短视频隐私协议的合规审查及修改完善

2020-05-28 09:40王丹雷丽莉
新媒体研究 2020年7期
关键词:隐私保护短视频个人信息

王丹 雷丽莉

摘  要  隐私协议是用户控制个人信息被收集、存储、使用的重要工具,其可以提前告知用户信息的使用,用户可自行选择信息的可见范畴,从而提高用户的信任,缓解用户的隐私担忧。隐私协议在用户隐私保护过程中起着关键性作用。文章以快手、抖音、快视频的隐私协议为样本,从隐私协议的内容完整性、可读性和用户参与度三方面对这3款短视频App的隐私协议进行了内容分析,发现这3款短视频的隐私协议总体框架较为完善,但具体内容并不精细,内容不完整、可读性差、用户参与度不高等问题,针对这些问题提出了要遵照相关法律法规及时更新完善隐私协议,考虑用户的认知水平撰写文本内容,及时更新加强用户参与度的建议。

关键词  短视频;个人信息;隐私保护;隐私协议

1  研究背景

随着万物互联时代的到来,个人信息处理方式逐渐数据化,这为大众提供便捷生活的同时,也带来了隐私泄露的风险。要解决隐私泄露问题就需要加强对用户数据及个人信息的管理与保护,于是隐私协议的制定成为弥补数据泄露的关键一环。这与保罗·莱文森补救性媒介理论不谋而合,利用新技术弥补已有技术的不足。

那么什么是隐私协议?隐私协议,是网络运营商与用户个人之间针对使用产品和服务中心如何处理用户个人信息所达成的法律协议,其中明确规定了用户个人信息如何被收集、使用、处理,用户个人作为数据主体所享有的权利及其行使方式、企业承担的数据保护义务等一系列基本内容。隐私协议是用户控制个人信息被收集、存储、使用的重要工具,它可以提前告知用户信息的使用,用户可自行选择信息的可见范畴,从而提高用户信任,缓解用户隐私担忧。

良好的隐私协议是实现隐私保护的重要途径,但现实生活中大多隐私协议存在未贯彻“信息收集范围最小化、收集方式公开化、使用目的合理化”原则、隐私协议中包含的用户隐私保护机制不完善、与第三方合作无明显标识缺乏业务公示等问题,这些造了成网络运营商与用户的地位不对等,用户缺乏自主选择权的境况。基于此,规范隐私协议内容成为用户隐私保护的基础。

根据CNNIC发布的《第44次中国互联网络发展统计报告》,短视频用户规模为6.48亿,占总体网民的75.8%[1]。作为网民使用率高的App,短视频承载了大量的用户隐私,但目前对短视频App隐私协议的研究并不多见,因此本文将短视频隐私协议作为研究对象,对隐私协议进行内容分析,为隐私协议的修改完善提供参考,为用户的隐私保护提供保障。

2  样本选择及维度划分

2.1  样本选择

对于用户而言,搜尋移动应用和处理使用移动应用的能力是有限的,其不可能搜集、使用应用商店中所有应用的信息,而只能重点关注几个应用的信息,即存在“有限关注”。本研究将在“有限关注度”的基础上进行样本选择。

Talking data移动应用排名前50名中仅有快手、抖音两款短视频App,快手、抖音用户庞大,本研究将这两款App纳入研究对象。其次快视频是360旗下的一款短视频,曾出现过盗取用户隐私的问题。本文也将其列入研究对象。

2.2  维度划分

朱侯等学者提出“文本内容与呈现方式能够正向影响用户对隐私协议的关注与阅读,内容足够完整、可读性强会有效地促进用户对隐私协议的关注与阅读”[2]。2020年3月6日新修改的国家标准《个人信息 个人信息安全规范》提出“个人信息保护需遵循选择同意、最小必要、公开透明、主体参与等原则”,说明在公开收集个人信息的同时需要得到用户的同意,保障用户的感知度和参与度。从以上研究及标准中可以推测出内容是否完整、文本内容是否可读、用户参与度和感知度高不高是隐私协议设计的重要元素。

