短视频应用的隐私政策问题与对策研究
陈诗洋 刘婷婷
(中国信息通信研究院安全研究所,北京 100191)
摘要:聚焦于信息内容展现形式丰富、传播迅捷的短视频应用,选取其中用户量较多的三款,结合近年来我国在个人信息保护方面的法律法规等有关要求,分析其用户隐私政策中存在的待改进之处,并提出对策建议。
关键词:个人信息;隐私政策;信息安全
1 引言
随着人工智能、5G等互联网新技术、新应用的迅速发展,为互联网用户提供了更加便捷、简单的信息制作、发布和传播途径。信息借助5G高速传播技术,一经发布,即可实现瞬间扩散,对人们的生活方式和生活习惯带来巨大变革。与此同时,互联网用户个人信息保护成为国内外政策法规出台、标准研制的焦点。
短视频应用以其便捷的内容生成途径、生动的内容展现形式、简洁的内容传播方式,自出现起便逐步成为备受互联网用户青睐的移动端娱乐方式。随着短视频应用用户量逐步增长,其对于用户的个人信息保护早已被纳入政府监管范畴,而2019年年底出现的疑似某短视频应用草稿箱视频外传事件,更是将短视频应用的个人信息保护推向社会公众关注的焦点。
2 我国法律法规等对于个人信息保护的要求
2011年以来,关于用户的个人信息保护相关法律要求逐步在各项法律法规、规范性文件中体现。近3年,我国在个人信息保护方面立法更加频繁,个人信息的法律保障也逐步完善和成熟。
目前,我国暂时未出台专门的个人信息保护法律法规,相关要求分散存在于《网络安全法》《中华人民共和国刑法修正案(九)》《电信和互联网用户个人信息保护规定》等法律、部门规章等文件中(见表1)。总体而言,对于个人信息保护的有关要求,可以归纳为几个方面。
表1 我国个人信息保护的相关条例和标准
(1)明确个人信息的定义、收集和使用原则,个人信息的收集和使用需遵循合法性、正当性和必要性。
(2)个人信息收集、使用应获得信息主体的明示同意,并明确告知其信息使用和收集的目的、方式和范围。
(3)明确个人信息收集方应尽的法律义务和禁止性情形,不得对收集的个人信息泄露、篡改、毁损;未经允许不得向第三方提供。
(4)明确安全保障措施要求,个人信息收集方需采取必要措施,建立健全用户信息保护制度,确保个人信息安全。
(5)明确信息主体申诉的权利,信息主体发现被收集的个人信息未按双方的约定收集、使用等,或被用于违背法律法规要求使用时,可要求解除授权并删除有关个人信息。
(6)明确提出个人信息收集方对儿童个人信息的专门性、特设性的保护义务。
截止到2019年年底,工业和信息化部开展APP侵害用户权益专项整治工作,对违规收集和使用用户个人信息、不合理索取用户权限、为用户账号注销设置障碍等方面进行重点整治,整治对象包含APP服务提供者和APP分发服务提供者,并对检查中发现的存在侵害用户权益行为且未按要求完成整改的APP进行通报。
3 短视频应用用户隐私政策分析
本文选取在华为应用市场、App Store的拍摄美化、短视频、摄影与录像等多个分类用户下载量排名靠前,且位于热门应用榜单推荐的3款短视频应用,分析其用户隐私政策。3款应用用户隐私政策基本体现了对于用户个人信息收集、使用和处理等环节的明示同意、有限收集和使用,按要求存储有关日志,终止服务时的匿名化处理,并设立专门条款,加强对未成年人的个人信息保护,但仍普遍或部分地方有待完善。
3.1 涉及应用内第三方的情况规则缺失或采用一揽子形式
(1)对应用内提供的第三方产品、服务或技术,未明确告知用户个人信息的收集、使用情况,缺少有效的制度保障措施和技术手段。
(2)用户一经勾选同意隐私政策,即表示同意将个人信息在本公司、公司的关联方、合作方之间进行共享,未给予用户充分的自主选择权利。
3.2 疑似过度收集用户个人信息
(1)以维护服务正常运行、保障账号安全为名,收集用户的设备型号信息、操作日志信息、网络质量数据等用户个人信息。
(2)以安全运行所必需为名,收集正在运行的进程信息、应用程序的总体运行、使用情况与频率、总体安装使用情况等。
(3)以节省网络流量为名,收集用户的网络运营商及种类、网络类型、Wi-Fi名称等。收集信息的目的和收集信息的种类无明确关联关系,疑似过度收集用户个人信息。
3.3 未明确对用户个人信息的存储时限,取消授权或明示删除后的处理方式
(1)未明确用户个人信息存储时限,或条款中仅承诺存储时限符合法律要求和服务所需的合理必要期限。
(2)未明确提出用户取消授权或明示删除时的信息处理方式和方法,或仅提出对于此类信息做删除或匿名化处理,未提供更多其他信息。
