用戶對APP用戶協議點擊的“同意”，意味着對産品或服務的提供商進行授權，但這種授權不意味着全部授權——對一些特定情形和個人敏感信息，APP依然需要單獨獲得用戶同意

用戶對協議條款一鍵點擊的“同意”，并不意味着APP可以随意處理用戶個人信息——企業處理個人信息需要符合“最小必要”要求

“法網”越織越密，但缺乏偵辦、懲處一批有影響力的典型案件，而真實案例往往比法律法規更容易被用戶接受、被企業重視。“不能光有‘交規’，也要有‘罰單’”

用守護個人信息安全的技術來加持技術，也許會成為未來适應市場新需求的一個方向

文 |《瞭望》新聞周刊記者 于雪 實習生 吳倩

近日，有媒體記者調查發現，某網貸平台在貸款人同意用戶隐私協議後，将其個人信息一鍵授權給1292家公司。

相關案例并不鮮見。一段時間以來，APP基于用戶在用戶協議（含隐私條款）時選擇的“一鍵同意”，在後台反複讀取用戶相冊信息、擅自獲取用戶定位，甚至遠程私自删除相冊圖片、利用算法推薦技術進行大數據殺熟等新聞頻繁曝出，令用戶不安。

用戶對協議條款點擊的“同意”，究竟同意了什麼？隻要用戶點擊“同意”，APP就可以随意處理用戶信息嗎？以一鍵“同意”為代表的高技術領域執法難題如何破解？……諸多疑問既關乎每個人的切身利益，也關乎大數據時代的數字治理能力。

“同意”了什麼

根據相關法律規定，所有網絡産品和服務都必須設立用戶協議。

這也意味着，用戶一般需要對用戶協議勾選“同意”，才能繼續使用該産品或服務。

專家表示，點擊“同意”，意味着用戶對産品或服務的提供商進行授權。

據了解，這種授權包括兩方面内容，一是是否授權處理用戶信息、授權哪些信息處理方式（比如收集、存儲、使用、加工、傳輸、提供、公開、删除等）；二是對處理用戶信息的範圍是否授權，比如是否可使用相機、麥克風，是否可訪問相冊、位置信息等。

上海段和段律師事務所合夥人劉春泉律師表示，在法律意義上，用戶點擊“同意”，即表示知曉并同意協議所有内容，同時允許此APP依法對個人信息進行處理。

不過在實踐層面，不少用戶雖然點擊了“同意”，卻仍不明确知曉APP可以做什麼、将會做什麼，以及相應的法律後果、安全風險等。

武漢大學網絡治理研究院副院長袁康的一項調查顯示，77.8%的用戶在安裝APP時“很少或從未”閱讀過隐私協議，69.69%的用戶會忽略APP隐私協議的更新提示。

原因之一是冗長繁雜的信息，以及充斥其中的專業術語。

中國社會科學院大學互聯網法治研究中心執行主任劉曉春說，一些下載量過億次的APP，平均每款APP需要用戶“閱讀并同意”的内容約2.7萬字。這種情況下，即便用戶勾選“同意”，也是基于信息不對稱做出的非理性選擇，建議細化對用戶協議透明性的規範要求，通過清單制簡潔明了地列出消費者需要了解的内容，降低閱讀門檻。

監測發現 王琪圖/本刊

一鍵“同意”埋有三坑

而在用戶并不明确了解的用戶協議裡，可能埋有三個坑。

第一坑，默認一鍵“同意”等于全部授權。一些APP在實際操作中将用戶對産品或服務的授權視為對服務提供商的全部授權。其實，對一些特定情形和個人敏感信息，APP依然需要單獨獲得用戶同意。

中國政法大學傳播法研究中心副主任朱巍說，目前很多APP獲取用戶個人信息後，為了匹配更适合用戶的POI（興趣點）模式進行精準營銷，常常會将用戶信息提供給第三方。一些APP會選擇在初始協議中設定相關條款，告知用戶“有權将其許可給任何第三方使用”“實際行使時無須另行征得您的同意”，但這并不意味着用戶放棄對其個人信息被流通、轉讓的審查權利。

