当期荐读 2021年第1期 | 基于文本分析的APP 隐私政策框架优化研究
图源 | pexels
郭清玥1 吴 丹1,2
(1.武汉大学信息管理学院,武汉,430072;2.武汉大学信息资源研究中心,武汉,430072)
数据被作为新型生产要素提出的背景下,个人信息保护以及APP隐私政策优化被更多关注。采用文献调研法、内容分析法以及LDA主题建模方法,对200款常用APP的隐私政策框架进行提取和优化,同时结合理论规范与社会实践,从多个角度对APP隐私政策文本进行分析。研究发现,目前APP隐私政策框架由隐私政策概述、个人信息的收集、个人信息的使用、个人信息主体的权利、个人信息的共享、转让、公开披露、个人信息安全保护和个人信息保护争端解决组成,可由二维结构优化为三维框架。
关键词
隐私政策 个人信息 LDA主题建模 文本分析 移动应用程序 隐私保护 APP
1 引言
人工智能与5G技术的纵深发展改变着整个时代,人们通过移动端在互联网进行交互的现象愈加普遍,而网民通常利用智能手机上的应用程序(简称APP),对手机原始系统与功能进行拓展与完善。频繁的信息交换在用户使用APP过程中不断发生,带来多方面记录使用者个人信息的数据,增大了用户隐私泄露风险,使社会对个人信息保护以及隐私政策的关注度日益升温。2019年12月,全国人大常委会立法工委透露,2020年将把个人信息保护法的立法工作列入计划。2020年3月,《信息安全技术 个人信息安全规范》(GB/T35273-2020)国家标准正式发布,对APP隐私政策进行引导规范。
隐私政策是互联网服务提供者基于其服务功能,对合法采集和利用个人信息的行为进行说明并作出承诺的一种自律性文件。APP运营商针对其提供的网络服务而制定的隐私政策则称为“APP隐私政策”。国外大多采用隐私政策(privacy policy)或者隐私声明(privacy statement)命名个人信息保护说明,名称具有专指性,便于用户识别;而在国内,隐私政策的命名还未统一,存在如“隐私权声明”“隐私保护指引”“隐私政策协议”“个人信息保护政策”等说法,另有APP运营商将个人信息保护说明置于用户协议、使用条款等协议中。在本文中,所提及的“APP隐私政策”主要为APP运营商针对其个人信息处理行为进行说明和自我规制而单独制定的个人信息保护类规定文本。
近些年,我国个人信息保护工作不断取得进步,出台了各类个人信息保护规范。尽管如此,APP隐私政策仍然面临着效果不佳、作用有限的困境。2020年4月,国家计算机病毒应急处理中心在“净网2020”专项行动中点名20余款涉嫌隐私不合规行为的APP;同年7月,北京互联网法院一审宣判抖音、微信读书两款APP均侵害用户个人信息;8月,工信部下架8款侵害用户权益的APP。此类现象折射出我国APP隐私政策内容层面仍存在问题,主要表现在部分APP运营商未将其隐私政策明示给用户;已有的APP隐私政策结构混乱,内容表述欠缺,关于用户个人信息处理的说明含糊不清;运营商忽视国家个人信息保护类文件要求,制定不合理的隐私政策,侵害用户权益。
为了探究如何从框架结构层面对APP隐私政策进行完善规范,本文聚焦APP隐私政策的文本内容,结合国际国内个人信息保护类文件梳理APP隐私政策结构并进行优化,期望为完善国家相关政策法规以及企业制定APP隐私政策提供参考。本研究首先通过可视化词云查看APP隐私政策的整体概况;接着采用LDA主题建模方法从主题层面对整体概况进行细化,并将细化后的内容归纳形成现有APP隐私政策的框架;然后结合现有框架对标国内外个人信息保护类文件进行分析,总结问题并进行框架优化。按照以上思路,文章从以下三方面逐步探索如何优化APP隐私政策框架:
(1)APP隐私政策内容研究。对APP隐私政策进行文本分析,并将统计结果进行可视化展示。
