新疆农业大学国际教育学院 许静儿，谢娴，张睿佳，梁振邦，韩昱

反思现今各大App已经渗透了各个领域，给生活、工作、习惯带来了翻天覆地的变化。它的多样化面面俱到地满足了人们的需求，但个人信息却在眼皮底下不胫而走的现象频发。尽管通过对《中华人民共和国个人信息保护法》不断修改，取得的成效却不尽人意。网络运营商仍会利用漏洞在用户隐私协议上“做手脚”。为此，《关键信息基础设施安全保护条例》的实施将为网络空间的个人信息安全带来全新的展望。

一、研究背景

互联网时代下数字经济不断发展，个人信息以数据的方式呈现，在网络空间中流通。国家推进互联网、实体经济、大数据和人工智能深度融合是一把双刃剑[1]。一方面，在国民生产生活和国家经济发展中发挥了不可忽视的作用，尤其是在这次的新型冠状病毒疫情中，各地方政府开通应用软件（以下简称App）掌握了本地区的居民的行程信息，能够在发现新增病例时及时找到源头，控制疫情扩散，“中国速度”得以体现得淋漓尽致；另一方面，在此过程中用户个人信息泄露的风险不断地升级。例如滴滴出行App存在违法违规收集使用用户的隐私信息被责令下架。而用户隐私协议作为网络空间中个人信息的一张通行许可证，它的合规性显得尤为重要。

2021年10月18日，习近平总书记对关键信息基础设施安全保护给出重要指示。自从党的十八大以来，党中央对发展数字经济的重视程度越来越高，强调对网络个人信息的安全意识和国际环境复杂多变导致网络空间的安全隐患频发。为了保障国家的网络空间的主权，国务院正式公布了《关键信息基础设施安全保护条例》（以下简称《条例》)[2]。对维护用户的合法权益、规范网络运营者的行为和提升中国的国际竞争力具有重大的意义。App的网络运营商需要根据《条例》对涉及用户个人信息的相关内容进行整改。可见，隐私协议进行合规性调整是大势所趋。

隐私协议是典型的格式条款，是网络运营商为了与不特定多数人进行交易而预先拟定的，一般情况下不允许用户对其内容做任何变更的条款。在此基础上隐私协议具有节省时间、提高效率、降低成本和精简缔约过程的优势。但也存在着一定缺陷。由于网络运营商是隐私协议拟定方，往往利用自己的优势地位，制定有利于自己而不利于用户的条款。要求对其从以下三个方面加以限制：第一，公平拟制即网络运营商经多次听取用户的意见，根据意见进行多次修改；第二，网络运营商需主动承担提醒义务，主动请用户注意阅读隐私协议条款；第三，网络运营商应履行说明义务，根据用户的要求，对其不理解的地方进行详细阐述。《民法典》第497条第二款规定“提供格式合同一方不合理地免除或者减轻其责任、加重对方责任、限制对方主要权利该条款无效。”说明网络运营商在制定隐私协议时要注意双方的权利义务关系的平等。2021年8月21日修改的《中华人民共和国个人信息保护法》规定“处理个人信息应当遵循合法正当必要和诚信原则、具有明确合理的目的、限于实现处理目的的最小范围、公开透明原则、对用户个人信息处理活动负责。”值得注意的是，我国在互联网时代下关于隐私协议中的被遗忘权的学术研究相对薄弱。在中国知网输入关键词“被遗忘权”进行检索，可以发现2013～2020年间文章数分别为1、20、37、54、77、114、124 和 98篇。这说明从2014年开始才陆续有了对被遗忘权的关注，2018年开始是研究的高峰时段，人们对于被遗忘权的认知不断加强。但以“互联网时代下的被遗忘权”为关键词在中国知网进行检索共有41篇，以“隐私协议中的被遗忘权”进行关键词检索仅有1篇。由此可见人们对于该问题的关注度有待提高。在调查过程中，大部分用户对于何为被遗忘权感到陌生（见表1）。这可能会导致用户的被遗忘权利正在被侵犯时他们浑然不觉，对此设立再严密的法律保障也无济于事。因此，增强人们对于隐私协议中被遗忘权的权利意识刻不容缓。本文以用户隐私协议作为研究对象。从隐私协议的表现形式和条款内容进行分析，着重点放在用户的被遗忘权即在用户注销账户或App停止运营后处理个人隐私信息的方式，发现其存在对隐私安全的潜在风险。

