保护,既要真心,也要贴心
小朋友使用学习软件、玩网络游戏,成年人用购物App、社交工具……当我们的生活和网络紧密相连,“手机上签合同”已经成为常态。
但面对形形色色的巨幅协议、隐藏条款、迷你提示……实际上,这份合同究竟有多少人能仔细看完?
流于形式的打钩还有没有必要?动辄上万字的App用户协议和隐私协议为什么不能简单明了?用户权益该如何更好地保障?
今年“3·15”前夕,中消协发文称,随着经济社会不断发展和经营模式不断创新,特别是平台经济的快速发展,格式条款在经济社会生活中的应用愈加普遍。与传统合同缔结形式相比,格式条款具有降低缔约成本、节约交易时间、提高经济效益的积极作用。但因其具有事先拟定、未与对方协商等特点,格式条款易包含各类不公平内容,使消费者处于不利地位,由此引发的侵害消费者权益现象比较突出。因此,将继续深化不公平格式条款监督治理工作,通过开展多种形式普法宣传不断提升消费者合同意识和维权意识。
动辄上万字,多少人会仔细阅读?
《用户服务协议》和《隐私政策》,相信大多数人对这两组词汇感到“既熟悉又陌生”。
“3·15”国际消费者权益日刚刚过去,有媒体筛选了一家主流应用商店中下载量前15名的App,遍览它们的这两项文本后发现,总字数竟然达到了惊人的40.5万,相当于把今年大热的《狂飙》原著读了1.7遍。
而单个App的《用户服务协议》及《隐私政策》平均也有2.7万字。用普通人每分钟的阅读速度在200字至500字来计算,用户读完一款App的用户协议与隐私政策,快则需要50多分钟,慢则1个半小时以上。
如此庞大的阅读量,有多少用户会去看?一份武汉大学网络治理研究院对1036人的调查访谈结果显示,77.8%的用户在安装App时“很少或从未”阅读过隐私协议,69.69%的用户会忽略App隐私协议的更新提示。
另据中国青年报社社会调查中心对1561名受访者进行的一项调查显示,70.9%受访者很少或从没阅读过App用户协议/隐私协议。64.1%的受访者指出当下的App用户协议冗长复杂。
“用户协议和隐私政策写满了大量冗杂信息,专业人士都直呼头疼,更别提普通消费者了。”武汉大学网络治理研究院副院长袁康认为,“少有人读”反映出相关协议仍“形同虚设”,达不到保障用户知情权的初衷。
上图:“手机上签合同”已经成为常态。
因此不少网友调侃,“我撒过最多的谎,就是‘已阅读并同意用户协议’”。
上海正策律师事务所律师董毅智在接受《新民周刊》采访时就坦言,若不是出于专业需要,“想学习一下,看看这些条文做了哪些约定”,他也很少会仔细完整地读完全文,“内容确实很长,而且有的软件除了打钩同意外,也没有其他选项”。
2021年11月正式实施的《个人信息保护法》第十六条明确规定,个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;但该条同时规定,处理个人信息属于提供产品或者服务所必需的除外。
因此,“不同意就不能用”依旧是个“老大难”问题。一旦消费者防范意识不强,或为了便利让渡了个人权利同意之后,一些App还存在各种“陷阱”。
比如,“过度索权”的问题。某应用的电话拦截功能索要了短信、存储、通讯录等7项敏感权限;某运动健身类应用在用户使用观看视频等无关功能时,每分钟获取位置信息近百次。还有很多App尽管不再强制收集信息,仍在首次启动时就弹窗索要多个无关权限。
2021年3月,国家四部委曾印发《常见类型移动互联网应用程序(App)必要个人信息范围规定》,其中第五条以列举形式明确了39种常见类型App的必要个人信息范围。其中,通讯录权限就不属于必要范围。
又比如,个人信息转送第三方的问题。一款购物App的用户协议称,对于消费者的视频、照片、文字等,“(平台)均享有永久的、无期限及地域限制的、完全免费的使用权”,并且“有权将其许可给任何第三方使用”“实际行使时无须另行征得您的同意”。
这就意味着App在初始协议里就征得了将用户数据与第三方分享的授权,相当于让用户放弃了对未来个人信息流通转让的审查权利。
“就像我们经常会碰到的情况,当你在某App填完一个信息后,会收到一些垃圾短信、电话和推送,还会有莫名其妙的人来加你微信好友。”董毅智表示,客观来说,一些App的数据保护只是流于形式的。
还比如,“一次同意则次次同意”的问题。部分App会根据需要修订隐私协议,但用户无法及时得知内容是否有所更新。比如,一款美妆App在用户协议中表示,公司有权根据需要不定期地制订、修改本协议及/或各类规则,并在App平台公示,不再另行单独通知用户。消费者使用平台服务,即表明接受修订后的协议和规则。
“即使平台通知到用户,又有多少会看?即便你认真看了重新签订,谁又能保证它后面是不可篡改的。”董毅智坦言。
在中国青年报社社会调查中心的调查中,有62.3%的受访者建议将与用户关系密切的重要部分在协议前面突出显示。未来,能否在让用户协议与隐私政策实现“长话短说”的同时,形成既符合相关法律条文又能真正确保用户自身权益的“双赢”解决方案?
