当你同意APP用户条款时,都同意了些什么?
本文字数:4596,阅读时长约10分钟
绝大多数APP的用户或隐私条款,动辄上万字,且其内容大多晦涩难懂,能起到什么作用?又是给谁看的?
文 |《财经》E法 刘畅
编辑 | 鲁伟
“没人会去仔细看用户或隐私条款。”上海白领傅祥宇说,“这么多字,不会有人认真研究的。”
目前绝大多数APP的用户或隐私条款,动辄上万字,且其内容大多晦涩难懂——有专家研究发现,认真读完一款APP的用户或隐私条款,平均耗时40多分钟。
在这样的背景下,绝大多数用户的选择和傅祥宇一样,没时间也没耐性读完APP用户或隐私条款就直接点击“同意”——很多用户点击了“同意”,但其实并不知道究竟“同意”了什么。
近期公布的《个人信息保护法(草案二次审议稿)》(下称“《个人信息保护法二审稿》”)《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》(下称“《个人信息保护暂行规定意见稿》”)等法规,或能在一定程度上改善用户或隐私条款难懂、冗长这个“老大难”问题。
01
条款冗长难懂
2020年,加拿大约克大学(York University)的两位教授做了一个实验:他们让543名大学生使用其一款虚构的社交软件“NameDrop”。实验表明,有四分之一的实验对象甚至没有耐心浏览这款软件的用户条款;另外四分之三的实验对象用于浏览用户条款的时间均不超过一分钟。
这也导致无人发现条款的一个“致命漏洞”:条款第2.3.1段规定,一旦同意,这款应用的使用者“将把自己的第一胎孩子交给公司。”
用户反感一个难读、冗长的条款,这是一个“全球性”的问题。
《财经》E法查阅发现,中国多款公众熟知的APP,其条款动辄上万字。微信的《软件许可及服务协议》全文9192字,微信《使用条款和隐私政策》亦有4357字;淘宝《软件许可使用协议》为4646字,其《隐私权政策》高达17926字;B站《用户使用协议》为10399字,《隐私政策》达20288字。
北京安理律师事务所高级合伙人王新锐表示,当前国内主流APP的应用条款主要包括如下部分:如何收集和使用用户的个人信息、如何对外提供个人信息、信息的存储和保护、用户的个人信息权利、条款更新、申诉反馈渠道以及公司的联系方式等。
浙江省公共政策研究院研究员高艳东认为,一款优秀的用户隐私政策协议应当包含以下16个要素:隐私政策适用范围、目前遵循的安全协议与取得的认证、个人信息的收集、个人信息的使用、个人信息的披露、用户对个人信息的控制、个人信息安全措施、个人信息跨境传输、自动数据收集工具说明、平台服务相关内容说明、透明监督、变更通知、法律与政策规定的其他内容、对未成年人信息的收集途径及保护,联系方式、Cookie及相关技术告知。
如此繁杂晦涩的条款,注定其文字长度难以缩减,也自然会让用户产生“难读”之感。
王新锐指出,对“用户不愿意看条款”这一问题要分两方面看:一方面,个人信息保护的治理要靠多方参与,隐私政策的读者并不仅仅是用户,也包括监管机构、媒体和专门的研究者等,“这也是为了当大家想知道怎么样去收集、使用信息的时候,可以找到依据。”
王新锐觉得,相关条款的冗长和“难懂”,本质上是合规方面的透明度要求和阅读友好性之间存在一定矛盾。
另一方面,多数互联网应用也确实存在过于冗长的问题。“我看过一些国外的时政资料,发现国外也有类似情况。不过现在,国外在这方面会尽量用一些通俗的语言去写隐私政策。”王新锐表示,现在国内的隐私政策问题在于,一些复杂的应用隐私政策尤其长,“很多头部企业的隐私政策都有一两万字,甚至有4万字的。”
高艳东对《财经》E法表示,用户不看条款的原因有四:一是个人信息保护意识淡薄;二是内容过长;三是内容晦涩;四是无法拒绝——市场上的多数APP都需要用户同意其隐私政策后才会允许用户使用APP的功能,不进行用户注册就仅能使用部分功能甚至完全无法使用。用户基于使用需求会被迫同意APP的隐私政策。
目前大多数APP在调整隐私政策时,通常采用弹窗的方式告知用户,并征得用户同意授权。
不过,由于“不同意”选项一旦选择,就意味着失去对该应用的使用权,很少有用户会选择“不同意”。
北京师范大学法学院教授刘德良认为,互联网应用具有市场可替代性,并非垄断产品,不存在“强买强卖”行为。在追求高效率的互联网时代,很难做到可读性和合规性的统一,“不同意条款,换一个应用就是了,这是很公平的,符合合同公平和合同自由原则。”
02
实属无奈?
