4　如何读懂隐私政策？

2021年2月，上海市通信管理局查处了一批侵害用户权益和违法违规收集使用个人信息的App。公开资料显示，涉及处罚原因以“未提示用户阅读隐私政策”“未公开收集使用规则”“没有成文的隐私政策，用户协议未向用户告知个人信息的收集、使用规则及其权利义务、法律责任”及“未明示收集使用个人信息的目的、方式和范围”等为主。

上述处罚原因可以总结为违反“公开透明原则”，即个人信息处理者应当遵循公开、透明的原则，公开个人信息处理规则，明示处理的目的、方式和范围。该原则在我国法律中已有多处规定，如《民法典》第1035条、《网络安全法》第41条、《信息安全技术　个人信息安全规范》第4条、《个人信息保护法》第7条。“公开透明原则”在实践层面通常体现为，App运营者应当以显著方式、清晰易懂的语言向用户公开个人信息处理规则，通常表现为“隐私政策”。

那么，一份隐私政策应当包含哪些内容呢？根据现有相关法律法规，《信息安全技术　个人信息安全规范》对隐私政策的规定与说明最为详细。其中，隐私政策的内容应包括但不限于：

● 我们的身份和联系方式；

● 业务功能的个人信息收集使用规则；

● 我们如何保护您的个人信息；

● 您的权利；

● 我们如何处理儿童的个人信息；

● 您的个人信息如何在全球范围转移；

● 本政策如何更新；

● 如何联系我们。

如今，为落实法律法规要求，撰写、发布隐私政策成为App运营者公开收集使用个人信息规则的主要措施，打开App后首先看到隐私政策几乎成了标配。然而，目前绝大多数App的隐私政策，动辄上万字，且其内容大多晦涩难懂。根据《财经》E法报告，中国多款公众熟知的App，其条款动辄上万字：微信的《软件许可及服务协议》全文9192字，微信的《使用条款和隐私政策》亦有4357字；淘宝的《软件许可使用协议》为4646字，其《隐私权政策》高达17926字；B站的《用户使用协议》为10399字，《隐私政策》达20288字。很多条款冗长的原因在于平台业务往往十分复杂，为了符合监管和执法机构对隐私政策的要求，就需要非常详尽的描述。并且，从目前的监管实践来看，很少有监管部门指出某一家公司的隐私政策太长、太多，一般都是针对未告知或告知不充分的情况进行通报，这也就不难理解为什么隐私政策会越写越长。(https://www.daowen.com)

有专家研究发现，认真读完一款App的隐私政策，平均耗时40多分钟。在这样的背景下，绝大多数用户没时间也没耐心读完App的隐私政策就直接点击“同意”。很多用户点击了“同意”，但其实并不知道究竟“同意”的内容具体是什么。用户反感难读、冗长的条款，这是一个“全球性”的问题。2020年，加拿大约克大学（York University）的两位教授做了一个实验：他们让543名大学生使用一款虚构的社交软件“NameDrop”。实验表明，有四分之一的实验对象甚至没有耐心浏览这款软件的用户条款；另外四分之三的实验对象用于浏览用户条款的时间均不超过一分钟。这也导致无人发现条款的一个“致命漏洞”：条款第2.3.1段规定，一旦同意，这款应用的使用者“将把自己的第一胎孩子交给公司”。

那么，作为用户应当关注隐私政策中的哪些重点呢？

第一，查看隐私政策的发布／生效日期。作为公开的规则，如果无法进行透明化的内容变更和有序的版本管理，隐私政策的公信力恐怕要大打折扣。此外，随着法律法规的不断出台和规则的细化，对隐私政策提出了更多要求，产品也会因为更新换代在个人信息收集使用规则上有所变化，因此，隐私政策的适时、合理更新也是一种个人信息保护工作得到重视和常态化的体现。

第二，查看业务功能以及收集的个人信息。根据《常见类型移动互联网应用程序必要个人信息范围规定》，不同种类App仅能收集保障其基本功能服务正常运行所必需的个人信息。因此，用户需要关注App收集的个人信息是否符合具体业务功能，以及是否超过必要的个人信息范围。

第三，查看阅读加黑、加粗等内容。隐私政策通常会对提及的个人敏感信息通过加黑、加粗、下划线等显著方式进行标识，以强调内容的重要性，用户可以通过查看该部分内容迅速判断个人敏感信息是否可能被强制、过度收集。

第四，查看个人信息存储及出境情况。个人信息是否被存储、如何存储、存储多久是非常关键的个人信息处理规则，如果用户的个人信息被超期存储，则泄露、滥用、违法对外提供等风险将显著增加。另外，个人信息是否存在出境情形是应该被高度关注的重点，如是否涉及出境？是所有个人信息出境还是个别情形下出境且涉及部分个人信息？

第五，查看个人信息是否向第三方提供。与个人信息存储规则一样，个人信息是否会向第三方提供，提供的目的是否与业务功能密切相关，是应当关注的重点。尤其是需要关注是否存在与业务功能无密切关联但还是会被提供给第三方的情形，或者会被不间断地、长期地向第三方提供的情形。一旦存在上述情形，则个人信息被滥用的风险将会增加。

第六，查看是否可关闭或退出定向推送机制。App使用用户画像的方式对用户提供精准推荐、定向推送等服务的现象非常普遍，根据相关标准和技术规范，隐私政策中应当说明用户画像的应用场景和可能对用户产生的影响。除此以外，越来越多的App提供了不同形式的关闭或退出定向推送机制的功能，用户可通过查阅隐私政策了解是否提供该类功能，从而根据自己的需求灵活选择。

第七，查看用户拥有的权利。通常，隐私政策中会提下用户的权利，浏览隐私政策时，可查找是否在内容中提及。比如，当用户在购物网站完成交易后，想删除相关购物信息，查看隐私政策中“更正或删除个人信息”的相关内容，获知具体方法。再比如，当用户决定账号不再使用时，如不注销，则绑定的姓名、手机号、身份证号、地址等个人敏感信息会长期保留，是否会被滥用或泄露将是个未知数。通常，用户可以查看隐私政策中关于用户注销账号的步骤等内容。如果隐私政策未提及注销账号，则该App很有可能未提供该功能，注册使用该App则可能面临无法注销账户的问题。

第八，查看投诉举报渠道。App建立有效的投诉举报渠道，及时处理用户的投诉建议，是对用户负责任的一种重要体现。如果App未能提供投诉举报渠道，一旦个人信息方面出现问题很难得到响应和解决。

看完以上八点，相信用户已经对隐私政策有了一个大概的了解。如果只是阅读这些关键内容，可以较快地浏览完隐私政策，得出对于App的基本印象。如果找不到这些内容，或内容过于粗糙，恐怕其隐私政策的质量就要打个问号，这个App该不该下载使用也需要再衡量。当然，即便隐私政策具备以上内容，也只是在完备性上有所体现，而个别App还是会在形式完备的表象下，具有潜在的风险雷区。

除了用户主动关注隐私政策内容之外，已有少数企业开始通过创新方式回应用户个人信息的保护需求。比如苹果iOS系统在2021年推出的隐私新政措施：“隐私营养标签” （Privacy Nutrition Label）——苹果应用商店中每个App旁边将增加强制性标签，列举该应用收集的用户数据类型，类似于食品包装上的营养成分标签。在该政策下，苹果手机用户能够明确知晓其使用的App提取了自己的哪些个人信息以及如何利用这些个人信息。苹果新政确实能较好地提升用户对应用程序如何收集和利用其个人信息的知情及了解，但能否解决当前隐私政策的困境还有待观察。