对此,董毅智认为,可能性不大,“因为其中的内容确实比较复杂,很难通过一个非常简略的版本来表述,即使有简版,其背后肯定还有一个非常详细的版本”。
更具现实意义的是,能否建立相关的备案机制,把这种服务协议和隐私政策直接备案到监管层面,由监管部门组织专业人士,或由第三方去对协议进行把关。 “再退一步讲,即使用户完整看过协议,现在进行相关诉讼,这个协议也可能会被篡改。因为消费者没有后台数据。” 董毅智表示。
但由于个人维权成本较高,再加上互联网行业天生的垄断性,比如点外卖就那两个比较大的平台。“消费者的选项太少,即使里面有一些不平等条款,但大家实际可操作的空间很小。”董毅智进一步分析道。
正如中消协发布的《“不公平格式条款”消费者认知及线索征集调查报告》显示的那样,超七成的消费者在遇到不公平格式条款后,仍会选择继续交易,主要原因在于多数消费者被迫同意格式条款内容,否则无法继续交易,也有部分消费者在产生纠纷后才知晓格式条款存在问题;近两成的参与调查者在遇到消费纠纷后选择“默默忍受”。关于造成不公平格式条款的原因,参与调查者认为一方面在于经营者过于强势和消费者相对弱势;另一方面在于法律法规不够健全以及监管执法不到位。
平台应修炼内功,提升自身合规性
有一说一,与5年前相比,情况已有一些改善:现在15款App的《隐私政策》目录中明确提到了“用户权利”,相关累计字数也超过了1.5万字。
江苏省消保委在去年的调查中也已经发现,有部分App开发出相关功能,便于消费者阅读。例如,新用户使用京东App购买商品,同样必须勾选《京东隐私政策》。但打开京东App的设置,可以看到最下面有“隐私政策简要版”“个人信息收集清单”“应用权限说明”“第三方共享个人信息清单”的选项。进入页面,可以看到与消费者相关的一些信息通过图文、表格形式被表现出来。
据江苏省消保委了解,上架此项功能符合《个人信息保护法》的相关规定和要求,能更好地保障消费者的知情权,值得提倡。至少,此类信息的可视性、可读性得到加强。
“随着大数据时代的到来,数字权利本身可能变成一种资产的权属问题。争议的焦点在于,作为普通用户,我们如何行使自己的权利。”董毅智指出,“除了注册时点击‘同意’外,我们想要更换注册信息或者注销账户时,过程也很波折。”
对于数字权利和数字资产的界定,在董毅智看来,欧盟是做得比较好的,“2018年正式实施的《通用数据保护条例》 ( GDPR )里就规定了很多权利,比如我刚提到的,大家可能又不太重视的 ‘被遗忘权’”。
所谓“被遗忘权”可以概括为:数据主体有要求数据控制者删除关于其个人数据的权利,控制者有责任在特定情况下及时删除个人数据。简单来讲,如果一个人想被世界遗忘,相关主体应该删除有关此人在网上的个人信息。
日前,工信部印发了《关于进一步提升移动互联网应用服务能力的通知》(以下简称《通知》),共提出26条措施对移动互联网应用服务能力进行提升。
在需求侧,《通知》专门围绕提升用户服务感知的有12条,聚焦在App安装卸载、服务体验、个人信息保护、诉求响应等方面。例如,针对此前困扰用户的“强制安装”“卸载不掉”等问题,《通知》要求,向用户推荐下载App应遵循公开、透明原则,确保知情同意安装,不得通过“偷梁换柱”“强制捆绑”“静默下载”等方式欺骗误导用户下载安装。同时,App应当可便捷卸载,不得以空白名称、透明图标、后台隐藏等方式恶意阻挠用户卸载。
