网站隐私政策被指霸王条款：只讲信息收集 不说承担责任

南都深度分析50家网站、APP对用户的隐私政策透明度，其中购物类得分普遍低

只讲信息收集权不说承担责任 网站隐私政策被指“霸王条款”

来源：南方都市报

几乎所有的互联网公司均宣称重视用户信息的保护。在一定程度上，隐私政策反映了该公司对于用户隐私的态度，但南都记者调查发现，多数互联网企业对隐私政策的重视程度并不高。本报此前曾作报道（详见《南方都市报》3月5日A 06—07版）。截至3月11日，南都记者查阅了50家网站和APP最新的隐私政策，并进行评分。结果显示，超过八成的隐私协议不及格，其中购物类网站和APP得分普遍较低。

有专家表示，对于很多互联网企业来说，隐私政策可能只是形式上必须有的要件而已。这与用户隐私保护意识不高有关，而一个深层次原因更在于，互联网企业往往将收集到的用户信息视为有商业发展空间的资源，而很少意识到其中应尽的安全保障义务。

A

企业声称可随时更新用户协议

购物类网站和APP得分最低

近日，南都记者随机选取了50家常见网站和APP，查阅了它们最新的隐私政策和用户协议，并设置标准进行评分。由于各个企业的隐私政策可能不时调整，因此需要说明此次采样截止时间为2017年3月11日。

参考相关法律法规以及个人隐私政策规定较为完善的互联网企业，南都记者拟定了10个评分项（包含45个小项），然后以每项满分5分，共计50分进行打分。具体评分标准如下：是否及时准确提供隐私政策；是否公布收集信息的种类手段和目的；是否公布如何使用个人信息；用户是否有选择权；是否明示用户信息可能被披露的情况；用户是否有修改信息的权利；隐性信息收集技术是否有说明；是否对数据安全管理进行说明；向第三方或关联方传输及共享信息是否说明；是否设置投诉和反馈机制。

值得说明的是，打分高的网站或A PP并不意味着其对公民的个人隐私具有较高的保护力度，而仅表示在个人隐私政策制定方面相对完善。

南都记者发现，有独立隐私政策的共有31家，存在于用户协议中有17家，完全没有关于隐私声明的有2家。其中标明隐私政策生效日期的有13家，仅占总数的26%。几乎所有的网站和A PP均称，可以随时更新用户协议和隐私政策。

如果以30分作为及格线，满足及格要求的仅有8家，将近半数（24家）的网站和A PP得分在20分及以下。

根据得分高低，南都记者汇总出了50家网站及A PP隐私政策透明度排行榜。其中，排名前五的分别是猫途鹰（41分），映客（40分），腾讯手机管家（39分），去哪儿网（34分），微信（33分）。评分最后三位的分别是，聚美优品（8分）、起点读书（8分）、当当网（7分）、天涯社区（7分）、超级手机管家（0分）、铃声大全（0分）。

在5类样本中，购物类的网站和APP得分普遍较低，平均得分仅有18.2分，在总排行榜的倒数十位中，仅购物类网站就有优购网、聚美优品、当当网3家。生活服务类网站和A PP总体得分最高，半数以上超过25分，平均得分为24.1。赶集网和智行火车票分别以10分和9分位列最后两名。在休闲娱乐类中，有3个并列第一，爱奇艺、优酷和酷狗的得分均为29分。得分不佳的则是喜马拉雅F M和起点读书，位列休闲娱乐类的倒数两名。社交类A PP平均得分为21.4，快手和天涯社区分别以11分和7分位列该门类的最后两位。在手机助手类中，超级手机助手和铃声大全没有隐私政策，用户协议中也并未有用户个人信息的相关条款，因此得分双双为零。

B

多方收集用户个人信息

包括用隐性信息收集技术

南都记者发现，网站和APP数据收集的范围过于宽泛。比如，阅读类A PP掌阅称，会获取有关用户曾使用的移动应用（APP）和其他软件的信息，如使用A ppleH ealth中的健康数据等。

