编者按:个人数据是数字社会的富矿,它是互联网经济的起点,也是当下数据要素市场建设的关键。但当个人信息、行为数据化,数据商品化,我们难免产生疑惑:我们的信息安全吗?个人该如何保障自己的自主权?近年来,我国数据安全政策法规和制度标准体系不断健全,《网络安全法》《数据安全法》《个人信息保护法》相继实施,《关键信息基础设施安全保护条例》《网络安全审查办法》《云计算服务安全评估办法》等出台。9月9日至15日,2024年国家网络安全宣传周将开启,南财合规科技研究院将推出系列报道,探讨在数据流通、数据交易过程中,如何在挖掘数据价值的同时,保障个人信息安全、维护个人信息权利。

21世纪经济报道 记者肖潇 北京报道

在办理电话卡或者更换运营商时,谁会仔细阅读运营商的隐私政策?谁想过自己授权了运营商收集哪些数据,又可能会被用来做什么?

运营商“买卖”大数据早已不是讳莫如深的秘密。当前在上海交易所中,超过20%的数据产品来自三大电信运营商;一组更直观的数据是,今年8月发布的半年报中,中国移动首次将数据资源作为资产入表,入表金额达到7000万元。

由于这些数据交易主要面向政企市场,很难被普通消费者感知到。但无论如何,数据交易都必须通过用户授权这一关,《个人信息保护政策》作为与用户沟通的唯一桥梁便尤其关键。

21记者由此测评了三大运营商的个人信息保护政策,结果发现,相关条款难以找到,并且大多语焉不详。通讯录、通信内容、上网内容等被收集的信息,什么场景下会被收集、会不会被使用,大多未在隐私政策中充分说明。 

相比步入常态的互联网平台监管,电信行业的合规标准,自《个人信息保护法》修订以来几乎没有更新。运营商要成为数据要素市场的重要参与者,还需要更多合规自觉和外部监督。

隐私政策说了什么?

查阅运营商的隐私政策,第一步就碰到了困难。

一般来说,用户《个人信息保护政策》在APP的登录界面弹出,三大运营商的APP同样如此。但问题是,运营商的许多数据并非通过APP收集,而是通过移动宽带网络,理应存在不同的服务条款。 

对此,21记者分别在中国联通、中国电信的官网中,找到了包含所有服务产品的《中国联通用户隐私政策》和《中国电信个人信息保护政策》。但中国移动官网没有针对移动、宽带业务的协议,最终只找到一份由中国移动浙江公司提供的《中国移动通信客户服务协议》。

在上网的过程中,运营商会收集哪些信息?按这些用户服务协议的说法,大体有三种:一种是上网必须登记的个人身份信息;一种是服务数据,包括通讯录、短信内容、通话内容;还有一种是日志信息,比如基站记录的每个手机号位置、网页浏览记录……几乎能覆盖一个人上网的所有痕迹。

收集数据后,运营商会在哪些情况下用到它们?

按照《个人信息保护法》要求,运营商需要准确、完整地向个人告知个人信息的收集目的和收集方式。记者看到的这三份隐私政策,使用了不少“等”“相关信息”“可能”的概括性词语,无疑没有满足这一点。

如果将这些隐私政策与APP隐私政策对比,会有一些更有趣的发现。比如,APP能事无巨细地写明哪些页面、哪些功能触发哪些数据的收集。但提供网络运营,运营商很难说清自己收集信息具体是为了什么、会用在何处,只能用“优化网络服务质量”“提供电信服务”“实现上网收费准确”三板斧来解释。

(中国移动APP的隐私政策,具体到每个功能对应的数据收集)

三大运营商也没有在隐私政策中,提到商业性目的。不过,中国电信在《中国电信个人信息保护政策》单独提到了个性化营销:“我们可能使用您的个人信息,向您发送电子邮件、短信或拨打电话的方式,向您推送个性化或广告。如果不希望收到此类推送,可以按照我们的相关提示取消订阅。”