(2)APP隐私政策框架研究。在初步分析文本的基础上,采用LDA方法进行主题聚类,形成现有APP隐私政策框架。
(3)APP隐私政策框架对标规范性文件分析研究。将现有框架与国内外个人信息保护类文件进行对比,探究关联并优化框架。
2 APP隐私政策相关研究
我国现存近300部涉及个人信息保护条款的法律法规以及规章制度文件[1]。个人信息保护类法律指具有最高法律效力的文件;个人信息保护类法规指具有较高法律效力的文件;个人信息保护类规章主要指具有普遍约束力的规范性文件。而常被提到的“政策”,多指由中央委员会或者政治局制定的、不具有强制执行力、仅为指向作用的文件,在本研究中将其纳入个人信息保护其他规范性文件范畴,与部分APP运营商命名隐私政策的“个人信息保护政策”一词进行区分。关于个人信息保护的相关条款分散于《中华人民共和国刑法》《中华人民共和国民法总则》《中华人民共和国网络安全法》《中华人民共和国公共图书馆法》等法律文件中。至今未出台关于个人信息保护的专门法,同时在我国法律法规以及规章文件中,未对隐私政策进行明确的限制与规范。
国外通常采用“条例”“准则”“战略”“法令”表述个人信息保护类文件。“规范性文件”一词仅在我国适用,广义上指立法性文件和具有约束力的非立法性文件的总和。本文采用个人信息保护其他规范性文件类别对我国关于个人信息保护的非立法性文件进行概括。如2019年,为配合APP专项治理行动,四部门联合印发《App违法违规收集使用个人信息行为认定方法》[2],对APP隐私政策中应用提供商关于个人信息保护的自我规制进行审查;2020年3月,《信息安全技术 个人信息安全规范》(2020年版)发布[3],对APP核心功能、必要权限、必要信息等内容展开详细描述,形成评估点,并以APP为例进行解释说明。
隐私及个人信息保护一直广受学界关注[4],研究主要集中于个人隐私保护制度设计与理论研究、隐私政策的内容表述与分析研究、隐私政策的应用与实践研究三方面。在个人隐私保护制度设计与理论研究方面,万方[5]从立法告知同意原则对现有隐私政策进行分析,提出了应当在立法中对告知同意原则进行革新;姜盼盼[6]对图书馆隐私政策的合规性标准与依据进行了探究;还有部分学者从数据视角提出了个人隐私保护需关注的问题[7-8]。在隐私政策的内容表述与分析研究中,主要涉及应用软件隐私政策的文本内容[9],多采用内容分析法[10-11]。范昊等[12]考察了国内外16款社交媒体的隐私政策发现,政府层面需要加强《信息安全技术 个人信息安全规范》的底层实施;也有学者针对网站隐私政策文本进行研究[13],研究方法基本与上相同;贾哲等[14]改进了基于P3P的隐私政策与用户隐私偏好的描述,提出了一种基于Web语义技术的本体描述语言;Sleigh等[15]通过定性内容分析探究从卫生政策文档中创建交互式知识可视化的方法;张晓娟等[16]构建了政务APP个人隐私信息保护评价指标体系,对我国政务APP个人隐私信息保护进行评价;张
目前隐私政策研究多集中于管理学、法学、计算机科学等学科。基于法学的隐私政策研究从理论制度层面进行分析;管理学则运用内容分析法进行实证研究,少部分研究对语义语法展开探索;在计算机科学领域,对隐私政策的研究较少,多从技术角度对隐私政策进行分析。
3 研究设计
3.1 数据采集及预处理
3.1.1APP隐私政策数据采集
为得到文本分析所需要的APP隐私政策,依据APPSTORE发布的中国IOS应用免费榜top200(2020年3月6日),于2020年3月6日到3月10日下载并人工采集200款APP隐私政策文本,其中有14款APP存在无法采集中文隐私政策文本的情况,8款腾讯系APP使用腾讯隐私保护平台说明隐私政策,手机淘宝、淘宝直播、淘宝特价版三款APP的隐私政策文本相同。经过去重处理后,最终得到177款APP隐私政策文本。