此外,笔者对731名短视频用户做了隐私协议的认知调查,将13个测量项目进行因子分析后提取出了3个因子,基本与前述研究及标准得出的维度一致。

因此,本文将内容完整性、可读性和用户参与度作为分析隐私协议的维度划分。各个维度具体指标将参考《网络安全法》、信息安全技术 个人信息安全规范》《App违法违规收集使用个人信息行为认定方法(征求意见稿)》中对隐私协议的规定,再结合笔者对隐私协议的总结,最终确定类目建构。

3  隐私协议的内容分析

3.1  内容体系不完整

为了保护个人信息,我国目前已开展了多项执法监管和专项整治活动,发布了多部指南和规范(包括草案和征求意见稿),分别从用户信息的收集、保存、共享、使用、转让、委托处理等各环节提出了相应要求,将隐私协议标准化,平台责任规定化,但目前短视频App隐私协议仍存在内容体系不完整的问题。

1)运营者情况不明确。《个人信息安全规范》中明确要求“个人信息控制者应制定隐私协议,内容应包括但不限于:个人信息控制者的基本情况,包括注册名称、注册地址、常用办公地点和相关负责人的联系方式等”,但在这3款短视频隐私协议中都未提到这一点,即使是在用户注册服务协议中都并没有看到关于个人信息控制者情况的介绍,快手、抖音只提及其公司名称。

2)免责声明。个人信息控制者不应在用户协议、服务协议、隐私协议的文本中出现免除自身责任、加重用户责任、排除用户权利的条款。虽然3款短视频隐私协议均未出现免责声明,但仍存在不合理的内容,如“一旦您开始使用快视频,即表示您已充分理解并同意本政策,并同意我们按照本隐私协议收集、使用、储存和分享您的相关信息”,此类使用即同意条款,违背了明示同意的原则。

3)信息收集与使用模糊。对收集的信息类型,仅有抖音逐项列举,快手仅对直接收集的信息进行列举,未列出间接收集的信息,而快视频对收集信息的类型采用概括性的语言,并未逐项列举,且收集的个人信息也没完全与自身的业务功能一一对应,仅仅在“基于特定目的收集的个人信息如用于其他用途是否再次征得用户同意”这条符合规定。

4)缺乏cookie及同类技术关闭指引。cookie及同类技术的使用,能够保存用户的网络使用痕迹、密码保存、身份识别等基本信息,在给用户使用带来便捷的同时也会对用户的隐私造成威胁。这3款隐私协议中,快手相对较好,明确告知了用户使用cookie及同类技术的种类、使用技术的相关功能、cookie及同类技术将如何收集个人信息以及用户拒绝该技术的操作指引,抖音仅仅提到该技术提供的服务,快视频未谈及此部分。

5)第三方合作模糊。快手、快视频与关联方、第三方共享信息時,并未告知用户信息共享的主体,使用户处于“未知安全”的处境中。值得一提的是抖音对于关联方和第三合作方做了逐项列举,与第三方的合作服务也以超链接的方式附在文本内容中,同时抖音对平台广告推送进行了单独阐述,并以超链接的方式给提供是否“关闭程序化广告展示设置”,还可以自主选择控制个性化推荐信息,这完全符合《工业和信息化部关于开展App侵害用户权益转向整治工作的通知》的规定,即用户有权拒绝接受平台的定向推送和精准营销,且平台需要提供关闭该功能的选项[3]。

6)未成年人保护不到位。《信息安全技术个人信息安全规范》规定“收集年满14周岁的未成年人的个人信息,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意。”[4]3款短视频平台明确表示要对未成年人采取保护,但并未区分14周岁以下、14周岁以上两类未成年人的信息保护,保护形式大于措施。就保护行为而言,仅有快手、抖音有相应的举措。快手为未成年人开启青少年模式,抖音对未成年人的保护分3个层次:一是时间锁;二是青少年模式,每次登录时都会以弹窗的形式出现;三是亲子平台功能,且专门设有《抖音亲子平台服务协议》,通过监护人申请,对未成年人账号使用时长和内容进行限制。