那么，用户的个人信息是如何被收集的？从多家隐私政策公布的信息收集手段，南都记者了解到，除了用户主动提供和从第三方收集的方式外，互联网企业还会通过使用Cookie和网络信标等隐性信息收集技术获取用户信息。

何为C ookie？淘宝网在其隐私政策中进行了简单解释，即通过小型数据文件识别用户的身份，帮助用户省去重复输入注册信息的步骤，或者帮助判断用户的账户安全。这些数据文件可能是Cookie、FlashCookie，或用户的浏览器或关联应用程序提供的其他本地存储（统称“Cookie”）。简而言之，网站所存储的C ookies中可能包括用户的登陆账号、访问记录、访问偏好等，通过将Cookie存储在用户的电脑硬盘中，从而实现在下一次访问该网站时对用户的个性化推荐。

例如，根据猫途鹰的隐私政策解释，“当您访问某一网页，我们、我们的服务供应商或者我们的合作伙伴会自动设置一个Cookie，以便您在使用互联网时识别您的浏览器，并根据您的兴趣为您提供信息和广告。”

Cookies信息是否属于个人信息？浙江垦丁律师事务所（筹）联合创始人麻策律师告诉南都记者，关于个人信息的定义包括可用于单独或结合其他信息识别个人身份的信息。前者包括身份证号、手机号码等，后者则比如C ookies等，通过用户的点击行为、消费习惯，结合地理位置和IP地址等，从而推导出用户的身份。但对于C ookie算不算个人信息，目前法律上尚有争议。

经统计，在50家网站和A PP中，有24家在隐私协议中对隐性信息收集技术进行了说明。但其中只有部分会告知用户可以通过浏览器的工具栏关闭或禁用。

此外，南都记者发现，通过授权，A PP可获取用户的特定信息。以搜狗输入法为例，当南都记者开启使用时，手机系统出现“申请定位权限”、“开启通讯录”等提示。在搜狗的隐私协议中称，导入通讯录中的人名、联系方式等信息，是为了形成通讯录词库，实现快捷输入联系方式的功能。

南都记者还注意到，在启用搜狗和讯飞两款输入法时，均被要求“开启允许完全访问”。而在选择开启时，苹果系统提示此举“可让键盘的开发者传输任何您键入的内容，包括以前使用此键盘键入的内容。此操作可能包括敏感信息，如您的信用卡号或街道地址”。安卓系统则出现“注意”：此输入法会收集您输入的所有文字，包括密码和信息卡号等个人数据。它源自应用输入法。是否使用此输入法？

对此，讯飞输入法介绍称，苹果系统规定第三方输入法需要开启完全访问才能联网，与设置APP同步数据，以此可享受特效皮肤、按键音、表情包和斗图的功能。

一位业内人士告诉南都记者，理论上，输入法不需要联网，因为相关输入字符的链接规则都会完整存放于本地的程序包里，但在实际情况下，很多开发商为了个性化的体验升级，会让输入法软件收集一些用户使用方面的数据，并通过互联网上传，这时候，就要求用户开放权限了。

不过，这些相关权限设置及选择在用户协议和隐私政策中并未说明。

C

若出现数据泄露无补救说明

承诺保信息安全未明确责任

3月15日，《中华人民共和国民法总则》获十二届全国人大五次会议表决通过，自2017年10月1日起施行。中国民事法律制度从此开启“民法典时代”。南都记者注意到，民法总则明确要求“任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全”。

如何让用户放心使用网站和A PP？大多数隐私政策里均提到如何确保信息安全。智行火车票称，使用程序上和硬件技术上的安全策略来保护个人信息，包括程序加密，“防火墙”和SSL加密传输技术（目前存在的最高商业加密技术），还将定期严格地测试系统，并请资深信息安全公司来授权和完善安全系统和流程。

优酷则表示，对可能接触到用户信息的员工或外包人员也采取了严格管理，根据岗位的不同采取不同的权限控制，与他们签署保密协议，监控操作情况等措施。

美图公司相关负责人对南都记者介绍，公司服务器执行严格的权限访问控制，机房配备高级防火墙以及IDS、IPS设备，阻断外来攻击，同时配备专业的安全团队进行24小时安全应急响应，第一时间保护用户的隐私安全。

