“我已閱讀並同意”暗藏哪些貓膩？

原標題：因爲強索用戶隱私，一App被法院判定侵犯公民個人信息權（引題）

“我已閱讀並同意”暗藏哪些貓膩？（主題）

工人日報-中工網記者 張子諭

閱讀提示

未經同意卻被讀走的個人信息，想看又看不懂的協議內容，一次同意終身授權的默認條款……記者調查發現，一些App在收集、處理用戶個人信息過程中仍然存在侵犯公民個人信息權益的情形。

多數手機App在首次下載使用時，點擊“我已閱讀並同意用戶協議和隱私政策”是常規操作，但不少人爲了圖省事可能並不會真的閱讀用戶協議，進而忽視了這些問題：App通過隱私政策會獲取哪些個人信息？App提供服務必須收集這些信息嗎？App是如何存儲利用這些信息的？

來自北京的張女士在使用某詞典App時注意到，App的隱私政策選項爲默認勾選“同意”，取消勾選、拒絕App處理其個人信息則App自動退出。當張女士註冊使用一段時間後想停用該App時，又發現無法撤回允許該App處理其個人信息，因此將App運營者訴至法院。近日，北京市第四中級人民法院二審審結了該案，認定某詞典App存在侵犯公民個人信息權益的情形，依法應當承擔侵權責任。

個人信息被App悄悄讀取

“每次讓勾選同意我都萬般無奈，但又不能不勾，所以如果必須使用這款App時只能無奈同意，這種‘被迫自願’顯然已經違背了立法初衷。”來自北京的周女士對於各類App反覆要求獲取用戶同意和手機權限表達了相同的擔憂，“我撒過最多的謊就是‘已閱讀並同意用戶協議’。”周女士提到的法律規定是我國個人信息保護法第十四條——基於個人同意處理個人信息的，該同意應當由個人在充分知情的前提下自願、明確作出。

審理張女士案件的法官、北京市第四中級人民法院法官助理劉津寧告訴記者，涉案App正是因爲隱私政策被默認勾選“同意”，並未讓張女士自願作出同意的選擇，不符合“自願”“明確”的要求，這是App提供商顯著違法行爲之一。

2021年起施行的《常見類型移動互聯網應用程序必要個人信息範圍規定》中明確，App不得因爲用戶不同意提供非必要個人信息，而拒絕用戶使用其基本功能服務。在記者體驗的幾款主流社交類、資訊類App中，多數App目前已經不存在不勾選同意就無法使用的情況，但會有App基本功能使用受限的情況，如只能瀏覽部分信息，無法評論收藏相關內容等。

但當記者打算登錄賬號時，多數App又會立即提示可使用本機號碼快捷登陸，然而記者此前並未授權App讀取手機號碼等相關信息，更未勾選相關“同意”選項。如此“快捷”固然方便，也意味着這些App在未經同意之前，已經在悄悄讀取用戶個人信息。

App協議“想看又看不懂”

與張女士和周女士不同，正在高校就讀法學專業的大學生王佳樂對於App的用戶協議和隱私協議興趣不小。“自從學完民法學的課程後，我和身邊的同學對於個人信息保護都特別關注。”王佳樂告訴記者，在使用一些新下載的App時，他會特意主動點開App的用戶協議和隱私協議，“就是想看看這類App收集我的個人信息都用來幹什麼。”但點開的協議讓王佳樂在閱讀時又犯了難——什麼是爬蟲協議？第三方服務瑕疵是什麼意思？如何界定商業適售性、特定用途適用性？

記者查閱了一些App的用戶協議和隱私協議發現，協議內容裡中英文專業術語摻雜甚至還有圖表；文本內容冗長堪比專業論文，一些字句還標註了帶有註釋和附錄；協議條款動態更新，如需獲取最新協議內容需要時常反覆查看……

“想看又看不懂，更讓人難受。”王佳樂不解，“如此折騰用戶，會不會是本來就沒想讓用戶看懂，甚至協議背後藏着其他貓膩？”某互聯網企業的法務齊珊對王佳樂的困惑做出瞭解答，“涉及專業術語和特定用語的內容閱讀起來確實需要門檻，協議內容也是專業領域的人士擬定的，一味用淺顯易懂的大白話去解釋專業問題很容易產生歧義，如果因此導致協議產生漏洞可能爲公司帶來麻煩。”

記者瞭解到，爲迴應用戶呼聲，一些主流社交App已經推出了所謂的“省流版”用戶協議，即把原協議中的重要內容、重點章節單獨拎出來成文，並對重中之重的部分採取字體加黑、斜體等顯著方式標示，但不少內容閱讀起來仍晦澀難懂，甚至註釋、跳轉的鏈接更多。

一次同意，終身授權？

記者梳理網友對用戶協議和隱私政策的吐槽發現，“過度索權”“一次同意終身授權”等是網友對App協議問題關注度較高的問題。在上述張女士的案件中，根據法院庭審意見，該涉案App的屬性應爲提供詞彙查詢的實用工具類App。根據《常見類型移動互聯網應用程序必要個人信息範圍規定》的規定，實用工具類App無須手機號等個人信息，即可使用基本功能服務，因此該詞典App要求先收集個人信息才提供服務的行爲違法。

而“一次同意終身授權”的服務協議內容則更讓網友憤慨。記者查閱某社交App相關條款內看到，該App承諾不會將用戶個人信息轉移或披露給任何第三方，除非幾種特殊情況。但對特殊情況的具體場景並未提供顯著的撤回同意或承諾的方式方法。

個人信息保護法第十五條第一款規定，基於個人同意處理個人信息的，個人有權撤回其同意。在張女士一案中，法院認爲涉案App未提供撤回同意方式，侵犯了用戶的個人信息權益。最終，案件經過一審、二審，涉案App的運營公司被判刪除收集的張女士個人信息，並向張女士賠禮道歉、賠償其合理開支。

北京市道可特律師事務所朱思睿律師認爲，除了當用戶首次使用App時通過明確的協議告知其哪些信息將被收集外，App服務商還應該做好對已收集信息的保管，如加密存儲和傳輸的用戶數據，定期檢查和更新數據保護措施；做好用戶控制權的落實，即允許用戶查看、修改或刪除被收集的個人信息，能夠輕鬆地撤銷對某些信息的許可。

來源：中工網-工人日報