阅读类app用户隐私政策调查及思考

张 斌，周永红

（湘潭大学公共管理学院，湘潭 411105）

1 引言

伴随着全民阅读战略的推进和智能手机的广泛应用，阅读类app 用户群体不断扩大。阅读类app 一般以特定的资源和服务平台为依托，根据一定用户群体及其需求重组阅读资源，提供更加符合用户需求的阅读服务。如书旗小说以青年作为主要用户群体，以年轻化、大众化为主要标签。目前比较知名的网络文学平台都有各自独立的app。网络文学已经成为网民日常阅读的重要内容。截止到2020 年3 月，中国网络文学应用用户规模已达到45 538 万，网民使用率达到50.4%[1]，且用户群体规模和使用率还在持续不断上涨。

阅读类app 在方便用户阅读同时，其用户隐私保护问题也变得越来越重要。中国自2020 年3 月1 日起施行 《网络信息内容生态治理规定》 以来，诸多app都更新了隐私政策。为促进阅读类app 安全健康发展，能够更好地推进全民阅读，本研究根据 《互联网周刊》（这是由中国科学院主管创刊的一本杂志，其每年公布的app 分类排名被广泛引用。）公布的 《2019 年度app分类排行榜》，选取2019 年度排名较靠前的10 款阅读类app 为研究对象，分别是书旗小说、QQ 阅读、追书神器、掌阅、多看阅读、搜狗阅读、爱奇艺阅读、咪咕阅读、宜搜小说、微信读书[2]。《互联网周刊》 是由中国科学院主管创刊的一本杂志，是目前中国互联网和IT 业界最成功的主流商业杂志之一，其每年公布的app 分类排名被广泛引用。为促进阅读类app 安全健康发展，能够更好地推进全民阅读，本研究根据 《互联网周刊》 公布的 《2019 年度app 分类排行榜》，选取2019 年度排名较靠前的10 款阅读类app 为研究对象，分别是书旗小说、QQ 阅读、追书神器、掌阅、多看阅读、搜狗阅读、爱奇艺阅读、咪咕阅读、宜搜小说、微信读书[2]。

笔者2020 年5 月已在手机上安装以上10 款app，2020 年11 月上旬重新抓取它们最新版本用户服务协议和相关隐私政策，并结合app 运行中对用户手机权限调用情况进行分析，涉及用户信息收集、用途、存储以及共享情况等。

2 国内外app 用户隐私政策研究概况

2.1 国外研究概况

选取EDS 知识发现系统和Emerald 期刊数据库作为外文文献检索工具，获得26 篇与app 隐私相关度较高文献。国外研究主要集中于3 个方面：①app 隐私政策分析和评估。如SUNYAEV 为评估健康app 隐私政策的可用性、范围和透明度，从35 000 多个健康app中，调查600 个最常用的，发现只有183 个（30.5%）有隐私政策，且现有隐私政策透明度不高[3]。PETTER对21 款流行且免费的app 隐私政策进行分析，发现有19 款隐私政策不太合理[4]。DANIEL 提出机器学习方法和隐私政策设置建议，以使app 更准确地捕捉和分析用户隐私偏好[5]。②用户对app 隐私信息的认知和态度研究。如AZIZ 认为用户越来越关心存储在app 中的个人敏感信息等[6]。KERR 评估用户对苏格兰公共图书馆app 应用及隐私看法[7]。ANDREW 通过分析超过500万用户提交的文本评论和4 年来收集的星级评分，探讨用户对隐私看法及情绪影响[8]。TANG 认为app 隐私问题已经成为一个突出的社会问题，并收集426 名受访者数据进行研究[9]。③app 应用中的隐私安全研究。BOLLER 以2016 年获得美国图书馆协会创新国际图书馆项目总统奖的“Marronniers Library”app 为例，分析其提供的隐私安全和教育类阅读资源情况[10]。KANG针对食品餐饮服务行业的app 个性化服务，运用隐私微积分理论和技术接受模型（TAM）进行研究[11]。LAURA 调查30 个健康app 个人数据保护状况后，提出隐私保护措施，以改善app 功能[12]。