劉曉春表示，根據個人信息保護法要求，APP在處理個人敏感信息或是将個人信息提供給第三方時，必須取得個人單獨同意或書面同意，并且要賦予用戶可以拒絕的權利。“這一規定是一個巨大進步，它意味着企業不再可能通過一鍵‘同意’就獲得全部授權，它甚至比被業内看作标杆的歐盟版GDPR（《通用數據保護條例》）還要嚴。”

第二坑，默認一鍵“同意”等于次次同意。一些APP會附加免責條款，比如在用戶協議中提出，公司有權根據需要不定期地制訂、修改本協議及/或各類規則，不再另行單獨通知用戶，并稱“消費者使用平台服務，即表明接受修訂後的協議和規則”。

劉曉春認為：“這屬于霸王條款，有違立法精神和現行法律規定，不屬于法律認可的免責情形。”

劉曉春說，根據個人信息保護法相關規定，個人信息的處理目的、處理方式和處理的個人信息種類發生變更的，應當重新取得個人同意。

第三坑，默認用戶一鍵“同意”後，APP可以随意處理個人信息。事實上，用戶點擊“同意”隻是授權APP可以為其提供相關産品或服務，并不意味着企業拿到了規避責任的“免死金牌”。

根據個人信息保護法相關規定，APP處理個人信息必須遵循合法、正當、必要、誠信四大基本原則。同時，處理個人信息應當具有明确、合理的目的，并應當與處理目的直接相關，采取對個人權益影響最小的方式。收集個人信息，應當限于實現處理目的的最小範圍，不得過度收集個人信息。

專家分析，這也意味着企業處理個人信息需要符合“最小必要”要求。

實踐層面，相關法律法規也在不斷厘清何為“最小必要”。

2019年，國家網信辦、工信部等部門聯合發布《APP違法違規收集使用個人信息行為認定方法》，明确了“違反必要原則，收集與其提供的服務無關的個人信息”的6種行為。

2021年5月起施行的《常見類型移動互聯網應用程序必要個人信息範圍規定》，針對39類常見類型APP規範了“必要個人信息”的範圍。比如地圖導航類應用，必要個人信息為：位置信息、出發地、到達地。那麼，諸如相冊、麥克風、通訊錄等均不屬必要範疇。

劉春泉提醒，由于互聯網技術日新月異，幾乎每天都有最新應用上線，原有APP的功能也在快速疊代，目前仍很難對市面上所有的APP劃定何為“最小必要”的明确标準，已有法條中的規定需要在實踐中動态調整。

專家表示，随着個人信息保護法的實施，我國對個人信息保護的具體規則和标準已趨完善、細緻，但無論是監管部門、司法執法部門、從業者還是普通用戶，也還都需要去熟悉、了解相關法律法規，并在實踐中不斷落實、細化。

在劉春泉看來，當前的問題“不是沒有立法，而是執法不到位”。

他說，“法網”越織越密，但缺乏偵辦、懲處一批有影響力的典型案件，而真實案例往往比法律法規更容易被用戶接受、被企業重視。“不能光有‘交規’，也要有‘罰單’。”劉春泉說。

高技術領域執法難題待解

有“交規”、缺“罰單”的背後，折射出我國高技術領域的執法難題。

其一，政策制定者、監管方和企業之間存在信息鴻溝。與企業相比，政策制定者、監管方有豐富的法律知識儲備，但技術素養稍遜一籌，在具體實踐中，要想準确甄别企業的違法違規行為，特别是要在紛繁複雜的技術架構中找出并有效固定證據，難度較大。因此，完善法律法規僅僅隻是第一步，關鍵是各方都能弄懂、弄通，進而能夠有力保障法律執行到位。

其二，不同企業在執行法律法規的能力上存在顯著差别。據胡鋼介紹，近年對個人信息保護力度不斷加大，對違法違規行為的懲處從嚴、從速、從重，根據個人信息保護法相關規定，個人信息保護法針對情節嚴重的違法行為，最高可“沒收違法所得，并處五千萬元以下或者上一年度營業額百分之五以下罰款”，并可責令暫停相關業務或者停業整頓、吊銷相關業務許可或者吊銷營業執照，這給互聯網企業開展數據合規帶來極強動力。