3.1.2 APP隐私政策数据预处理
在APP隐私政策文本分析之前需要进行预处理,图1显示了APP隐私政策文本数据预处理的步骤。
图1 APP隐私政策文本数据预处理步骤
(1)文件读取
使用Python语言中的数据框工具Python Data Analysis Library(简称Pandas)读取177款APP隐私政策文本的csv文件。
(2)文本分词
采用Jieba分词包对文本进行处理。根据《信息安全技术 个人信息安全规范》(2020版)中的名词解释提取专有名词,将其与177款APP的全称加入自定义词典。
(3)停用词处理
整理常用停用词表和初步分词结果中需过滤的词语,形成APP隐私政策停用词表。分别采用去除全局停用词和去除局部停用词两种方式对APP隐私政策文本进行去停用词处理。
(4)文本特征提取
图2左侧为采用TF方法对LDA模型主题数的影响,右侧为采用TF-IDF方法对LDA模型主题数的影响。图中横坐标代表模型中的主题数;纵坐标表示困惑度,其值越小则说明模型效果越好。
图2 TF/TF-IDF方法对LDA建模影响
对于本研究,采用TF方法不会使模型的困惑度随着主题数增多而逐渐上升,而采用TF-IDF方法则会导致模型困惑度随着主题数增多而变大,因此选择TF方法进行文本特征提取。
(5)文本向量化处理
采用Python中CountVectorizer包进行向量化处理,在使用函数时通过调节max_df和min_df的阈值,将文档中词频过高和过低的词语剔除。
3.2 数据分析方法
3.2.1 APP隐私政策LDA主题建模
在查看APP隐私政策概况后,需要对其框架结构进一步细化分析。本文通过运用LDA主题建模方法对主题进行提取,从而形成现行APP隐私政策通用框架。
LDA(Latent Dirichlet Allocation)模型可对文本中的隐含主题进行挖掘。LDA主题建模在没有先验知识的情况下,需要重点关注主题数K,因此将K视为LDA模型中重要的超参数。采取Blei等[24]根据困惑度(perplexity)对模型进行评价的方法,将困惑度最小的模型作为选取最优主题数K的标准。
当主题数为15时,困惑度的值达到最小(如图3所示);考虑到希望从建模结果中发现更多信息,在此并不对主题数进行主观减少,直接采用主题数15进行主题提取。
图3 困惑度与APP隐私政策LDA建模主题数关系
3.2.2 APP隐私政策主题提取与可视化表达
在确定LDA模型中的各参数设置后,将主题数设置为15,迭代次数设置为2000次,指定输出每个主题的前30个特征词描述主题(主题间无先后顺序)。
采用pyLDAvis包对LDA主题模型可视化,其中λ参数可调节各主题中关键词的排名,便于更好地解释主题[25]。当λ设置为1时,按照关键词在当前主题下出现的频率排序;当λ=0时,按照关键词在全部文本中出现的概率排序。本文将λ设置为0.6,图4是APP隐私政策文本LDA模型可视化的结果。
图片左侧显示主题概况,圆圈间的距离表示主题之间的接近程度,圆圈大小表示包含该主题的文本在文档集中的比例。每当选中图片左侧区域的任一主题,图片右侧便会列举词语描述当前主题,红色的条形表示该词语在当前主题中出现的频率,蓝色的条形表示词语在整个文档集中出现的频率,通过查看红色条形在蓝色条形中的占比,可以了解词语与主题的紧密程度。当在图片右侧区域选中某一词语时,在图片左侧区域会显示该词语在主题上的条件分布。
图4 APP隐私政策LDA模型可视化结果
4 APP隐私政策框架提取结果及分析
4.1APP隐私政策文本词频统计结果
采用上文所述的数据分析方法初步处理后得到一个词频统计结果。APP隐私政策文本的词频统计可以反映APP隐私政策领域的整体概况。预处理之后得到8566个词汇,统计每个词汇出现的次数进行词云绘制(如图5所示)。