表1 被遗忘权是当用户撤回同意隐私条款时，有权要求应用软件删除所有的个人信息。您是否在卸载应用软件时确认其删除了自己的隐私信息？

二、样本选择

在互联网的背景之下，各个领域都步入智能化。App作为互联网时代的产物开发数量呈上升趋势，手机应用商店的App更新频繁，用户接受到的信息过多，注意力极易被分散。无法对每个App都给予同等的关注度，只能对自己生活中经常使用的App给予重视，该现象称为“有限注意力效应”，这要求对数量庞大的App进行分类。根据互联网络信息中心（CNNIC）2021年6月发布的第48次《中国互联网络发展状况统计报告》，将APP移动应用分为基础应用类（即时通信、搜索引擎、网络新闻、在线办公），商务交易类（在线旅游预定、网络支付、网络购物、网上外卖），网络娱乐类（网络视频、网络游戏），公共服务类（网约车、在线教育、在线医疗）这四个大类。而下载量最多的软件更能说明用户对它们的需求度更高。因此，本研究将选取各个类别中具有代表性的APP中的用户隐私进行分析。

三、隐私协议分析

（一）设置位置不醒目

在隐私协议设的位置方面，首先四款App在点击“我”-“设置”-“隐私”中都附有合理的版块布局让用户管理个人信息。除抖音外，其它三款App在此版页内都可直接查看隐私协议内容。其次钉钉、抖音和支付宝都设置了相应的栏目放置隐私协议。而微信表现逊色于其它三个APP，在点击了“关于微信”之后，其隐私保护协议并没有像其它三个APP一样设单独的栏目，而是在最底下不显眼的位置，且字体较于选择栏中的小。若是用户不仔细查找，很容易忽略《隐私保护指引》的存在。

（二）展示方式单一

《中华人民共和国个人信息保护法》第17条“个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知。”四个APP在展示隐私协议的方式上都有待提高（见表二）。普遍存在文章冗长和排版密集问题，用户本就对于上千字的阅读产生恐惧，虽然有小标题，但字体较小，通篇无插图、视频等视觉元素，很难抓住用户阅读的注意力。根据调查显示大多数用户较为认同文本冗长导致阅读困难，鉴于隐私协议乏味难懂的问题，网络运营商可以尝试推出以图文并茂或短视频的形式展示隐私协议条款内容，使用户更加直观地理解协议内容。可以肯定的是四个App均会对较为晦涩难懂或专业性较强的词语进行解释，这在一定程度上缓解了用户的阅读负担。

表2 在阅读隐私协议时遇到的障碍

（三）履行提醒义务

在网络运营商提醒义务的履行上，在《条例》开始实行后，四款App都在开头段落提醒用户注意字体加粗的字段、需要重点阅读的条款以及警示用户在阅读过程中应保持谨慎的态度，用户能够去注意到相关的内容，减少出现用户不知情其个人信息已被使用的状况，凸显了加粗信息在隐私保护中的重要地位以及微信运营商对这些信息的重视。

（四）用户权利易被忽略/加重用户的义务

要求网络运营者公平拟制即经多次听取用户的意见，根据这些意见进行多次修改。在《民法典》第497条第2款“提供格式合同一方不合理地免除或者减轻其责任、加重对方责任、限制对方主要权利该条款无效。”抖音、钉钉在隐私协议中的目录里“用户权利”并进行相应的阐述。可以使用户在享受其服务中具备权利意识，不被网络运营商“牵着鼻子走”。反观，用户若未同意全部条款则不得下载微信，没有给用户提供相应的途径，在急需使用微信网络服务时用户处于不利地位并不公平。在支付宝中用户的权利被淡化。

（五）被遗忘权缺乏保障

网络运营者应当主动承担提醒义务，主动请用户注意个人信息的处理情况。四款App在用户撤回同意授权、保存期届满或服务发生停止运营时，都将以推送通知或公告等形式让用户知道，并在合理期限内删除用户的个人信息或进行匿名化处理。但是并无明确界定合理期限是多少天，用户缺乏确认自己的个人信息是否真正被删除的途径，是否会以匿名化形式继续保存，这些用户无法得知。支付宝、抖音和钉钉存在例外情况即个人隐私信息并不会完全删除，适用法律和安全技术限制的无法立即从备份中删除。未说明谁会接手这些信息？是否告知用户备份彻底删除的具体期限或被彻底从备份中删除时会不会告知用户？在调查结果中发现绝大多数的用户并不了解自己具有被遗忘权（见表一），而App在彻底删除所有个人信息上也没有落实到位。用户的被遗忘权得到进一步保障还有提升的空间。

