因在年度账单上,以小字默认勾选“我同意《芝麻信用协议》”,支付宝陷入了窥探用户隐私的风波。
1月11日,工信部就个人信息保护约谈支付宝,称其存在用户个人信息收集使用规则、使用目的告知不充分的情况,要求企业本着充分保障用户知情权和选择权的原则立即进行整改。
其实不只支付宝,南都记者发现,还有许多未被曝光的APP存在授权漏洞。日前,南都个人信息保护研究中心发布《关于收集个人信息“明示同意”的测评报告与建议》。
报告实测了100款常用APP发现,在用户注册前,“默认勾选”同意企业用户协议和隐私政策的情况并不少见,有的甚至存在用户不可自主选择同意与否的问题。仅有11%的APP作到了合乎法规及规范的“明示同意”。
1月3日,支付宝发布年度账单,随即刷屏社交圈。然而在账单首页,默认勾选的“我同意《芝麻服务协议》”,引起了关注。“我被同意了协议会怎样?如果不同意呢?
为此,不少用户第一次点开了《芝麻服务协议》,然后发现原来自己授权同意了企业可以采集的信息包括但不限于个人信息、行为信息、交易信息、资产信息、设备信息等。不仅如此,企业还可以从合法保存有您信息的第三方,采集及处理各类信息,第三方也可直接向企业提供而不需要用户再次授权。
如此重要的协议被默认勾选同意了,有人质疑这是互联网企业获取用户信息的套路。对此,芝麻信用解释此举是为了在年度账单里展示用户的信用免押内容,初衷没错,但做法“愚蠢至极”。
为何默认勾选会引发争议?根据《消费者权益保护法》第九条规定,消费者享有自主选择商品或者服务的权利。《网络安全法》第四十一条也规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
1月6日,国家网信办就此约谈支付宝和芝麻信用的相关负责人,指出其收集使用个人信息的方式,不符合刚刚发布的《个人信息安全规范》国家标准的精神,违背了前不久签署的《个人信息保护倡议》的承诺。
据南都记者了解,9月24日,中央网信办等四部门公布十款互联网产品和服务的隐私政策评审结果,并发起签署个人信息保护倡议书。倡议书包括尊重用户知情权和控制权,不使用“一揽子协议”的方式强迫用户打包授权对个人信息的收集,遵守用户授权,不收集与所提供服务无直接关联的个人信息等内容。
另据《个人信息安全规范》要求,收集个人敏感信息时,应取得个人信息主体的明示同意,确保其在完全知情的基础上自愿给出具体、清晰、明确的愿望表示,并且允许个人信息主体选择是否提供或同意自动采集。
基于现有的法律和规范,默认勾选无疑侵犯了用户的相关权益。然而,南都记者发现,默认勾选已然成为一种普遍的现象。去年,南都个人信息保护研究中心曾测评了1550家网站和APP的隐私政策。隐私政策通常在用户注册页面可见,但却经常被人忽视。究其原因,除了用户缺乏相关意识外,主要还因为企业甚少能做到“明示同意”。
近日,南都个人信息保护研究中心发布《关于收集个人信息“明示同意”的测评报告与建议》。报告选取了2017年“1550家隐私政策透明度”测评中10个行业排名前十的移动应用(以下简称APP)共100家为测评对象,人工考察在用户注册场景下,企业征求用户授权同意隐私政策(或用户协议)的方式。
此次测评主要考量两个维度,一是APP是否以强调方式对“隐私政策”字样进行突出处理,二是明示同意如何实现。后者分为四种方式,(1)不可自主选择;(2)点击注册即表示同意;(3)提供同意勾选框但默认同意;(4)提供勾选框并需要用户手动同意。
需要说明的是,测评取证时间为2018年1月12日-13日,且只考察在用户初次使用,即注册场景下的明示同意。所涉及的十大行业包括金融银行、休闲娱乐、体育健身、医疗健康、教育文化、新闻资讯、旅游交通、生活服务、社交交友、购物导购等。
