本报简介专家学者建议多方协同发力提升用户信息通信服务感知
依法保障用户个人信息知情权选择权控制权
为了让用户清晰掌握个人信息在App、SDK及其他第三方之间的共享情况,工信部要求企业在二级菜单中列出App与第三方共享的用户个人信息基本情况,并组织开展信息通信服务感知提升行动。如何提升用户信息通信服务感知,专家学者建议监管部门、行业协会、企业、个人等共同发力。
2021年11月,工信部发布《关于开展信息通信服务感知提升行动的通知》,决定自通知发布之日起至今年3月底,开展信息通信服务感知提升行动(简称“524”行动),要求相关企业建立个人信息保护“双清单”,包括已收集个人信息清单和与第三方共享个人信息清单,并在App二级菜单中展示,以方便用户查询。
记者注意到,从部分App已公布的“双清单”看,清单列明了所收集、共享个人信息的范围、目的、使用场景及次数等。受访专家学者表示,提升用户信息通信服务感知,还需监管部门、行业协会、企业、个人等共同发力。
为何建立与第三方共享个人信息清单
工信部解读《通知》时提到,用户经常反映“在某一App上浏览、购买产品,而其他App会推送相关内容”,用户对个人信息被共享到何处不知情,容易造成恐慌。这也是最近几年常被公众讨论的问题之一。
北京航空航天大学法学院助理教授、工信部工业和信息化法治战略与管理重点实验室办公室主任赵精武表示,“精准推送”技术模型大多通过用户标签设置完成。它首先根据用户近期浏览特定商品的次数、喜好短视频的类型等App使用行为,设置诸如“A转发过B类商品”“A短期内多次浏览B类商品”等用户标签;然后,将大量用户标签的组合设定为“用户画像”,以此描述特定用户可能具有哪些偏好;最后,平台根据“用户画像”选择推送与其物品相关的广告或好物推荐。
“在电商场景下,平台可能通过性别、年龄、职业、地区、社交关系等方面的个人基本信息,以及通过购买、浏览、收藏、评论等用户与平台交互行为所收集的身体健康信息、饮食习惯、收入水平、家庭成员状况、兴趣爱好等更敏感的个人信息形成‘用户画像’。”对外经济贸易大学数字经济与法律创新研究中心执行主任张欣表示,在建立推送任务时,平台或者商家会在构建的“用户池”选择目标用户,然后以批量或者逐个方式推送到用户设备上。
如何建立“用户池”?张欣介绍,首先,平台或App会建立用户行为原始数据库。该数据库会将用户浏览、收听、观看的内容、时间和交互行为(例如点击、滑动)等记录下来,并形成用户行为记录表。然后,平台或App会建立用户标签库,再将标签进行组合排列分布,形成“用户画像”,进而构成“用户池”。这样,平台或App推送相关信息时,可以在“用户池”中通过标签筛选出用户。
工信部就《通知》解读时表示,使用第三方SDK(软件开发工具包)及其他第三方服务,已经成为App开发、运行过程中常见的技术手段,其在帮助App功能服务快速实现的同时,也引发了一些侵害用户权益的问题。
为了让用户清晰掌握个人信息在App、SDK及其他第三方之间的共享情况,工信部在前期App专项治理行动基础上,进一步要求企业在二级菜单中列出App与第三方共享的用户个人信息基本情况,包括与第三方共享的个人信息种类、使用目的、使用场景和共享方式等。
赵精武表示,常见的侵害个人信息权益的情况之一是信息处理者超范围处理用户个人信息,未经用户同意擅自向不具有保障用户个人信息安全能力的第三方予以共享。工信部提出与第三方共享的个人信息的相关要求,是为了保障用户个人信息权益中的知情权,方便用户知晓App、小程序等信息处理者会收集哪些信息,以及这些信息会被传输或共享到哪里、存储到何处、用于何种目的。
App间如何共享信息?