南都记者注意到，在50个样本中，有27家网站、A P P提到对未成年的信息保护，称未成年人使用服务之前，需征得监护人的同意和指导。其中3家，猫途鹰、名片全能王和优酷表示，如果不小心收集到了未成年人的信息，将在知情后会尽快删除。

关于未成年人的年龄界定，大多数网站及A PP限定为18岁。不过，对于如何判断未成年人身份，大部分未提及。

名片全能王在隐私协议中称，在未被明确告知的情况下，无法识别使用者是否确属未成年人。陌陌科技在隐私协议中称，任何18岁以下的未成年人注册账号或使用本服务应事先取得家长或其法定监护人（以下简称“监护人”）的书面同意，并表示将依赖用户提供的个人信息判断用户是否为未成年人。

关于用户提供的个人信息，多家公司表示并无核实义务。例如，蘑菇街在其隐私保护声明中表示，无须对任何用户的任何登记资料承担任何责任，包括但不限于鉴别、核实任何登记资料的真实性、正确性、完整性、适用性及/或是否为最新资料的责任。

南都记者发现，在各家隐私政策中，不少企业告知，互联网行业不可能始终保证百分之百的安全，用户应妥善保管自己的账号和密码。但当发生信息泄露情况时，对于是否通知受影响的用户，公布产生何种影响及补救措施、赔偿标准等，几乎都无相关规定。

此外，超过三分之二的隐私政策表示会与第三方分享信息，但如何约束第三方保护用户隐私，是否获得用户同意或授权方面并没有统一规定。如快手网在其服务条款和隐私政策中表示，快手网可能会与第三方合作向用户提供相关的网络服务，在此情况下，如该第三方同意承担与快手网同等的保护用户隐私的责任，则快手网有权将用户的注册资料等提供给该第三方，无需另行获得用户明确授权。

根据统计，仅有10家网站和A PP称，如与关联公司、合作伙伴以及第三方服务商、承包商及代理分享分享用户个人信息时，会要求接收方同样受到其隐私政策的约束，及遵守其他适当保密和安全措施。

只有名片全能王的隐私政策提到：“通过与第三方公司签订保密协议或在合同中设置保密条款等方式确保这些信息的安全使用。在用户使用相关服务过程中，该相关公司也将承担与我们同等的责任以保护信息安全。”

淘宝相关负责人告诉南都记者，对于第三方合作伙伴，公司会对其合规情况和技术能力进行必要审查。微信方面对南都记者表示，只有在征得用户同意或授权的情况下，才会向合作伙伴分享匿名化处理的数据，即只提供头像、名称，不涉及个人微信号等敏感信息。

值得一提的是，在隐私政策中，涉及企业应当承担责任的说明并不多。比如，几乎所有的隐私政策均没有约定如果出现数据泄露互联网公司应当担起何种责任。但是，在50家网站和A PP的隐私政策中，有23家中提到了免责说明。

3月11日，南都记者在苹果手机商店“赶集网”A PP介绍中，点击“客户隐私政策”链接到赶集网站的“免责声明”页面，其中提及：“尽管赶集网已做好了全面的安全防范措施后，以下情况仍然有可能发生，例如某一第三方躲过了我们的安全措施并进入我们的数据库，查找到你的简历。赶集网认为在你把你的简历放入我们的数据库时，你已经意识到了这种风险的存在，并同意承担这样的风险。对于因此而引起的任何法律纠纷，赶集网不承担任何法律责任。”

哔哩哔哩也在用户协议中称，会竭尽全力保护用户的信息，但不能确信或保证任何个人信息的安全性，用户须自己承担风险。

根据南都记者统计，在评分标准第八项“是否对数据安全管理进行说明”，50家网站及A P P平均得分0.84，尚不足1分，仅有2家得到5分。

在三个评分小项中，概述用户信息保护政策，以及使用的保障信息安全的方法；如果网络运营者发现信息泄露，是否及时通知受到影响的用户；是否公布，可能对用户产生何种影响，以及采取哪些措施进行补救，多数网站和A PP在后两小项的得分为零。