APP的用户或隐私条款,其内容能不能尽量简短?
在王新锐看来,很多条款冗长的原因在于平台业务往往十分复杂,为了符合监管和执法机构对隐私政策的要求,就需要非常详尽地描述。
王新锐指出,随着中国个人信息保护的不断深入,法律法规和监管都要求应用方对信息收集使用的情况做详尽的披露,其初衷是保护用户的知情权,让用户有渠道充分了解他/她的个人信息是如何被收集使用的。
然而在实践中,企业采用创新的(比如使用影音方式详细介绍信息处理方式)、其他显著方式(如信息收集前做弹窗告知)进行告知其实会产生不小的合规成本,一方面是经济成本,一方面也要考虑对用户体验的影响。综合衡量下来,信息披露方式就基本上演变为通过隐私协议的方式来披露,在这样的前提下,监管要求披露的越详细、清楚,隐私协议也就相应地看起来越来越“复杂”了。
“并且,从目前的监管实践来看,很少见监管(部门)指出某一家(公司)的隐私政策太长、太多,一般都是针对未告知或告知不充分的情况进行通报,这也就不难理解为什么应用方的隐私协议条款会越写越长。”王新锐强调。
高艳东认为,“复杂的隐私条款也给了APP应用方规避责任的机会。”一些APP运营商在隐私政策中关于用户个人信息保护的规定过于原则化,并不详细分类阐述,当遇到个人信息泄露问题时,APP应用方会做出原则性的解释,以用户同意隐私条款为由规避法律责任。
“条款的冗长实属无奈之举。”一位不愿具名的互联网公司人士告诉《财经》E法,“随着相关法律制度趋严,合规风险正逐渐增加,平台企业法务部门必须设置这样的条款免责。”
这位人士表示,类似条款的行文“专业性”由平台法务部门全程品控,目的是为了防止文字漏洞的出现,给竞争对手或“专业维权人士”可乘之机。随着实务经验的不断丰富,目前的大型互联网公司在这一方面做得都非常成熟,条款“几乎无懈可击”,其副作用就是专业化的表述让非专业人士很难读懂。
“这完全可以理解,任何一家公司都会这样做——涉及到法律的表述,不专业行吗?用户若需要,完全可以请专业律师对条款进行解读,所谓的‘障碍’并不存在。”上述人士总结。
事实上,随着各项法规的逐步完善,对企业而言,合规的成本和风险确实在不断增加。
据公安部网站5月16日消息,今年第一季度,全国公安机关网安部门依法查处违法违规收集公民个人信息APP服务单位386个,涉及信息咨询、辅助学习、文学小说、新闻资讯、娱乐播报等多个类型。其中,97个APP被予以行政处罚,192个APP被依法责令改正违法行为,51个APP被下架、停运。
今年2月,上海市通信管理局查处了一批侵害用户权益和违法违规收集使用个人信息的APP。公开资料显示,涉及处罚原因以“未提示用户阅读隐私政策”、“未公开收集使用规则”、“没有成文的隐私政策,用户协议未向用户告知个人信息的收集、使用规则及其权利义务、法律责任”及“未明示收集使用个人信息的目的、方式和范围”等为主。
“直接罚钱事小,但下架和整改对平台的震慑还是很大的——这涉及到业内的口碑和经营成绩。”前述从业者坦言。
03
新法会让条款变短吗?