张欣表示,当下App间共享个人信息、数据等通常会经过用户同意,且进行匿名化处理。App客户端可以通过嵌入第三方代码、插件等方式向第三方提供个人信息;也可以将数据传输至App后台服务器后再向第三方提供其收集的个人信息;或者App接入第三方应用,向第三方应用提供个人信息。
张欣以第三方SDK为例介绍,第三方SDK是由第三方服务商或者开发者提供的、能够实现软件产品某项功能的工具包。由于第三方SDK能将实现某种功能的代码进行封装,所以大部分第三方服务商或开发者只需向App服务提供者提供简单的调用接口,将SDK嵌入到App之中,便可以使用相应功能。因此,一款第三方SDK可能会被多款App集成使用,且使用过程中可能多次对用户信息收集和调取。但SDK在实际行为中能够获取的权限和收集的信息仍受宿主App的限制。
赵精武表示,个人信息保护法、数据安全法等法律法规出台后,许多App运营商已经对数据传输和共享相关业务活动进行调整。实践中,App之间并不会直接共享用户个人信息,且共享内容是不具有可识别性的匿名化信息或者是去标识化的设备信息,这些信息通常难以直接与个人真实身份绑定。从相关App公布的第三方共享个人信息清单、内嵌第三方SDK收集个人信息情况等可知,目前,各类App收集和共享的、比较常见的个人信息,包括设备信息、网络信息等基础信息,且大多与第三方App共享的信息遵循“最小必要原则”,比如与地图类第三方App共享的信息,除设备信息、网络信息等外,主要是位置信息。但同一类型的App共享信息也存在差异,如大众点评App公布的与第三方共享个人信息清单中,支付类的App有银联、微信、支付宝等,但其所共享的个人信息在运营商信息、设备型号、传感器列表等方面,仍存在差异。
“之所以存在这种情况,一部分原因是不同业务模式所需要的个人信息类型不相同——地图类App的主要目的是导航和定位,所以信息类型相对固定;支付类App出于财产安全和账号安全考虑,不同App采取的安全技术方案可能有所差异。”赵精武说。
赵精武表示,工信部所要求的第三方信息共享清单实际上是一种动态清单机制。实践中,企业需要根据信息技术发展的水平和业务模式及时调整与第三方共享个人信息清单的相应内容,确保收集个人信息的行为与所提供的信息服务具有必要关联性。同时,“最小必要原则”并不意味着存在一个内容明确、界限清晰的“最小化处理个人信息”方案,现行立法允许企业根据商业实践和技术特征自行确定收集个人信息范围,只要不构成对用户个人信息权益的侵害即可。
提升通信服务感知还需多方共同发力
通过实行“双清单”制度,让企业公布收集和共享个人信息情况,可以让用户知晓自己哪些信息被收集、哪些信息被共享、信息被共享到何处等,避免出现在用户不知情的情况下向第三方共享个人信息,保障用户对个人信息的知情权、选择权和控制权。
个人信息保护法、电子商务法、《互联网信息服务算法推荐管理规定》等均赋予用户对于“个性化展示”以便捷方式关闭定向推送的权利。“设置关闭退出功能键,在很大程度上可以从源头上对第三方个人信息共享形成有效制约。”张欣表示,但有的企业将关闭退出功能键深埋于众多功能之中,让用户很难找到,有的企业没有提供一键永久关闭退出功能,而是默认关闭退出仅在一段时间内有效。这使得用户反对、拒绝和退出权利未能得到有效保障。
赵精武表示,目前,提升信息通信服务感知与第三方共享个人信息之间,还存在一定难题待解。从监管部门角度看,与第三方共享用户个人信息具有隐蔽性,难以在第一时间进行甄别和制止;目前责任链监管体系不完善,应用商店、App运营商与第三方机构之间的民事责任如何分配亟须解决。从用户层面看,现实中存在“用户习惯性忽视用户协议或隐私保护协议内容”现象,这能否成为信息处理者的免责事由,有待进一步明确。
实践中,企业也面临难题。张欣表示,当个人信息控制者在其产品或者服务中接入具备收集个人信息功能的第三方产品或者服务时,其是否建立了相应的安全评估和管理制度,是否能够及时响应用户的请求和投诉,是否对第三方嵌入或者接入的自动化工具收集行为进行审计,当发现第三方有超出约定行为时是否能够及时切断,这较难监管和把控。用户授权第三方分享和使用个人信息,但个人信息控制者在接入管理环节未严格管理,也可能让用户个人信息遭受安全风险。
赵精武表示,对许多企业而言,审核第三方机构资质难度较大。同时,企业也会因此担心需要与第三方机构就个人信息侵权行为承担连带责任,而在用户协议、隐私保护政策中列明第三方机构(合作伙伴等)以及合作共享信息方式,又可能涉及与商业竞争策略和商业秘密保护目标相悖等问题。
赵精武建议,以具体清晰的、行业通行标准,指引企业如何规范内部信息服务活动。构建“应用商店—App—第三方机构”监管机制,落实应用商店的审核责任,明确个人信息处理活动中各阶段义务主体的法定义务。引导用户形成阅读用户协议或隐私协议的良好习惯,关注与自身个人信息权益相关的处理事项。
张欣建议,企业加强自律,严格数据合规管理,在行业内争取形成行为准则和自律准则,真正提升用户通信服务感知。监管部门更全面、深入、系统地强化企业数据合规审查,例如关注企业的隐私政策是否在实质层面得到全面执行等。