（六）反馈机制回应时间较长

网络运营者应当履行说明义务，对用户不理解的条款细节之处进行详细阐述。若用户不同意隐私协议中的某些条款产生疑惑、个人信息相关的事宜存有疑问、投诉或建议时，网络运营者应当提供相应的渠道和用户及时沟通。四款App都设有反馈渠道，其中支付宝提供了官方热线和在线客服两种；微信提供了在线客服、官方网站和电子邮箱三种；钉钉提供了客服热线，在线智能客服、邮寄地址和电子邮箱四种；抖音提供了邮寄地址和电子邮箱两种。除支付宝未表明回馈期限之外，微信、抖音和钉钉的回复时间都为15个工作日以内。但支付宝的亮点在于它设有官方热线专门为用户提供隐私协议中的条款答疑解惑。在当今的时代背景下，信息流通速度快，用户对隐私协议产生疑问时往往需要得到及时的答复以防个人信息被不正当使用。若答复期限都在15个工作日内，用户可能存在缺乏耐心直接使用App服务的情况，导致个人信息存在安全隐患。这三款App可以去寻求缩短时限的方式。而支付宝的做法在四款App中较为出彩，用户可以直接拨打官方热线了解详情。这样可以让用户准确了解协议内容。四款App在用户不满意回复或认为自己的合法权益受到侵害的情况下，可以向该App所在地区的法院提起诉讼。此外，微信和钉钉明确设立个人信息专职保护部门。这些举措对用户的个人信息都加了一把锁。

（七）被动应对Cookie技术的风险

我国Cookie技术的应用随着互联网时代不断普及，但由于法律的滞后性，APP运营商对该技术操作的不娴熟以及用户对该技术的不熟悉使隐私信息在Cookie技术的应用下存在泄露的风险。钉钉、支付宝和抖音中对于Cookie技术的介绍只包含其定义和用途，对于使用Cookie技术潜在的风险并未有所描述。用户可能对Cookie技术不设防。用户虽然可以控制对Cookie的接受程度，却缺乏相关的隐私条款对Cookie技术带来的风险提前预防。若是网络运营者事先采取保护措施，增强用户对于Cookie技术应有的意识，将被动面对风险化为主动，可以更好地提升对用户隐私信息保护的有效性。

（八）未完全实现处理目的的最小范围

最新修改的《中华人民共和国个人信息保护法》规定“处理个人信息应当遵循合法正当必要和诚信原则、具有明确合理的目的、限于实现处理目的的最小范围、公开透明原则、对用户个人信息处理活动负责。”在个人信息的授权、发生部分或全部服务转交给其关联主体运营或履行、发生合并、分立、收购、资产转让等时，四款App都会向用户说明使用目的，并获取用户的同意或明示同意才采取下一步行动。仍存在潜在的问题是四款App虽有保存期届满删除的承诺，但在完成相关服务之后，未明确若发生服务使用完毕却未到期限的空档期，并未阐述这些个人信息是否会默认关闭授权或者是弹窗询问用户是否继续授权这些个人信息。

四、《条例》对个人信息保护的完善

2021年11月1日《条例》正式开始实行。它是中国在2016年11月7日出台的《中华人民共和国网络安全法》在个人信息保护方面的进一步完善。它是国家立足于实践工作中不断探究，尝试寻求在数字经济发展和用户隐私信息保护之间的制衡点。在开启中国法治社会下个人信息保护“铁伞”具有深远的意义。具有以下的几个革新之处：

（一）不同领域划分标准

不同的领域提供的产品或服务都存在或多或少的差异，尤其是在网络支付、在线医疗等领域对其制定统一的个人信息保护的相关制度，给予它们一篮子的保护目标和措施都是不可取的。《条例》第四章“保障和促进”中，保护工作部门会依据不同行业、不同领域的实际状况、安全态势、显著特征去制定符合它们的安全措施、安全目标和安全检测预警机制等。各个App能够在保护工作部门个性化的规划下充分发挥主观能动性，在确保用户个人信息安全的基础上给App创新发展的舞台。