7)应急预案重视程度不高。《网络安全法》第二十五条规定网络运营者应当制定网络安全事件应急预案,《信息安全技术个人信息安全规范》规定平台每年至少组织一次应急演练。虽然3款隐私协议均提及了网络安全事件的应急预案,但具体的应急内容并未显示,只是笼统的告知平台对网络安全事件有应急预备并会以各种形式告知用户。总之,三大平台对应急预案重视程度不高,并未做出完整的应急预案内容。

3.2  专业性强,可读性差

隐私协议的可读性依赖于隐私协议的可视化呈现,文本内容的可视化主要包含篇章结构、文本词汇特征、句法特征。阅读载体的变化也使得文本内容可视化增加了新的内涵,屏幕阅读的排版分布也是重要的衡量指标。

1)位置不易查找。《个人信息安全规范》2.0第5、6节d项规定,隐私协议应公开发布且易于访问,例如在网页、App首页等显著位置设置链接。快手的隐私协议没有单独列出,而是隐藏于“关于我们”中;快视频网页版未设置隐私协议的链接,在360企业名下《360隐私保护白皮书》中也并未找到隐私协议文本。在点击次数上,3款平台均需要点击4次及以上,才能到达隐私协议的界面。隐私协议的独立性是影响隐私协议可读性的重要因素,若用户都无法找到隐私文本,如何提高其隐私协议的易用性,前述调查中52.2%的用户认为“隐私协议入口不易被找到”也证实了问题的存在

2)文本呈现不清晰。在文本字数上,快手、抖音已超过了1万字,内容繁多,即便列出三四十个小标题,用户也很难坚持阅读。前言导读能够让用户第一时间了解该文本向用户传达的信息,但3款App隐私协议中仅有抖音有导读,快手、快视频这两款隐私协议只将目录列出。

3)隐私协议专业术语多。三者均缺乏对关键术语的解释,仅抖音在开篇对个人信息、个人敏感信息进行了界定。快视频的隐私协议文本未对“个人敏感信息”等关键词进行解释,没有明确的界限容易模糊权利和义务。这就可以用来解释快视频平台虽然承认部分账号存在未经原创作者授权,私自搬用其内容,甚至冒用其头像及ID的行为,但否认存在盗取隐私的行为。

“内容晦涩难懂、冗长繁琐”属于没有明示收集使用个人信息的目的、方式和范围的情形。前期调查中有55.4%的用户认为隐私协议中缺乏对专业术语的解释,内容分析时也证实了这3款隐私协议未对关键词进行解释,这不仅违背了隐私协议的制定原则,还提高了用户的阅读门槛,不利于用户保护个人信息。

3.3  用户参与度不强

隐私条款是用户保护个人信息的渠道,网络运营商应搭建与用户沟通的桥梁,增强用户对隐私保护政策的感知度与参与度,实现平等对话。本部分从隐私协议查阅、用户参与、反馈渠道三个维度对隐私协议的用户感知度进行分析。

1)更新不及时,通知方式单一。后期查阅上,3款短视频均可通过主页设置中找到隐私协议文本,但更新后是否提示,3款短视频做法并不佳。快手于2019年11月8日更新隐私协议,笔者对几名资深快手用户进行咨询,发现从更新到现在快手均未收到平台提示用户隐私协议更新查看的消息。抖音于2018年10月31日、2019年8月12日更新隐私协议,笔者室友作为抖音资深用户,在使用期间注意到有隐私协议更新的提示。快视频于2018年4月27日更新,由于快视频用户较少,更新时间距离较远,无从得知是否有提示更新的程序。

2)用户无信息收集选择权。初次下载软件时,3款短视频App均会主动弹出阅读用户隐私协议的提示,但快手、快视频均需选择“同意并继续”才能够继续访问短视频主页,也就是说快手、快视频均为使用即同意,用户面临“霍尔森选择”,属于强制采集用户信息。抖音出现提示隐私协议提示时仅需选择“好的”即可,可继续观看主页视频,但在注册登录时会出现勾选“已阅读并同意用户协议和隐私协议以及《中国移动认证服务条款》选项”,捆绑中国移动服务协议,属于捆绑采集用户信息范畴。强制采集、捆绑采集都违背了《网络安全法》的授权同意原则。