南都记者发现，在所有隐私政策里，只有名片全能王单独设置条款对这两项作出说明。其隐私政策第十四条《泄密行为的救济》称，“如果您发现您的个人信息已经或可能遭到泄露，请及时通知我们。我们会尽最大努力采取合理措施提供协助。如果我们发现任何可能的安全风险（例如系统漏洞），我们可能通过注册邮箱联络您，或在网站发布警示信息或公告。”

D

隐私协议晦涩难懂语焉不详

企业“一揽子”打包自身权利

南都记者采访了解到，很多人表示平日下载A PP、注册网站会员时，基本没点击阅读过隐私政策。理由是看与不看没差别，因为不点选同意，用户便无法使用服务，而且使用了网站和A pp的行为即被视为对用户协议和隐私声明内容的全部认可和充分理解。

即便有耐心阅读长达数页的隐私协议，但面对专业的法律术语和条款，用户也可能不明所以。据四川大学网络空间安全研究院特聘研究员洪延青介绍，国内互联网企业设计的用户协议存在拐弯抹角、晦涩难懂、语焉不详等问题。

对此，他建议，从用户角度来说，互联网企业应该在隐私声明的开始，进行梗概和摘要介绍，让用户能了解整个政策的全文结构，以便轻易能找到自己关注的条款。

据了解，在国外，Facebook为了更好地向用户解释如何保护自我隐私，就曾开发全新页面，试图放弃艰深的法律术语，代之以一种个人化的交流风格和互动方式，条分缕析，一清二楚。eB ay易趣则在网站上提供隐私政策的完整版和精简版，供用户选择。

南都记者在阅读了50家网站和A PP的隐私政策后，发现有些更像“一边倒”的协议。协议中，关于互联网公司与个人的权利与义务存在不对等的现象。网站和A PP可以宽泛收集个人信息，并且与第三方共享，但对于保障信息安全的责任和义务并未明晰，用户被赋予的选择权也往往较低。

在网站和A PP的隐私协议中，几乎互联网企业没有提到使用用户个人信息的期限。在评分第六项“是否赋予用户查询、更正、删除信息权”中，有三成网站和A PP此项得分为零，总体平均分为1.62。只有少数网站、A PP向用户提供收回、更改、删除信息的权利。但即便规定了用户的“删除权”，对于如何操作和执行并没有明确规定，仅有16家留下具体的联系方式，联系方式主要为邮箱或通信地址。

麻策律师曾对许多国内大型互联网企业的用户协议和隐私政策进行研究，他告诉南都记者，互联网企业的隐私政策多使用格式条款，对用户的各类信息进行“一揽子”打包，赋予企业进行收集、取得的权利，撇除自己的责任，限制用户权利。即便互联网企业在隐私政策里写了用户允许、接受，“在实践中很容易被法院认定为霸王条款，被无效掉”。

据洪延青介绍，无论是《网络安全法》还是《消费者权益保护法》，都要求企业“公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意”。在被收集者选择同意之后，企业与其形成的“双方约定”，就具有非常强的约束力：一是“网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息”，二是在违反双方的约定时，个人可以要求删除其个人信息。

南都记者发现，在绝大多数网站和A PP的隐私政策开头均会提及，“非常重视用户信息和保护”，或“尊重并承诺保护您的隐私”。其中360手机卫士称，非常感谢用户的信任，而建立这份信任的基础是透明。

洪延青表示：“隐私政策说到底，是互联网企业争取用户信任的重要表态和承诺。要赢得一个人的信任，无非就是合法合规，透明公开，说到做到。”他建议，企业应向用户明白、清晰、完整地告知收集信息的范围、收集方式、使用目的，存储期限和共享对象，披露的场景等，“让用户首先对企业如何收集和使用自己的个人信息心中有数，随后在实际操作中，别让用户感到出乎意料”。