近日在使用手機App或打開電腦時,許可發現一些明顯變化。有關“隱私政策”變更的“彈窗”頻繁出現,用戶只有點擊確認或同意后,才能繼續使用。5天前收到蘋果公司寄出的“Apple已為《個人信息保護法》做好準備”的郵件; 4天前更新微信最新版本后,看到隱私指引條款和信息共享披露變更了;再到昨天打開星巴克App后,發現其首頁出現“隱私權政策變更”的“彈窗”……
這一系列的改變,都和一部法律的實施有關。
11月1日,中國第一部個人信息保護方面的專門法律——《個人信息保護法》(下稱“個保法”)正式落地實施。個保法以“告知-同意”作為核心處理規則,並針對現實生活中社會反映強烈的一攬子授權、強制同意等問題,規定個人信息處理者在處理敏感個人信息、向他人提供或公開個人信息等環節應取得個人的單獨同意。
為確保個人信息處理過程的合法合規,“告知-同意”機制受到了信息處理者的重視。但當在App、網站上,增強隱私保護成為“新常態”,一些新問題和舊頑疾也引起更多關注。比如,如何在細化App隱私政策顆粒度的同時,增加用戶可讀性?在App向第三方提供個人信息時,如何增強權限調用的透明度?“彈窗時代”如何讓用戶不累心、企業不鬧心?
“準確完整”和“清晰易懂”如何兩全
個保法的第二章第一節明確了個人信息處理規則的一般規定,其中,第十七條指出,個人信息處理者在處理個人信息前,應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知相關規定事項。
“準確、完整”意味着告知文本需充分、詳盡,而“清晰易懂”則意味着告知文本需簡明、易懂。這一旨在對於用戶知情權進行充分保護的規定,對於個人信息處理者而言,卻在實際操作中面臨著難以兩全的問題。
北京師範大學網絡法治國際中心執行主任吳沈括在接受第一財經採訪時表示,當下,作為個人信息處理者用以“告知”的主要形式,隱私政策如何在文本完整和文本簡明之間取得平衡還是一個難題——模糊的告知會導致“同意”的不自由;冗長的告知又會增加知情的時間成本和專業門檻,如何去平衡仍有待信息處理者進一步摸索。
不過,在探索階段,針對隱私政策宣示性效果大於實質性作用的問題,已有部分信息處理者進行內容完善和形式創新。
其中包括,對“隱私功能設置”附有操作流程或跳轉鏈接;增加目錄但簡化文本內容,並在重點部分予以加粗;提供可視化瀏覽方式;明示第三方信息共享名單等。
比如,在蘋果10月27日對其中國用戶更新的隱私政策中,採用“在Apple,個人數據是指什麼”“你在Apple的隱私權”“Apple從你那裡收集的個人數據”“Apple從其他來源收到的個人數據”等12條主目錄的形式,以減少因內容太多而“迷人眼”的難題。同時,每一條主目錄后均設有“+”鍵,欲知詳細內容的用戶可繼續瀏覽。
在支付寶“我的”中的“用戶保護中心”,則對支付寶隱私權政策和螞蟻集團隱私權政策進行了分別說明。在“支付寶隱私權政策”中,設有“簡要版+完整版”兩個版本,而在簡要版中,採取“視頻+文字+圖表”的告知方式。
其中,“螞蟻集團隱私權政策”是10月31日發布、11月7日生效的最新版本。根據該版本,為了方便用戶對不希望接受“根據用戶信息形成群體特徵標籤,用於向用戶提供其可能感興趣的營銷活動通知、商業性電子信息或廣告”的關閉式操作,直接附有跳轉鏈接,也即可在閱讀時,同步進行操作處理。
此外,根據個保法,向第三方提供個人信息時,應取得信息主體的單獨同意。針對這一規定,截至目前,支付寶、微信、QQ等已在其隱私政策中進行了單列、加粗說明,並附上了第三方信息共享清單。
值得注意的是,為進一步落實第三方處理個人信息時信息處理者的監督義務,11月1日,工信部發布《關於開展信息通信服務感知提升行動的通知》,要求相關互聯網企業建立個人信息保護“雙清單”——“已收集個人信息清單”和“與第三方共享個人信息清單”,並在App中展示以便用戶查詢。首批設立“雙清單”的企業,包括騰訊、阿里巴巴、美團、快手、拼多多等39家。