（二）建立和完善个人信息保护监管体制

在《条例》颁布之前，国家网信部门负责隐私信息保护监管，且工作重心主要是针对国家的数据安全。在此之前，关于个人信息保护监管体制几乎空白。各个App的隐私协议大都具有合同生效的形式要件，但是实质要件却频有缺口。据此发生的个人信息外泄、超出用户授权使用的目的、为个人利益分享用户信息等等危及个人信息安全事件不胜枚举。《条例》在总则部分第三条制定了合理严谨的监管体制。在中央层面上，国家网信部门站在宏观角度统筹全局，公安部门负责指导和监督，电信主管部门和其它有关部门相互配合进行个人信息保护和监督管理工作。在地方层面上，省级人民政府有关部门担负起个人信息保护和监督管理工作。在企业层面，App设有专门安全管理机构对用户个人信息进行安全监测。当用户发生撤回同意授权、注销账户和App服务发生停止运营的情形，政府部门会介入对网络运营商在个人信息的安全处理问题上层层把关。在此监管体制的实施下，用户的被遗忘权可以得到保障。App也会完善获取用户信息在完成相应服务之后采取合理措施，为达到法律规定的处理目的的最小范围。

（三）突出网络运营者的责任

网络运营者是用户个人信息的第一经手人，在个人信息的保护工作中占着有分量的一席之地。第一，在《条例》第三章可以得出运营者的主要负责人对个人信息安全保护负总责，强调了其在个人信息保护上的义务。第二，运营者应当设置专门安全管理机构并对其负责人和关键岗位人员进行安全背景审查。从“应当”二字可以感受到国家公权力对此的强制性。对相关人员的背景审查可以体现立法者的目的是为了优化App内部可以直接接触到用户信息的员工。第三，专门安全管理机构去落实具体的个人信息安全保护工作，其中开展网络安全监测、检测和风险评估以及定期开展应急演练能够及时发现安全威胁并攻克，若有需要国家相关部门会及时提供技术支持和帮助。例如若运营商对防范Cookie技术带来的风险不知如何着手、缺乏科学合理的方案，可以寻求相关政府部门的协助。当现实危急状况发生时App能够从容应对达到损失最小化的效果。第四。在有与第三方分享用户个人信息的必要时，网络运营者应当明确第三方的技术支持并签订安全保密协议，在运行过程中对其安全保密义务与责任的履行情况实时监测，确保用户的个人信息无被过度利用。相信在出现前文个人信息共享的例外情况App也能够处理妥当。

（四）明确违法行为的法律责任

在个人信息保护法规的完善下，违法违规行为予以的处罚也不可或缺。《条例》第47条规定了若发生重大或特别重大网络安全事件，除应当对网络运营者依法予以追究责任外，还应查明相关网络安全服务机构和有关部门的责任追究其相应的责任。追究相关政府部门的责任属于新增规定，填补了相关政府部门的违法行为对用户造成损害却无处追责的漏洞。让试图从泄露或出售用户个人信息获得利益的不法分子和各个部门或机构的工作人员敲响了警钟。

五、《条例》之下现存问题

《条例》的出台给个人信息保护法带来全新的气象，尽管如此，还需继续细细推敲。从社会角度上看，第一应该加强相关方面的普法教育，在学校、社区中展开宣传侧重于介绍被遗忘权和隐私信息泄漏带来的危害，提高公民在阅读隐私协议时对于个人信息保护的警觉性和权利意识。培养公民学会运用《条例》的相关规范在权益遭受侵害时捍卫自己的利益。第二在不断完善个人信息保护法律法规的同时，也应该对其制定的隐私协议的外在表现形式进行规范，使其呈现出易于用户理解和阅读的版面，否则在有阅读障碍的干扰之下难以避免用户忽略部分信息，即使提高用户的法律意识也是徒劳。从网络运营者角度上看，应该尽快建立回应及时的用户反馈机制，注重用户的评价对完善企业的隐私协议的合规性有着举足轻重的借鉴意义，是运营商充分履行个人信息保护义务和责任的体现。从用户的角度上看，需要积极地配合相关机构和政府部门的个人信息安全保护工作，主动地反映所使用App的隐私协议中不合规条款，对不予配合或妨碍实施的可以考虑予以惩戒。

六、结语

在 App给生活的方方面面带来便利快捷的同时，隐私协议合规性问题泛滥，个人信息保护问题不容乐观。但《条例》的到来给网络空间的个人信息安全带来了福音，各App根据其对隐私协议进行不断地修改，绝大部分合规和个人信息安全问题得以缓解，也应注意还未扫除的隐患。