4月26日,《个人信息保护法二审稿》提交十三届全国人大常委会审核。在完善个人信息保护相关原则的基础上,《个人信息保护法二审稿》尤为强调对“超大型互联网平台”的监督。
《个人信息保护法二审稿》指出,提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,也应该履行相关义务。《个人信息保护法二审稿》增加规定:成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督;对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;定期发布个人信息保护社会责任报告,接受社会监督。
同在4月26日,《个人信息保护暂行规定意见稿》出台。《个人信息保护暂行规定意见稿》指出,应当在APP登录注册页面及APP首次运行时,通过弹窗、文本链接及附件等简洁明显且易于访问的方式,向用户告知涵盖个人信息处理主体、处理目的、处理方式、处理类型、保存期限等内容的个人信息处理规则;应当采取非默认勾选的方式征得用户同意。
《个人信息保护暂行规定意见稿》要求,用户拒绝相关授权申请后,不得强制退出或者关闭APP,不得提前申请超出其业务功能或者服务外的权限,不得利用频繁弹窗反复申请与当前服务场景无关的权限;在非服务所必需或者无合理场景下,不得自启动或者关联启动其他APP;用户拒绝提供非该类服务所必需的个人信息时,不得影响用户使用该服务。
高艳东认为,《个人信息保护法二审稿》如果通过,将会促进行业自律,APP运营商对于隐私政策的制定将会更加细化,更加侧重于落实各方的责任,而不是与用户玩“文字游戏”,以此规避部分责任。
《个人信息保护法二审稿》第十六条规定:“基于个人同意而进行的个人信息处理活动,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。”
高艳东指出,上述规定会促使APP运营商在隐私政策中规定个人撤回同意权利时更加细化,具体到撤回同意的方式。
对外经济贸易大学数字经济与法律创新研究中心执行主任许可认为,《个人信息保护法二审稿》对隐私和用户协议制定的影响是多方面的。
第一,可能会改变之前依赖《网络安全法》将用户同意作为唯一个人信息处理基础的做法,而引入更加多样的为履行合同所必需、为履行法定义务及其他的正当性事由。
第二,要求用户协议和隐私政策以更加透明、清晰的方式对用户做出告知,以清晰易懂的语言实现用户的知情权。
第三,打破了传统“一览子授权”的做法,今后针对敏感信息不仅要做出增强性告知,而且还要做出单独的一次性的同意,这有利于保护用户个人的信息权益。第四,对用户的查询、更正、复制、删除等权利做出明确规定。对于这些权利行使的方法方式,平台应当给予明确、清晰的说明,便于用户能够及时便捷的行使权利。
具体到执法层面,大的变化同样可以预期。
“过去几年,工信部、网信办等各部委都在对APP进行检查和执法,不同部门根据不同标准和实施细则,确立了一系列的检查要求。”许可指出,“在《个人信息保护法二审稿》出台后,一个非常重大的改变是,会要求由网信办来统筹协调具体规则的制定,以实现执法标准的统一。”
平台方应如何应对这样的变化呢?
王新锐建议,平台在起草隐私政策时,应尽量在隐私政策中设置“概述”部分,“把一些需要突出、或者说明显需要用户知晓的内容做一个简略的阐述,让用户能很快对条款有一个大体的了解。
但王新锐也强调,隐私政策和用户协议要“想让用户完整读完,每次更新时让他们知道更新了什么,对每个用户而言是不现实的。设置条款的原因,本身就是为各方监督形成依据”。
刘德良建议,行政机关在处理这一问题时,应对平台以是否具有垄断地位为标准进行区分:对不具有垄断性地位、有市场替代性的平台,只需要求其在格式合同中,将限制消费者基本权利或限制自身基本义务的条款用醒目易读、可接受的方式提供给消费者即可;对具备垄断地位、消费者难以找到替代产品的平台,应对其条款制定有更严格规定。
高艳东建议:一是,平台要增强条款的可读性;二是,平台可改进同意规则,增加自主性选项,对隐私条款进行分类,为用户提供不同类型个人信息授权的勾选同意选项,进行分别授权。