3.4 部分条款表述存在模糊、泛化或倾向性用词
(1)多存在“难以与您的真实身份关联”“可能收集”等模棱两可的模糊表述。
(2)提出多种情形可豁免征得同意,即可收集和使用个人信息,但部分情形表述过于泛化、含糊,难以界定。
(3)提出去标识化处理、匿名化处理后的个人用户信息用于共享、优化产品和服务等情形,但无法界定被使用的个人信息是否达到条款中所述无法识别用户个人身份的标准。
(4)使用具有明显倾向性或引导性表述,引导用户授权个人信息,或暗示用户授权更多个人信息,即可获得更好的服务。
4 对策与建议
(1)规范应用内第三方产品、服务或技术对用户个人信息的收集、使用,并将其配备的制度保障措施、技术手段等情况如实告知用户,允许用户自主选择是否共享个人信息或使用相应功能。
(2)遵循合法、正当和必要的原则,经用户明示同意后,有限收集用户个人信息,给予用户对应用内各个服务、功能的自主选择是否使用,以及共享个人信息的权利,尽量避免采用一次性打包授权的形式。
(3)严格遵守有限收集、使用用户个人信息的原则,仅收集为用户提供服务所必须的个人信息,并明确告知用户所收集的个人信息存储时限,以及当用户要求取消授权或终止服务时,对于已收集个人信息的处理流程与方式。
(4)进一步优化隐私政策文字表述,采用客观、清晰的描述形式,为用户详尽阐述个人信息的收集、使用和存储等情况。在更新隐私政策时,允许用户查看最近一次更新上一版本的隐私政策,并在更新后的政策中显著标注调整内容,确保更新后的隐私政策不削减用户依据已同意生效的隐私政策应享有的权利。
参考文献
[1] 邰江丽. 关于App收集个人信息实务及规范研究[J]. 北京航空航天大学学报(社会科学版), 2019,32(4):7-12.
[2] 冯洋. 从隐私政策披露看网站个人信息保护——以访问量前500的中文网站为样本[J]. 当代法学, 2019,33(6):64-74.
[3] 高富平. 个人信息使用的合法性基础——数据上利益分析视角[J]. 比较法研究, 2019(2):72-85.
[4] 王春晖. 《网络安全法》六大法律制度解析[J]. 南京邮电大学学报(自然科学版), 2017,37(1):1-13.
[5] 范昊, 王贺, 付少雄, 等. 国内外社交媒体个人信息保护政策研究及启示[J]. 现代情报, 2019,39(10):136-144.
[6] 杨晓慧. 个人信息保护的法经济学分析[D]. 厦门大学, 2018.
Research on privacy policy issues and countermeasures of short video applications
CHEN Shiyang, LIU Tingting
(China Academy of Information and Communications Technology, Beijing 100191, China)
Abstract: This paper focuses on short video applications with diverse display of content and rapid transmission, and select three of them which have more users. It compares their user privacy policy with recent laws and regulations on personal information protection in China, and proposes some suggestions.
Key words: personal information; privacy policy; information security
作者简介
陈诗洋:中国信息通信研究院安全研究所工程师,主要从事互联网新技术新应用安全评估和信息安全方面的技术研究工作
刘婷婷:中国信息通信研究院安全研究所工程师,主要从事互联网数据和信息安全方面的技术研究工作
论文引用格式:
陈诗洋,刘婷婷. 短视频应用的隐私政策问题与对策研究[J]. 信息通信技术与政策, 2020(2):74-77.
本文刊于《信息通信技术与政策》2020年第2期
声明:本文来自信息通信技术与政策,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