图5 APP隐私政策词云
信息、个人信息、服务、隐私等词语在APP隐私政策文本中较通用,出现频率较高,易覆盖掉其他词语,因此在LDA建模中采取了去除局部停用词的方法,降低常见高频词对LDA建模效果的影响。
4.2 APP隐私政策框架提取结果
采用LDA主题建模方法后得到APP隐私政策文本交互式可视化结果,对其进行不断调整,最终得到15个主题下的前30个关键词。部分主题重叠或含义接近,因此将15个主题划分为7大类。各个主题分类及其词条构成如表1所示。
表1 APP隐私政策主题分类及词条构成
主题1的隐私政策概述主要侧重于主体的界定,主题10的隐私政策概述侧重对隐私政策的概览性总结,将主题1和主题10进行合并,共同形成隐私政策概述;主题14、3、11和8涉及APP使用过程中的功能性信息以及设备信息,将该部分归类为个人信息的收集;主题6和主题15体现APP运营商使用信息的行为,将这两个主题合并为个人信息的使用;主题13、5和7体现了用户权利的保障,用个人信息主体的权利来概括。主题9的词汇较杂乱,忽略掉通用词语后,该主题侧重个人信息的委托处理、公开披露、转让、共享;主题12和主题2体现了个人信息安全的保护,因此合并为个人信息安全保护;主题4说明服务商与用户的责任,并涉及争端的解决方式,将该主题概括为个人信息保护争端解决。
通过15个主题的划分,形成以上177款常用APP的隐私政策通用框架,包含七类内容,分别是隐私政策概述,个人信息的收集,个人信息的使用,个人信息主体的权利,个人信息的共享、转让、公开披露,个人信息安全保护和个人信息保护争端解决。
4.3 APP隐私政策框架与个人信息保护类文件对标分析
4.3.1 现有框架对标国际个人信息保护类文件分析
本文分别选取《通用数据保护条例》《APEC隐私框架》与上节得出的APP隐私政策通用框架进行对比分析,以期发现我国APP隐私政策存在的具体问题。
(1)对标欧盟《通用数据保护条例》分析
《通用数据保护条例》(GDPR)被视为当今世界对个人信息保护最严格的条例,其内容结构与我国APP市场通用的隐私政策框架对比如图6所示。
图6 GDPR结构与APP隐私政策框架对比
GDPR几乎涵盖数据处理全流程,提出数据携带权、限制加工权、自动化个人决策权,而我国APP普遍未做明确规定。GDPR中通过对数据控制者与处理者、监管机构、救济、责任与处罚三方面设置来对个人信息安全进行保护,而目前我国仅涉及数据控制者的自律行为。监管机构、救济、责任与处罚对应了我国APP隐私政策中的争端解决,但相比之下,我国关于争端解决的描述仅为概括性文字。
(2)对标《亚太经合组织隐私框架》分析
《亚太经合组织隐私框架》(以下简称APEC隐私框架)发布于2005年,采取灵活的方式保护各成员的信息隐私,避免限制信息的流动。图7是APEC隐私框架与APP市场常用隐私政策框架的对比。
图7 APEC框架与APP隐私政策框架对比
APEC隐私框架现基本体现在我国APP隐私框架中,对于信息跨境流动,APEC隐私框架持鼓励态度。现我国APP隐私政策在实践中不断调整优化,基本符合APEC隐私框架的精神。
4.3.2 现有框架对标我国个人信息保护规范性文件分析
由于我国关于个人信息保护的表述散见于各类文件中,因此选用和APP隐私政策相关度高的一部法律、两份文件进行分析,依据文件的框架结构指出现有APP隐私政策通用框架的不足。
(1)对标国家法律法规与规章分析
我国至今未有一部关于个人信息保护的专门性法律,其中《网络安全法》规定了网络上收集、使用、传播个人信息等各类行为,可以看作是个人信息保护法规和条例的基础。《网络安全法》与我国APP市场通用隐私政策框架的对比见图8。
图8 《网络安全法》规定与APP隐私政策框架对比