3)反馈渠道不畅通。《电子商务法》第五十九条规定,电子商务经营者应当建立便捷、有效的投诉、举报机制,公开投诉、举报方式等信息,及时受理并处理投诉、举报①。但3款短视频平台存在反馈渠道单一,互动性差的问题。隐私协议中仅留有电子邮件和通讯地址,用户对个人信息保护的投诉建议疑问反馈周期长。当前短视频“短频快”的特点并未贯彻到后期的反馈渠道中,如果平台能够建立合理的反馈沟通机制,减少沟通困难,畅通反馈渠道,提高接受反馈的效率,缩短沟通链条,使用户有被重视的感觉,从而提高用户与平台的黏性,加强用户对平台的信任,构建一种相对稳定的用户关系。

4  隐私协议改进策略

4.1  完善隐私协议条款

网络运营商应重视隐私协议内容完整性,以国家标准为指导,遵循“权责一致、目的明确、选择同意、最少够用、公开透明、确保安全、主体参与”原则,对隐私协议进行时时更新完善,抵制霍尔森选择,增强其隐私协议的实用性。

用户信息保护应包含个人信息流动的全过程,全面贯彻国家标准,夯实政策细节,提高可操作性。隐私协议内容应补齐运营者情况,虚心接受用户的监督;信息收集使用要明确直接收集、间接收集的信息类型,逐项列举所需信息并与功能一一对应,公开披露关联方和第三合作方,将共享合作的内容附于隐私协议中;允许用户选择“定向推送和精准营销”功能;增加对cookie和同类技术的解释,告知用户相应的功能和服务,写明拒绝该项服务的操作指引;做好网络安全事件的应急预案,将应急内容细化,使应急准备和应急管理有法可依,有章可循。

进行个性化服务和精准营销时,要注意避免“信息茧房”的出现,积极开发纠偏技术和优化算法机制,破除信息窄化屏障。《华尔街日报》的“红推送”“蓝推送”是纠偏技术的典型运用,用于帮助用户平衡、多元化其新闻消费。人民日报客户端的主流算法技术的开发也利于正向价值内容的传播,利于社会整合。

同时,在信息收集和使用方面还可根据不同用户的接受程度,建立隐私协议协商机制,将网络运营商请求获取的用户信息与用户的隐私偏好进行比较与商讨,最终达成一致的信息收集使用行为。

网络用户的低龄化,隐私协议要特别加强对未成年人信息保护,除却指出要在监护人的指导下使用外,还需明确列出保护规则和惩戒原则。未成年人作为法律上特殊的保护主体,其在使用互联网平台上的信息自然要与成年人进行分类保护,且隐私协议还要区分14周岁以上和14周岁以下未成年人的信息保护,最好以单独的协议内容呈现,由专人负责。明确保护规则外,还应推出相应的保护举措,建立健全与监护人的协商机制和反馈途径,配合家长更好的监督和保护未成年人的隐私信息。可借鉴抖音对未成年人的保护,时间锁、青少年模式、亲子平台功能,对未成年人账号使用时长和内容进行限制。

4.2  增加隐私条款可读性

秦克飞用回归方程分析了63款隐私协议的可读性。从研究结果来看,快手可读性分数15.25,抖音可读性分数12.83,快视频可读性分数12.11。3款短视频可读性分数均值为13.40,即受过13.4年教育的用户才可以看懂,也就是相当于大一的文化程度[5]。但第44次《中国互联网络发展状况统计报告》显示,我国网民本科学历以上仅占9.7%,与隐私协议所需阅读能力完全不匹配,因此提高隐私协议的可读性尤为重要。

访问位置上,应将访问链接单独列出,而非隐藏于下拉菜单中,点击次数少于标准规定的4次,链接明确标出“隐私协议”词眼,使用户准确查找、快速定位。

文本结构上,隐私协议开篇要设置导言和目录,阅读前给用户一个内容框架,让用户明确阅读目的,带着问题阅读更能发挥隐私协议效应;层次结构要分明,加入小标题,明确各部分内容,用加粗或划线标明重点词,提高用户注意力。