在吳沈括看來,若想讓隱私政策對用戶個人信息保護的作用真正落到實處,仍面臨兩個亟待解決的問題。
“一是用戶本身的數字素養和數字保護意識提升是一個循序漸進的過程;二是信息處理者在文本設計上,仍存在為了規避合規風險進行虛假性陳述的現象,換言之,考慮到用戶或不會完整地瀏覽隱私政策的具體內容,相關聲明主要起到自我承諾的作用,在此背景下,需要加強對於虛假說明的事後追責。”吳沈括說。
彈窗困境
但隱私政策並不是實現“告知”的唯一路徑。
中國信息通信研究院互聯網法律研究中心高級研究員、個人信息保護立法研究團隊負責人楊婕對第一財經表示,匹配到具體場景時,通過及時提示或者“彈窗”式增強告知的方式,將該場景下的個人信息處理活動的核心要點進行濃縮,再告知個人,並附上完整版的隱私政策查詢鏈接,也是信息處理者實現或增強“告知”的可行路徑。
北京清律律師事務所首席合伙人、清華大學法學院互聯網法律與政策研究中心秘書長熊定中也認為,“彈窗”是明示告知、增強個人信息保護的重要載體。
他告訴第一財經,對於信息處理者,當前,大致有三種途徑,對用戶明示告知雙方在權限或隱私方面的約定。第一,寫在隱私政策里,但監管部門反對通過一個隱私政策“一攬子”告知;第二,發站內信,但前提是信息處理者事先收集到用戶的信息,操作上或存在合規風險;第三,設置“彈窗”,即通過強迫用戶通過做出如點擊、關閉等一系列動作,再將告知內容關閉的方式,實現明確有效的告知。
“針對個保法中需要單獨同意的場景,‘彈窗’已成為相關信息處理者的最佳方案。”熊定中稱。
根據個保法第二十八條、第二十九條規定,處理敏感個人信息應當取得個人的單獨同意。
敏感個人信息是指,一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。
伴隨個保法的頒布和落地,形式簡潔且直接易察的“彈窗”已成為信息處理者實現增強式告知的共同選擇。但對於用戶而言,越來越多的“彈窗”,在保障了選擇權的同時,卻影響了體驗感。
在考慮到不同場景“彈窗”合理性、必要性的前提下,中國電子技術標準化研究院網安中心測評實驗室副主任何延哲對“彈窗”做出分類統計。
何延哲認為,與合規有關的“彈窗”可大致分為兩類:第一類是與個人信息保護有直接關聯的彈窗,包括首次開啟或註冊賬號時的隱私政策,隱私政策更新時,權限申請前告知目的彈窗,刷臉、指紋等功能開通,嵌入的第三方SDK等超過15個場景;第二類是其他可能彈窗的場景,包括訪問網站類型、廣告或活動彈窗、青少年模式、個人操作業務時的提醒等數個場景。
而除了以上“彈窗”外,還存在拒絕後App再次詢問的場景(如權限)。
何延哲舉例稱,以用戶平均安裝了30個App為例,假如都做了更新且都會在1個月內使用,按照第一類“彈窗”出現60次,第二類“彈窗”出現20次,當月30天來計算,則一個月“彈窗”出現2400次。
也就是說,用戶在將來的1個月內,保守估計有上千個“彈窗”要點擊。
何延哲告訴第一財經,“彈窗”不斷出現的背後,是信息處理者與用戶不斷博弈的結果,而之所以需要博弈,是為了找到更好的平衡點。在此過程中,信息處理者或可通過減少低價值的“彈窗”、進一步給用戶“隱私偏好”的選擇權和對“彈窗”適度合併等方式,進行優化。
為避免用戶在開啟App時,同一時間彈出太多“彈窗”,並滿足個人信息收集的必要性原則,楊婕建議,權限申請應在App某項業務功能必須啟動該權限時,再進行動態申請;對於用戶不同意開啟的權限,不得頻繁彈出“彈窗”要求用戶同意。
但正是由於用戶體驗感會受到“彈窗”增多的影響,在熊定中看來,面對越來越多的“彈窗”,感到“鬧心”的反而該是相關的信息處理者。
“事實上,彈窗多不是企業追求的,彈窗少才是。由於更多的彈窗往往伴隨着更高的用戶流失率,所以,以合規為目的的‘彈窗’大多是企業為了履行法定的義務而不得已為之的做法。”熊定中稱。
熊定中表示,在用戶看來越來越多的“彈窗”,已經是信息處理者優化后最為精簡的內容。