《网络安全法》从原则上对个人信息保护进行规范,属于纲领性文件,未对细节部分进行具体描述,在此情况下,我国现行APP隐私框架对《网络安全法》中设置的各项要求均有涉及。
(2)对标国家其他规范性文件分析
国家标准委员会2020年发布修订后的推荐性国家标准《信息安全技术 个人信息安全规范》(以下简称《规范》),2019年国家APP专项治理工作组为治理工作制定了《APP违法违规收集使用个人信息行为认定方法》(以下简称《认定方法》)。将《规范》和《认定方法》要求相结合与APP隐私政策框架进行对比(如图9所示)。
图9 《规范》和《认定方法》与APP隐私政策框架对比
在个人信息的收集方面,《规范》指出多项业务功能的自主选择,《认定方法》则要求将个人信息的收集与所提供的业务功能挂钩,目前该要求在APP隐私政策实践中处于探索阶段。
对于个人信息的存储,《规范》提出存储时间最小化、去标识化处理,以及对不同类别的个人信息进行分开存储,这在APP隐私政策实践中较少见。
在个人信息的使用中,《规范》对用户画像的限制、个性化展示的内容进行说明,并对自动决策机制的使用提出了安全性要求,该部分内容在APP隐私政策中未形成普遍表述。
在信息主体的权利中,《规范》与《认定方法》对个人信息的删改进行规定,虽在2019年部分APP开始尝试提供注销账户的功能,但对于个人信息处理表述比较模糊,相关条款描述不尽完善。
在信息的共享、转让、披露方面,尤其是数据的跨境流动,《规范》仅指出应遵循国家相关规定和相关标准的要求,在现行APP隐私政策框架中也未见对数据跨境流动的详细描述。
在个人信息安全保护中,《规范》从多方角度形成高要求的个人信息保护体系,但实际中鲜有APP能达到此标准;《规范》未对未成年人等特殊群体的个人信息保护进行单独规定,且默认儿童是在监护人的同意之下使用APP。在APP隐私政策的实践中,仅少部分APP运营者如网易、腾讯、酷狗、斗鱼设置了专门的儿童隐私政策。
《规范》与《认定方法》借鉴GDPR,考虑了人工智能时代的发展需求,对APP隐私政策的治理侧重于个人信息的收集与使用方面。因此,在现有APP隐私政策框架中,常将APP功能与请求收集的信息联系在一起作为重点进行大篇幅的说明。对于APP隐私政策框架的其他部分,《规范》未起到强制作用。
5 针对我国APP隐私政策的框架优化
5.1 我国APP隐私政策框架优化
结合上文对比分析可知,我国现有APP隐私政策主要存在两大类问题:一是在框架结构方面,隐私政策在个人信息的存储、个人信息的跨境流动、特殊群体的个人信息保护与安全防护体系部分存在空缺,未形成框架性内容,相关表述少见且散落于APP隐私政策其他部分;二是在内容方面,隐私政策较欠缺个人信息处理活动与个人信息保护体系的相关表述,如《认定方法》将业务功能与个人信息处理活动紧密联系;LDA主题建模的各主题词条存在相似现象,说明业务功能与个人信息处理活动确存交叉现象。又如GDPR中所提到的APP隐私政策不再局限于个人信息的控制者与处理者,逐渐拓展到个人信息主体和监管机构,体现为全方位的监管体系构建。以上APP隐私政策问题可概括为缺失必要个人信息处理环节的表述,业务功能与信息处理环节未挂钩,忽视特殊群体个人信息保护以及监管体系薄弱。
基于上述问题,分别从两方面优化现有APP隐私政策框架,一方面,对现行APP隐私框架进行二维结构的拓展,在原有七部分内容基础上加入个人信息的存储和个人信息的跨境流动两部分;在个人信息主体的权利部分增添对特殊群体的分支表述;在个人信息安全保护部分通过二级类目完善安全防护体系的建构。另一方面,由于APP隐私政策涉及多方主体、具体业务功能和具体信息处理行为,单纯使用二维结构难以将其清楚表述,在此基础上,引入一个三维坐标系,对APP隐私政策框架进行展示,如图10所示。