欧盟的《一般数据保护条例》明确规定,要求用户协议必须清晰易读,不能写又长又难懂的文字,不能全篇都是难懂的法律术语。文本呈现形式上,采用平实朴素的语言解释专业术语,尽量使用短句、简单字词,使用第一、二人称,颜色大方,排版清晰。在Web和移动应用界面上,可适当的加入视觉分隔符,美化布局,使用户轻松定义相同、相似或相关的内容,确定每一个内容板块的从属关系。

除文本呈现外,隐私协议还可创新隐私协议的表达方式,尤其短视频平台,可发挥短视频的技术优势,以短视频的方式呈现政策内容。例如谷歌的隐私协议内容,新增了4个短视频,分别从整体条款、收集的信息、为什么要收集数据、隐私控制项等方面,对文本进行可视化呈现。

4.3  提高用户参与度

网络运营商要抵制“霍尔森选择”,遵循授权同意、公开透明的原则,坚持用户的主体地位,要在信息收集和使用中拒绝强制采集、捆绑采集、骚扰采集,保障用户更改、删除、撤回个人信息的权利。在前述的调查中,59.1%的用户表明“如可自行设置隐私信息的可见范畴,会主动设置相关权限”,隐私协议内容也应设置自控选项,提高用户的参与度。

及时更新隐私协议,优化通知模式。更新及时,能更新用户对平台的认知,加强用户对隐私协议的感知度,树立平台重视个人信息保护的形象,从而提高用户对平台对隐私协议的信任度,活跃用户账号,提高用户的黏性。优化提示模式,从次数和方式上下手:一是使用即提示,《学习强国》App在升级后,每次登录时都会弹出其信息保护政策供用户阅读;二是丰富提示信息,除弹窗外,增加App额外弹窗提示或在系统弹窗中编辑更新内容等方式,告知用户。

网络运营商要畅通沟通渠道,设立违法违规内容线上和线下举报渠道,建立信息多维立体化的反馈网络。第一,网络运营商要搭建公司内部反馈渠道,公司内部主要是公司员工,积极培养员工主动反馈问题的意识。第二,网络运营商要重视头部用户的反馈渠道,定期回访头部用户的反馈意见。第三,要保障普通用户反馈渠道畅通,倾听普通用户的意见并及时回复。出台违法违规内容判别规则,设立定期调整,加强信息反馈机制建设,组建反馈机制小组。第四,网络运营商要重视用户的信息反馈,对反馈信息进行筛选、分类、归纳、整理、提炼,及时回应,及时解决,从问题出发找清原因,避免问题再发生。

注释

①《中华人民共和国电子商务法》第五十九条。

参考文献

[1]中国互联网信息中心.第44次中国互联网络发展状况统计报告[EB/OL].(2019-08-30).http://www.cnnic.net.cn.

[2]朱侯,張明鑫,路永和.社交媒体用户隐私协议阅读意愿实证研究[J].情报学部,2018,37(4):362-371.

[3]工业和信息化部.关于开展App侵害用户权益专项整治工作的通知[EB/OL].(2009-11-06).http://985.so/jgsY.

[4]中华人民共和国国家标准.GB/T 35273-2017个人信息安全规范[S].中国国际标准委员会,2018:9.

[5]秦克飞.手机App隐私协议的可读性研究[J].情报探索,2019(1):18-23.

猜你喜欢
隐私保护短视频个人信息
保护死者个人信息 维权要不留死角
敏感个人信息保护:我国《个人信息保护法》的重要内容
浅论非法使用个人信息的刑法规制
主题语境九:个人信息(1)
符号学视角分析恶搞短视频
移动社交时代短视频的传播及营销模式探析
大数据环境下用户信息隐私泄露成因分析和保护对策
大数据安全与隐私保护的必要性及措施
社交网络中的隐私关注及隐私保护研究综述
大数据时代的隐私保护关键技术研究