來源:21世紀經濟報道
編者按:個人數據是數位社會的富礦,它是互聯網經濟的起點,也是當下數據要素市場建設的關鍵。但當個人資訊、行為數據化,數據商品化,我們難免產生疑惑:我們的資訊保安嗎?個人該如何保障自己的自主權?近年來,中國數據安全政策法規和制度標準體系不斷健全,【網路安全法】【數據安全法】【個人資訊保護法】相繼實施,【關鍵資訊基礎設施安全保護條例】【網路安全審查辦法】【雲端運算服務安全評估辦法】等出台。9月9日至15日,2024年國家網路安全宣傳周將開啟,南財合規科技研究院將推出系列報道,探討在數據流通、數據交易過程中,如何在挖掘數據價值的同時,保障個人資訊保安、維護個人資訊權利。
21世紀經濟報道 記者肖瀟 北京報道
在辦理電話卡或者更換營運商時,誰會仔細閱讀營運商的私密政策?誰想過自己授權了營運商收集哪些數據,又可能會被用來做什麽?
營運商「買賣」大數據早已不是諱莫如深的秘密。當前在上海交易所中,超過20%的數據產品來自三大電信業者;一組更直觀的數據是,今年8月釋出的半年報中,中國移動首次將數據資源作為資產入表,入表金額達到7000萬元。
由於這些數據交易主要面向政企市場,很難被普通消費者感知到。但無論如何,數據交易都必須透過使用者授權這一關,【個人資訊保護政策】作為與使用者溝通的唯一橋梁便尤其關鍵。
21記者由此測評了三大營運商的個人資訊保護政策,結果發現,相關條款難以找到,並且大多語焉不詳。通訊錄、通訊內容、上網內容等被收集的資訊,什麽場景下會被收集、會不會被使用,大多未在私密政策中充分說明。
相比步入常態的互聯網平台監管,電信行業的合規標準,自【個人資訊保護法】修訂以來幾乎沒有更新。 營運商要成為數據要素市場的重要參與者,還需要更多合規自覺和外部監督。
私密政策說了什麽?
查閱營運商的私密政策,第一步就碰到了困難。
一般來說,使用者【個人資訊保護政策】在APP的登入界面彈出,三大營運商的APP同樣如此。但問題是,營運商的許多數據並非透過APP收集,而是透過移動寬頻網路,理應存在不同的服務條款。
對此,21記者分別在中國聯通、中國電信的官網中,找到了包含所有服務產品的【中國聯通使用者私密政策】和【中國電信個人資訊保護政策】。但中國移動官網沒有針對移動、寬頻業務的協定,最終只找到一份由中國移動浙江公司提供的【中國行動通訊客戶服務協定】。
在上網的過程中,營運商會收集哪些資訊?按這些使用者服務協定的說法,大體有三種:一種是上網必須登記的個人身份資訊;一種是服務數據, 包括通訊錄、簡訊內容、通話內容 ;還有一種是日誌資訊, 比如基站記錄的每個手機號位置、網頁瀏覽記錄 ……幾乎能覆蓋一個人上網的所有痕跡。
收集數據後,營運商會在哪些情況下用到它們?