图10 APP隐私政策框架三维展示
坐标系中的原点为APP隐私政策概述,包含APP隐私政策的简介以及文本中涉及的部分概念界定;X轴表示各类个人信息的处理行为,含个人信息的收集、使用、存储、共享、转让、公开披露、跨境流动与安全保护等;Y轴代表的是APP所涉及的各项具体业务功能,如通讯录服务、基于相机/摄像头的服务、语音服务等;Z轴则代表了个人信息保护所涉及的多方主体,Z1代表个人信息主体、Z2代表个人信息控制者与处理者、Z3代表监管机构等,其中Z1的个人信息主体中包含特殊群体。
原有的APP隐私政策二维结构在三维框架下可转化为如下形式:
隐私政策概述通过(0,0,0)描述;个人信息的收集,个人信息的使用,个人信息的存储,个人信息的共享、转让、公开披露,个人信息的跨境流动和个人信息安全保护以X轴为基础,当涉及到业务功能中的具体细节时,通过(X,Y,0)表示,当涉及到不同主体的权利或责任时,通过(X,0,Z)表示;个人信息主体的权利以Z1为基础,可向X轴或Y轴分别展开,表示信息主体就某项信息处理行为的权利或就某项业务功能的权利;二维结构下的个人信息保护争端解决常表现为不同主体间的矛盾问题解决,在三维框架下可归入个人信息安全保护一类,通过(X安全保护,0,Z)概括描述。在需格外强调的APP隐私保护问题上则可细化到(X,Y,Z)结构。
三维框架中,X轴与Y轴构成的平面是现APP隐私政策最常涉及的内容,与现有实践不同的是,它将APP业务功能与个人信息处理行为紧密结合,更加贴近收集个人信息的最小必要原则,便于制定精准的同意及授权规则,避免“一揽子”授权情况出现。X轴与Z轴构成的平面侧重从不同主体层面约束信息处理行为,对个人信息主体而言,其知情权、访问权、限制加工权、自动化个人决策权等权利可针对具体处理环节进行保障;对信息控制者与处理者而言,其各项信息处理行为被详细界定,既可详知已获取的信息,又可明确自身责任;对监管机构而言,可根据APP隐私政策各项行为实践展开针对性的监督与审查,治理APP隐私政策乱象。Y轴与Z轴构成的平面从不同主体层面对APP业务功能产生影响,含义与X轴与Z轴构成的平面类似,只是更加侧重于APP隐私政策的实践活动,在此不再赘述。此外,虽然在APP隐私政策中Z轴的三个主体相互独立,但在个人信息安全保护实践中,Z1、Z2与Z3存在交流的现象,这是因为争端解决与处理需要在各主体间进行协商与沟通。X轴、Y轴与Z轴构成的点适用于细节描述,起到帮助APP运营商查漏补缺、对照完善条款的作用,同时为未来高标准APP隐私政策划定框架。
需要注意的是,只有在现实世界中涉及到相关内容时,三维框架中坐标点的实际意义才生效。目前,APP隐私政策中对于监管机构的描述较少,在此将监管机构作为主体标注在Z轴上,是为了说明该隐私框架可根据实际需要进行拓展。
5.2 关于APP隐私政策框架的实践建议
在三维APP隐私政策框架之下展开实践,首先应将X轴中个人信息的收集、使用、存储、共享、转让、公开披露、跨境流动与安全保护等方面内容进行单独的规定,注意满足“最小存储限制”,探索个人信息的跨境流动,逐步完善个人信息安全保护体系。通过X轴与Y轴的组合,针对APP业务功能对个人信息处理行为详细声明,如当使用添加好友功能时,将收集通讯录信息;也可通过Y轴与Z轴的组合表示个人信息主体针对业务功能的权利,如您可拒绝为钱包功能提供个人信息。由于我国目前各类个人信息保护规范性文件未对特殊群体进行规定,因此,具体实践中可根据APP服务特点对个人信息主体中的特殊群体保护进行说明;考虑到个人信息保护强度不断加强,可在APP隐私政策框架下探索个人信息主体内部的细分设置。在监管体系方面,可基于框架从个人信息主体、信息控制者与处理者组织以及监管机构三方面展开。如个人信息主体针对信息安全事件应当具有知情权;信息控制者和处理者需要具备技术安全防护、安全体系认证、人员安全培训和安全责任部门等;监管机构的救济与处罚在APP隐私政策中通常不进行表述,但需要通过监管机构提供争端解决的方式。
