保障安全的“权利书”，还是窃取信息的“任意门”(3)

　　使用目的模糊、超范围收集和过度使用，侵害用户隐私。一些App在搜集信息时使用兜底条款，存在“包括但不限于”“例如”“为XXX需要获得用户的其他信息”“相关信息等”等扩大表述或笼统表述。这些未明示用户个人信息收集、使用目的，且表述笼统的协议，都为侵害隐私提供巨大空间。

　　此外，25款App隐私协议中包含很多与正当业务明显不相关的收集项，这也是侵犯隐私的重灾区。如地图导航类App必须授权的信息中出现通讯录权限，受访者表示：“地图需要定位是很合理的，但是它不止一次向我索要通讯录的内容”。

　　数据共享规范笼统，信息泄露风险高。吴女士和朋友用手机聊天时谈及希望近期去某地露营，竟然在几小时后就在多个购物App中反复收到山地露营用品的广告推送，甚至出现该风景区门票广告，“我查过，软件明确说明不会分析我的聊天内容，但我觉得App不仅读了，还分享给其他软件”，这让她感到震惊之余也分外担忧。

　　由于业务开展需要，很多App会与多方实现信息共享协作，企业往往会要求用户同意将信息提供给第三方，用户的个人信息在多个App之间辗转、共享，信息泄露风险难以预料。据调查，App隐私协议中存在对第三方对象表述不明（常见表述为“关联公司”“可信赖的第三方合作伙伴”等）、共享目的表述不明、共享信息范围表述不明等情况，概括性表述使企业在数据共享层面享有较大自由空间。

　　3.哪些因素“纵容”隐私协议侵害个人信息安全

　　针对个人信息保护的立法，仍存在难点和空白。目前我国的个人信息保护体系尚处在发展阶段，存在规定笼统、细节缺位的情况。立法往往对个人信息进行同质化、不加区分的保护，忽略各类App的行业特点。例如，美妆类App和电商类App在收集利用个人信息的范围及方式上存在显著差异，美妆类会涉及一些面目特征等生物信息，电商类则会要求更多的个人资信、支付权限等。

　　同时，个人信息缺乏分级的“一揽子”授权亟待细化。在一家高校任教的王先生曾被一次性授权“欺骗”过，在一次开通某阅读App月度会员后，他发现每月都有资费扣除，多次检查发现是第一次开通时，界面下方难以发现、默认勾选的“自动续费”，以及开启了免密支付，导致他在不知情的情况下被多次扣费。目前的“知情同意”制度虽然贯穿信息收集、处理、利用的全过程，但一次性的完全授权在开始使用App时即已完成。调查的150款App隐私协议中仅有22款说明了请求用户二次授权的场景。

　　监管权责分配还需继续完善。App监管涉及多个部门，“九龙治水”的分散式监管导致交叉分工，引发重复监管和监管缺位。此前成立的一些App专项治理工作组，以定期发布违法违规App名单的方式通知企业下架整改，这种非持续性的“运动式治理”，审查模式耗时长、应对慢、力度弱。同时，针对此类专项治理的新闻宣传力度不足，用户不进行主动查询很难获知App治理结果和隐私风险。

　　此外，行政部门的技术水准落后于市场总体水平，难以满足当前监管需求。一些App技术专业壁垒较高，监管部门在履职过程中，不乏因技术能力不足而陷入窘境的情况，自身监管能力受限。

　　统一的行业规范与合规指南尚未形成。调查发现，App隐私协议尚未在技术规范、配套服务等方面形成统一、严格的行业标准。隐私政策的规范性不足、各大应用商店的审查制度差异以及个人信息泄露等问题长期存在。不同行业或同行业不同体量的企业受经济规模和合规能力影响，制定的隐私协议具有显著差异。在150款App中，处理较多敏感信息的移动金融类App，隐私协议较市场平均水平更加完善。这种实力差异也反映在行业标准制定过程中，行业巨头利用其影响力参与制定，中小企业话语权不足。随着App数量愈发扩张，一套普遍适用于App隐私政策合规审查的操作指南亟待形成。