劉春泉認為，大型互聯網企業出于利益考量，會花更多時間、聘請更多專業人士參與制定用戶協議，而對小企業來說，很難有如此巨大的投入。

其三，用戶依法維權意識不足，維權能力有限。胡鋼表示，若APP經營者未遵循相關法律法規，違背上述原則，涉嫌以誤導、欺詐、脅迫等方式處理個人信息。若存在不同意就不讓用的行為，涉嫌侵害公民的法定拒絕權。不僅如此，若用戶協議中的格式條款含有減輕或者免除經營者責任、排除或者限制消費者權利、加重消費者責任等對消費者不公平、不合理的規定，依據民法典和消費者權益保護法等相關法律規定，含有上述内容的格式條款無效。公民可向消費者組織申請調解，也可向監管部門投訴，或者向人民法院起訴。

不過，囿于不熟悉相關法律知識以及時間、精力等方面限制，鮮有普通用戶能夠主動依法維權。加之用戶對信息技術和法律知識了解有限，在與企業的利益博弈中，這場力量懸殊的較量給企業留出回旋空間。

用技術加持技術

多位受訪專家表示，破解高技術領域的執法難題，構建個人信息的“防火牆”，要在人才和技術方面持續努力。

胡鋼介紹說，目前我國部分高校已經開設信息法、網絡法、數據法等課程，啟動計算法學等交叉學科的研究生項目，進行法學與信息科學等方向的交叉研究學習，力求培養出一批既精通法律規則、又熟悉信息技術的高端複合型人才。在司法界，也将數據合規業務作為主攻方向之一，大力鑽研拓展。相信多方共同發力、協同育才會在未來産生更加積極的影響。

此外，劉曉春建議開發、推廣一些保護隐私安全的監測類軟件，或者成立可信賴的、代表技術中立的第三方機構，創建更加透明、更加良性的數據安全環境。

對企業來說，用技術加持技術也許會成為未來适應市場新需求的方向。專家建議，企業可以采用可視化技術，将複雜的用戶協議内容生成動圖或視頻動畫，直觀清晰地呈現出來，讓用戶真正做到“知情同意”。在市場競争愈發激烈的背景下，隻要用戶認可，就不怕企業不買單。

在2021國家網絡安全宣傳周上，隐私計算、信源密信等一批守護個人信息安全的新技術亮相。浙江大學網絡空間安全學院教授張秉晟表示，這些技術可以在不解碼具體信息的前提下，對數據進行處理，既有效保護主體的數據安全，又不影響原有業務。

劉曉春認為，用技術來保護信息安全未來可期，但前路漫漫。“目前，業内對這些技術的安全性、有效性尚存争議，在具體應用過程中，需要更加值得信賴的第三方對其進行評估。”

但在實踐層面，當前掌握此類技術的開發人員少之又少，強制所有APP都應用這樣的技術手段并不現實，還可能會影響企業後續的開發活力和創造性。專家建議，未來可将此類技術作為網絡空間裡的基礎設施，不需要每個開發人員都要掌握，而是通過簡單調用接口就可得到标準化、一體化、自動化、智能化的解決方案。

同時也要看到，告知和同意是互聯網監管層面最底層的規則，必要性、重要性日益凸顯。劉曉春表示，目前監管思路正在由事後監管向事前監管、事中監管轉型，未來可通過底層規則的完善和監管邏輯的轉變，盡最大可能為用戶創立一個可控、可信任、可預期的網絡生态空間。

此外，近年一些地方借力公益訴訟，辦理了一批涉及個人信息保護的典型案例，具有示範意義。目前對公益訴訟的受案範圍缺乏立法确認，對侵犯個人信息的行為是否适用公益訴訟尚存争議，專家建議推進公益訴訟機制的制度化，完善公益訴訟程序。■

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!