在具体实践中,可依据国家规定,参照上述框架,概述性内容可直接从三维框架中抽取出二维结构进行表述,细节内容可从三维框架中所涉及的三方面进行规定。因隐私政策行文结构与用户感知有较大关联,本研究仅针对文本内容进行分析,该隐私框架侧重于对隐私政策内容表述的帮助,对隐私政策行文结构未进行直接限制。
6 结论
通过对我国200款常用APP隐私政策文本的分析发现,我国APP隐私政策现主要集中于隐私政策概述,个人信息的收集,个人信息的使用,个人信息主体的权利,个人信息的共享、转让、公开披露,个人信息安全保护和个人信息保护争端解决等七方面。这七方面内容中,关于个人信息收集和使用的规范介绍较多,而其他部分内容仅有少部分涉及,具体细节还可以进一步完善。国际方面,将我国现有APP隐私政策框架与GDPR对比可以发现,我国APP隐私政策在个人信息主体权利和个人信息安全保护体系较欠缺,存在直接参照西方国家个人信息保护制度制定规范的现象,本土化特色稍显不足;在对照《亚太经合组织隐私框架》分析结果中发现,我国APP隐私政策实践基本符合其精神和要求;考察APP隐私政策框架与我国个人信息保护规范性文件的关系中发现,对于国家法律如《网络安全法》的强制要求,大多数APP隐私政策均能满足,但对于其他规范性文件中的规定,仅有少部分APP运营商部分采纳了其中条款,多数未达到要求。针对以上情况可以发现,我国APP隐私政策必要内容表述缺失,APP运营商尚未适应愈加严格的个人信息保护环境,在APP隐私政策中存在考虑不周的现象。此外,APP隐私政策同样反映了当下环境APP业务功能与个人信息处理行为脱节的窘境,未能将处理行为真正精准落实到业务功能中获取针对性授权。同样,在隐私保护实践主体方面,仅停留在个人信息处理者/控制者和个人信息主体两方面,未能通过监管机构的加入架构起完善体系、守护个人信息安全。在实践中,APP隐私政策的具体条款由个人信息保护的主体、APP业务功能以及个人信息处理行为三方面综合构成,采用简单的二维结构进行表述容易遗漏细节且可拓展性不强。针对以上问题,采用三维坐标系结构对APP隐私框架进行优化表述,将个人信息处理行为、APP具体业务功能以及个人信息保护多方主体联结,对APP隐私政策进行规范。APP运营商可依据该框架进行对照排查,针对自身特点填充APP隐私政策文本内容。
在全球化趋势日益明显的今天,我国APP隐私政策可在框架下结合国外经验不断完善,但还需保持自身的特色,从“二元制”保护模式入手,探索中国特色的个人信息保护之路。在采用三维APP隐私政策框架时,要把握数字经济时代的特点,平衡个人信息保护与经济发展的关系,避免出现高强度规范限制数据流动的现象,运用适度的APP隐私政策为数字经济的可持续健康发展提供支持。
作者简介
郭清玥,硕士生,研究方向为用户信息行为;
吴丹(通讯作者),博士,教授,研究方向为信息检索技术、用户信息行为、人机交互,Email:woodan@whu.edu.cn。
*原文载于《信息资源管理学报》2021年第1期,欢迎个人转发,公众号转载请联系后台。
* 引用格式
郭清玥,吴丹.基于文本分析的APP隐私政策框架优化研究[J].信息资源管理学报,2021,11(1):18-29.
参考文献
制版编辑 | 王阿凤
审核 | 于 媛
往期推荐
当期荐读 2021年第1期 • 长江学者论坛 | 应急知识管理:理论基础、研究领域与应用前景
当期荐读 2021年第1期 | “新姿态,新贡献,新展望” ——马费成教授谈互联网时代情报学的发展、应用及未来趋势
扫码关注我们
微信号|xxzyglxb
信息资源管理学报