會向用戶說明使用目的，并獲取用戶的同意或明示同意才采取下一步行動。仍存在潛在的問題是四款App雖有保存期屆滿刪除的承諾，但在完成相關服務之后，未明確若發生服務使用完畢卻未到期限的空檔期，并未闡述這些個人信息是否會默認關閉授權或者是彈窗詢問用戶是否繼續授權這些個人信息。

四、《條例》對個人信息保護的完善

2021年11月1日《條例》正式開始實行。它是中國在2016年11月7日出臺的《中華人民共和國網絡安全法》在個人信息保護方面的進一步完善。它是國家立足于實踐工作中不斷探究，嘗試尋求在數字經濟發展和用戶隱私信息保護之間的制衡點。在開啟中國法治社會下個人信息保護“鐵傘”具有深遠的意義。具有以下的幾個革新之處：

（一）不同領域劃分標準

不同的領域提供的產品或服務都存在或多或少的差異，尤其是在網絡支付、在線醫療等領域對其制定統一的個人信息保護的相關制度，給予它們一籃子的保護目標和措施都是不可取的。《條例》第四章“保障和促進”中，保護工作部門會依據不同行業、不同領域的實際狀況、安全態勢、顯著特征去制定符合它們的安全措施、安全目標和安全檢測預警機制等。各個App能夠在保護工作部門個性化的規劃下充分發揮主觀能動性，在確保用戶個人信息安全的基礎上給App創新發展的舞臺。

（二）建立和完善個人信息保護監管體制

在《條例》頒布之前，國家網信部門負責隱私信息保護監管，且工作重心主要是針對國家的數據安全。在此之前，關于個人信息保護監管體制幾乎空白。各個App的隱私協議大都具有合同生效的形式要件，但是實質要件卻頻有缺口。據此發生的個人信息外泄、超出用戶授權使用的目的、為個人利益分享用戶信息等等危及個人信息安全事件不勝枚舉。《條例》在總則部分第三條制定了合理嚴謹的監管體制。在中央層面上，國家網信部門站在宏觀角度統籌全局，公安部門負責指導和監督，電信主管部門和其它有關部門相互配合進行個人信息保護和監督管理工作。在地方層面上，省級人民政府有關部門擔負起個人信息保護和監督管理工作。在企業層面，App設有專門安全管理機構對用戶個人信息進行安全監測。當用戶發生撤回同意授權、注銷賬戶和App服務發生停止運營的情形，政府部門會介入對網絡運營商在個人信息的安全處理問題上層層把關。在此監管體制的實施下，用戶的被遺忘權可以得到保障。App也會完善獲取用戶信息在完成相應服務之后采取合理措施，為達到法律規定的處理目的的最小范圍。

（三）突出網絡運營者的責任

網絡運營者是用戶個人信息的第一經手人，在個人信息的保護工作中占著有分量的一席之地。第一，在《條例》第三章可以得出運營者的主要負責人對個人信息安全保護負總責，強調了其在個人信息保護上的義務。第二，運營者應當設置專門安全管理機構并對其負責人和關鍵崗位人員進行安全背景審查。從“應當”二字可以感受到國家公權力對此的強制性。對相關人員的背景審查可以體現立法者的目的是為了優化App內部可以直接接觸到用戶信息的員工。第三，專門安全管理機構去落實具體的個人信息安全保護工作，其中開展網絡安全監測、檢測和風險評估以及定期開展應急演練能夠及時發現安全威脅并攻克，若有需要國家相關部門會及時提供技術支持和幫助。例如若運營商對防范Cookie技術帶來的風險不知如何著手、缺乏科學合理的方案，可以尋求相關政府部門的協助。當現實危急狀況發生時App能夠從容應對達到損失最小化的效果。第四。在有與第三方分享用戶個人信息的必要時，網絡運營者應當明確第三方的技術支持并簽訂安全保密協議，在運行過程中對其安全保密義務與責任的履行情況實時監測，確保用戶的個人信息無被過度利用。相信在出現前文個人信息共享的例外情況App也能夠處理妥當。

（四）明確違法行為的法律責任

在個人信息保護法規的完善下，違法違規行為予以的處罰也不可或缺。《條例》第47條規定了若發生重大或特別重大網絡安全事件，除應當對網絡運營者依法予以追究責任外，還應查明相關網絡安全服務機構和有關部門的責任追究其相應的責任。追究相關政府部門的責任屬于新增規定，填補了相關政府部門的違法行為對用戶造成損害卻無處追責的漏洞。讓試圖從泄露或出售用戶個人信息獲得利益的不法分子和各個部門或機構的工作人員敲響了警鐘。

五、《條例》之下現存問題

《條例》的出臺給個人信息保護法帶來全新的氣象，盡管如此，還需繼續細細推敲。從社會角度上看，第一應該加強相關方面的普法教育，在學校、社區中展開宣傳側重于介紹被遺忘權和隱私信息泄漏帶來的危害，提高公民在閱讀隱私協議時對于個人信息保護的警覺性和權利意識。培養公民學會運用《條例》的相關規范在權益遭受侵害時捍衛自己的利益。第二在不斷完善個人信息保護法律法規的同時，也應該對其制定的隱私協議的外在表現形式進行規范，使其呈現出易于用戶理解和閱讀的版面，否則在有閱讀障礙的干擾之下難以避免用戶忽略部分信息，即使提高用戶的法律意識也是徒勞。從網絡運營者角度上看，應該盡快建立回應及時的用戶反饋機制，注重用戶的評價對完善企業的隱私協議的合規性有著舉足輕重的借鑒意義，是運營商充分履行個人信息保護義務和責任的體現。從用戶的角度上看，需要積極地配合相關機構和政府部門的個人信息安全保護工作，主動地反映所使用App的隱私協議中不合規條款，對不予配合或妨礙實施的可以考慮予以懲戒。

六、結語

在 App給生活的方方面面帶來便利快捷的同時，隱私協議合規性問題泛濫，個人信息保護問題不容樂觀。但《條例》的到來給網絡空間的個人信息安全帶來了福音，各App根據其對隱私協議進行不斷地修改，絕大部分合規和個人信息安全問題得以緩解，也應注意還未掃除的隱患。