从统计结果看,隐私政策透明度较高的100家APP中,94%的APP都能做到在注册页面上,通过下划线,区分颜色和字体的方式明示“隐私政策”以吸引用户点击。不过,QQ音乐、今日头条、搜狐新闻、六块腹肌、壹球、驾考宝典等6款APP,明示隐私政策的效果并不明显,只是使用了与前后语句一样的文字显示。
根据个人信息安全规范,用户对隐私政策的同意需有“肯定性动作”。规范解释,肯定动作包括个人信息主体主动作出声明、主动勾选、主动点击“同意”、“注册”、“发送”、“拨打”等。
南都记者发现,企业获取用户同意的方式各异,一般有“点击注册即表示同意”、“默认勾选”、“提供勾选框并需要用户手动同意”三种方式。
然而据报告统计,有13家APP未给予用户对于隐私政策的选择同意权。比如,中国银行的注册页面底部,直接标注了“已同意《中国银行电子银行客户安全服务保障须知》”。一淘的注册页面除了有国家地区和手机号外,仅有已阅读并同意以下协议,并未给用户提供确认授权的操作。
与之不同的是,在选取的100家测评APP中,将近一半的APP都采取了“点击注册即表示同意”的方式,占比高达47%。此外,有40款APP在注册页面上,隐私政策出现的位置前加入一个选择框,可供用户打勾选择。不过有29款APP默认了勾选,包括今日头条、美团外卖、爱奇艺等,而有11款默认不同意。
值得一提的是,其中支付宝和百度新闻等几款APP还以弹窗的形式由用户自主选择同意与否。
南都记者发现,这11款APP大多是大型互联网企业旗下产品,包括京东商城、支付宝、微信、航旅纵横、百度地图等。而上述列举的这6家正好都是去年9月,十大网络产品和服务隐私政策评审的参评对象。
根据测评结果,报告认为,注册时需要对隐私政策(或用户协议)“强调显示”已经成为互联网运营者共识。然而如何得到用户的同意,并未取得共识,各家互联网运营者采取的授权方式各异。最近一度引发争议的默认勾选并不少见,而未给予用户任何选择权的情况也依旧存在。
其实,针对如何明示同意收集个人信息的讨论,一直颇多。那么,究竟怎样的授权方式才算明示同意呢?
在欧洲联盟数据保护工作组意见书里关于“同意”的定义中,列举了一个案例:某网络游戏供货商要求玩家提供年龄、姓名及住址等信息,其网站告示中表示,玩家使用网站服务(并向其提供资料)即表示玩家已同意该网站处理他们的个人资料,并同意接收该网站及第三方向其发送的广告信息。
此定义指出,登录并参与网上游戏并不等于同意服务商为玩家参与游戏以外的目的处理玩家的个人资料。参与游戏并不意味着玩家有意同意服务商处理超出游戏需要的个人资料。这类行为并不构成当事人对自己的数据用于商业目的的明确同意。
如果按照此定义,测评中采取“点击注册即表示同意”的47款APP其实在授权方式上也存在争议。这样的明示同意往往会被转化成选择“使用这款APP”和“不用这款APP”的问题。
并且,通过一个点击注册的操作,即完成用户同意隐私政策的一揽子协议,实际上也限制了用户作出自由的决定。这好比你与企业需要签订合同。合同里有一则对你不利的条款,但你无权改动只能全盘接受。
南都记者注意到,在《个人信息安全规范》中,对明示同意的要求更为明晰。在用户首次安装APP时应弹出一款APP“核心功能需要的敏感个人信息”、“附加功能需要的敏感个人信息”,以及“共享、转让、公开披露的个人信息”等页面,保证用户明确了解并主动作出勾选选择。
因此报告建议,对用户的明示同意应严格遵循明示、用户主动勾选两项原则。在此基础上,只有与场景良好结合的明示同意动作,才能更好地在效率与保证用户充分知情权之间取得平衡。
声明:本文来自隐私护卫队,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。