在供给侧,《通知》则围绕移动互联网行业上下游全链条各主体,提出强化管理要求,着力提升体系化服务能力。
根据服务形态、业务场景、功能特点,《通知》重点针对5类主体提出了具体规范要求:App开发运营者直接面向用户提供服务,要落实主体责任;分发平台为用户提供App搜索、下载安装渠道,要强化分发管理;SDK(软件开发工具)内嵌在App中,广泛应用于定位、支付、信息推送等功能场景,要规范应用服务;智能终端为用户提供App运行的硬件载体,要筑牢安全防线;接入企业提供网络连接服务,要夯实信息登记和处置责任。
上图:个人信息收集应透明化。 摄影/应琛
工信部相关负责人表示,推动App开发运营者练好“内功”,提高用户权益保护的意识和能力,是强化源头治理的根本;分发平台作为连接App开发运营者和用户之间的桥梁,要落实好“守门人”责任,为用户提供合规的产品;SDK可以让App开发成本更低、迭代更迅速、功能更丰富,二者作为行业上下游,应共同为用户提供服务;智能手机等终端要更好发挥底层管控的技术优势,筑牢保障用户权益的安全防线。
记者注意到,2019年12月至2023年2月,工信部累计通报27批关于侵害用户权益行为的App,逐一列出详细问题,严格限期整改,并对未按要求完成整改的App进行下架处理。
“一个真正的互联网公司一定是国际化的,那它未来的挑战之一就是出海后的数据保护问题。”董毅智希望,国内的平台能够尊重国际市场的监管规则,“不要停留在对一些格式性条款的‘发明创造’上,而是要跟国际接轨,要用更高的合规要求来提升自己,这样才能更好地参与国际上的竞争”。
统筹与监管:解决“九龙治水”
事实上,数据安全问题早已受到国家重视。
目前,我国已有《网络安全法》《数据安全法》《网络安全审查办法》《个人信息保护法》等。其中,《个人信息保护法》第五十八条就从法律层面明确提出加强超大型互联网平台个人信息保护义务的要求,强调个人信息治理要多方参与,增加独立第三方的制约,同时要有更高的透明度,以强化对超级平台的监督。
3月10日,十四届全国人大一次会议举行第三次全体会议,表决通过了《国务院机构改革方案》。据新华社消息,根据该改革方案,组建国家数据局,负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设等。国家数据局由国家发展和改革委员会管理。
“国家数据局的组建或许可以破解数据监管存在‘九龙治水’的困局,是强化统筹发力的标志性事件。”董毅智表示。
我国是一个数据大国。数据产业的发展有两个核心问题迫切需要制度回应:一是数据资源的所有权归谁所有的问题;二是数据资源交易的问题。现有的法律制度事实上对此没有充分回答。现在很多数据库侵权案件法院受理之后,都是通过适用反不正当竞争法的一些“兜底条款”来解决的。
“国家数据局成立之后,能不能在用户数据保护这方面做更多的工作,数据在进行研究和交易时,如何实现数据脱敏,将来能否有更多立法,有更多执法上的成绩,这可能是我们所期望的。”董毅智强调,良好的数据生态,一定是需要完善政府监管、行业自律、社会监督、用户参与的共治格局。记者|应琛