换句话说,签下这份协议,默认同意了营销短信和电话。

在数据共享中,运营商有最主要的两大业务场景:风控验真,买卖用户画像包来投放广告。但并不是每一家运营商都充分跟用户说明了情况。

风控验真一般运用在金融行业。比如,银行想要评估能不能放贷,便向运营商索要该用户的更多通信数据,以此评估放贷风险有多大。这种A、B两方交换用户数据的方式,通常是“三重授权”模式——用户向A授权同意,用户向B授权同意,AB两方之间再授权数据交换。 

此前21记者报道运营商的失联修复业务时,一名企业合规负责人告诉记者,假如金融机构要通过运营商获取更多的当事人信息,要留意运营商有没有获得当事人授权、相关授权是否约定了买卖数据的权限。 

而隐私政策透露出的现实是:即使得到了用户授权,约定也很含糊。

中国移动采取的是一揽子授权,没有单独说明。中国电信、中国联通提到了第三方查询业务,大意为:如果用户授权了第三方机构采集向运营商采集信息,就同意了运营商就可以给出合法信息。

在中国联通的第三方收集名单里,金融机构、信息查询、互联网企业……都可以来查询信息,用户很难控制自己的信息到底被用于何处。

用户画像往往用于个性化广告投放,互联网行业的通常做法是,只要数据不精准到个人,笼统的用户画像可以跟第三方分享,不需要单独征求用户同意。三大运营商也不例外。 

但如果信息能识别到个人,比如有个人特征的识别码、设备号码等等,《个人信息保护法》就要求说明个人信息接收方的联系方式,说明个人信息接收方的处理目的,获得用户明确同意。 

在这一方面,运营商的确都单独列出了分享给第三方公司的数据清单,从第三方SDK的数量可以看到,分享数据的范围惊人。

第三方SDK是与第三方公司分享数据的工具,可以理解为一个外包助手,由外部公司开发,嵌入到本应用程序中。比如广告第三方SDK负责引入各种开屏、横幅广告,确保它们精准展示给合适的用户,同时收集用户点击和互动情况。

信通院2021年的数据显示,国内一款APP分享的第三方SDK包平均在20个左右。记者统计了三大运营商的《第三方共享清单》,中国移动APP接入了超过100款SDK包,中国联通APP为41个,中国电信APP为16个。

不仅如此,就如前文所说,APP收集、分享的数据,只是运营商庞大数据河流中的一个截面。管道中的更多数据流向何方,用户往往无从得知。

被忽视的角落

在测评隐私政策时,存在另一个难点:没有针对性的公开准则。

这同样是因为,大众主要关注的是移动应用程序,监管和标准也大多落脚于这一领域。比如《App违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》,网信办日常开展的APP违规处理个人信息的行动,针对的都是移动应用程序。

一位曾参与APP个人信息保护国标的起草人,在聊天中向21记者坦言,电信运营商有自己的特殊性,的确是少有行标或国标,但可以参考上位法。 

除了《个人信息保护法》(下称《个保法》),像《消费者权益保护法》《广告法》也能直接约束运营商对个人信息的收集。例如《消费者权益保护法》规定,经营者未经消费者同意,不得向其发送商业性信息。 

但不难看出,这些法律对个人信息的要求比较笼统,针对的也多是短信、电话等传统服务。

目前能参考的两部行业性规定——一部是2013年的《电信和互联网用户个人信息保护规定》,一部是2015年的《通信短信息服务管理规定》。自《个保法》出台以来,都没有任何更新了。

拿《电信和互联网用户个人信息保护规定》来说,它属于“个保”概念诞生之前的产物,只规定了个人信息的收集、使用、储存,而2021年出台的《个保法》对加工、传输、提供、公开、删除等活动都作了详细处理要求。

《个保法》出台之后,还更细微地区分了用户的单独同意、默示同意,《通信短信息服务管理规定》则没有更新。2020年8月31日,工信部发布了该规定的新征求意见稿,将“同意”的标准上升为“明确同意”,但该征求意见稿一直没有实施。 

工信部在2022年也计划修改《电信和互联网用户个人信息保护规定》,而后不再有新的进展公开,公开资料显示,其属于“十项年内完成研究起草任务的项目。”

海量资讯、精准解读,尽在新浪财经APP

责任编辑:江钰涵