按照【個人資訊保護法】要求,營運商需要準確、完整地向個人告知個人資訊的收集目的和收集方式。記者看到的這三份私密政策,使用了不少「等」「相關資訊」「可能」的概括性詞語,無疑沒有滿足這一點。
如果將這些私密政策與APP私密政策對比,會有一些更有趣的發現。比如,APP能事無巨細地寫明哪些頁面、哪些功能觸發哪些數據的收集。但提供網路營運,營運商很難說清自己收集資訊具體是為了什麽、會用在何處, 只能用「最佳化網路服務品質」「提供電信服務」「實作上網收費準確」三板斧來解釋。
三大營運商也沒有在私密政策中,提到商業性目的。不過,中國電信在【中國電信個人資訊保護政策】單獨提到了個人化行銷:「我們可能使用您的個人資訊,向您發送電子信件、簡訊或撥打電話的方式,向您推播個人化或廣告。如果不希望收到此類推播,可以按照我們的相關提示取消訂閱。」
換句話說,簽下這份協定,預設同意了行銷簡訊和電話。
在數據共享中,營運商有最主要的兩大業務場景:風控驗真,買賣使用者畫像包來投放廣告。但並不是每一家營運商都充分跟使用者說明了情況。
風控驗真一般運用在金融行業。比如,銀行想要評估能不能放貸,便向營運商索要該使用者的更多通訊數據,以此評估放貸風險有多大。這種A、B兩方交換使用者數據的方式,通常是「三重授權」模式——使用者向A授權同意,使用者向B授權同意,AB兩方之間再授權數據交換。
此前21記者報道營運商的失聯修復業務時,一名企業合規負責人告訴記者,假如金融機構要透過營運商獲取更多的當事人資訊,要留意營運商有沒有獲得當事人授權、相關授權是否約定了買賣數據的許可權。
而私密政策透露出的現實是:即使得到了使用者授權,約定也很含糊。
中國移動采取的是一攬子授權,沒有單獨說明。中國電信、中國聯通提到了第三方查詢業務,大意為:如果使用者授權了第三方機構采集向營運商采集資訊,就同意了營運商就可以給出合法資訊。
在中國聯通的第三方收集名單裏,金融機構、資訊查詢、互聯網企業……都可以來查詢資訊,使用者很難控制自己的資訊到底被用於何處。
使用者畫像往往用於個人化廣告投放,互聯網行業的通常做法是,只要數據不精準到個人,籠統的使用者畫像可以跟第三方分享,不需要單獨征求使用者同意。三大營運商也不例外。
但如果資訊能辨識到個人,比如有個人特征的辨識碼、裝置號碼等等,【個人資訊保護法】就要求說明個人資訊接收方的聯系方式,說明個人資訊接收方的處理目的,獲得使用者明確同意。
在這一方面,營運商的確都單獨列出了分享給第三方公司的數據清單,從第三方SDK的數量可以看到,分享數據的範圍驚人。
第三方SDK是與第三方公司分享數據的工具,可以理解為一個外包助手,由外部公司開發,嵌入到本應用程式中。比如廣告第三方SDK負責引入各種開屏、橫幅廣告,確保它們精準展示給合適的使用者,同時收集使用者點選和互動情況。
信通院2021年的數據顯示,國內一款APP分享的第三方SDK包 平均在20個左右 。 記者統計了三大營運商的【第三方共享清單】,中國移動APP接入了超過100款SDK包,中國聯通APP為41個,中國電信APP為16個。
不僅如此,就如前文所說,APP收集、分享的數據,只是營運商龐大數據河流中的一個截面。管道中的更多數據流向何方,使用者往往無從得知。
被忽視的角落
在測評私密政策時,存在另一個難點:沒有針對性的公開準則。
這同樣是因為,大眾主要關註的是移動應用程式,監管和標準也大多落腳於這一領域。比如【App違法違規收集使用個人資訊行為認定方法】【常見型別行動網際網路應用程式必要個人資訊範圍規定】,網信辦日常開展的APP違規處理個人資訊的行動,針對的都是移動應用程式。
一位曾參與APP個人資訊保護國標的起草人,在聊天中向21記者坦言,電信業者有自己的特殊性,的確是少有行標或國標,但可以參考上位法。
除了【個人資訊保護法】(下稱【個保法】),像【消費者權益保護法】【廣告法】也能直接約束營運商對個人資訊的收集。例如【消費者權益保護法】規定,經營者未經消費者同意,不得向其發送商業性資訊。
但不難看出,這些法律對個人資訊的要求比較籠統,針對的也多是簡訊、電話等傳統服務。
目前能參考的兩部行業性規定——一部是2013年的【電信和互聯網使用者個人資訊保護規定】,一部是2015年的【通訊短資訊服務管理規定】。自【個保法】出台以來,都沒有任何更新了。
拿【電信和互聯網使用者個人資訊保護規定】來說,它屬於「個保」概念誕生之前的產物,只規定了個人資訊的收集、使用、儲存,而2021年出台的【個保法】對加工、傳輸、提供、公開、刪除等活動都作了詳細處理要求。
【個保法】出台之後,還更細微地區分了使用者的單獨同意、默示同意,【通訊短資訊服務管理規定】則沒有更新。 2020年8月31日,工信部釋出了該規定的新征求意見稿,將「同意」的標準上升為「明確同意」,但該征求意見稿一直沒有實施。
工信部在2022年也計劃修改【電信和互聯網使用者個人資訊保護規定】,而後不再有新的進展公開,公開資料顯示,其屬於「十項年內完成研究起草任務的計畫。」