2.2 国内研究概况

在中国知网以“app 隐私”为主题检索，可获取中文文献有157 篇学术期刊论文、162 篇学位论文、6 篇会议论文、32 篇报纸文章；再结合“阅读”为主题检索，中文文献只有4 篇高度相关的期刊论文。国内研究主要集中于3 个方面：①阅读app 面临的隐私安全风险及实证研究。如徐磊发现所调查的10 款图书类app 隐私政策文本存在重点不明、规定模糊、利益偏向等问题[13]。李宁通过对阅读app 的深度体验、隐私政策文本分析、app 安装包检测分析，发现阅读app 用户个人信息安全状况堪忧，在信息收集、信息使用环节以及app 平台本身风险点频出[14]。汪薇[15]、李晶晶[16]、田波[17]、徐雷筛[18]对app 用户隐私信息泄露风险进行实证分析，研究涵盖移动新闻app、移动阅读app、社交类app 等网络平台，并且提出为降低移动社交app 用户隐私信息泄露风险，应当从移动用户、app 平台以及监管部门各方有侧重地采取措施等。②app 用户个人数据保护研究。李卓卓从数据生命周期视角建立app 个人隐私信息保护的理论体系[19]。孙铁文从一款AI 换脸软件的用户协议和隐私政策引发争议出发，提出完善信息分类制度，给予个人敏感信息特殊保护建议[20]。付少雄以 《信息安全技术 个人信息安全规范》 为框架，对健康app 隐私保护政策进行分析，并提出相应保护建议[21]。杨中行通过对中国政务app 与商用app 隐私政策进行对比，提出完善政务app 隐私保护政策策略[22]。张珗通过用户、环境、平台、政策4 个维度构建医疗问诊app 隐私政策保护框架模型[23]。③app 关联隐私信息与关联方共享隐私信息问题研究。臧国全提出社交用户选择使用app 时，除关注个人隐私外，也会考虑朋友隐私（即关联隐私）。研究表明对用户来说，保护朋友基本信息不是那么重要，但对于敏感信息的不合理请求会对app 评价产生负面效用[24]。顾理平对app 中关联方信息流动现状进行研究，发现超范围信息共享存在“增加隐私的风险范围”“提高隐私的获取深度”和“弱化义务主体的责任”等[25]。郝森森针对企业app用户隐私信息关注机理和共享情况进行研究，探讨企业如何进行营销活动和客户关系管理等[26]。

综上，不论国内还是国外，可以发现app 隐私研究，尤其社交类和健康类app 隐私已经越来越受到关注。由于隐私保护的问题涉及范围较广，决定了它是一个复合型的研究课题，从已有的文献来看，对隐私保护政策的研究涉及法学、计算机学、情报学、图书馆学、新闻学等方面的学者，他们分别从法律、技术、社会以及用户角度探讨用户隐私的保护问题。国外研究主要针对app 隐私政策分析和评估、用户对app 隐私信息的认知和态度研究、app 应用中的隐私安全研究；国内研究主要阅读app 面临的隐私安全风险及实证研究、app 用户个人数据保护案例和策略研究、基于隐私条款分析的社交类app 关联隐私信息与关联方共享隐私信息问题研究。国内外社交类和健康类app 隐私保护政策研究对阅读类app 隐私保护政策研究具有借鉴意义。尤其是目前国内外阅读类app 与app 隐私相结合的研究还较少，针对中国施行 《网络信息内容生态治理规定》 以来阅读类app 隐私政策的变化展开研究，正是本文的价值所在。

3 阅读类app 用户隐私政策调查

随着app 的应用，阅读类用户的个人隐私暴露风险进一步加大。app 违法违规收集使用个人信息专项治理工作组2020 年1 月发布的 《app 违法违规收集使用个人信息行为认定方法》 以及 《网络信息内容生态治理规定》 和 《中华人民共和国民法典》 都强调用户隐私保护的重要性，并规定用户个人信息收集和使用过程中公开、明示、同意、必要、提供等认定标准。这些规定为我们考量一个app 的隐私政策是否规范提供了理论依据。因此，根据上述国家规定，文章从隐私政策呈现方式、用户个人信息收集规定、用户个人信息存储规定、用户个人信息共享规定以及未成年人的服务规定对10 款阅读类app 的隐私保护政策进行分析。

3.1 隐私政策呈现方式

隐私政策的呈现方式是影响用户知晓隐私政策的一个重要因素。据《app 违法违规收集使用个人信息行为认定方法》 的调查显示，大多数app 隐私政策访问路径设置过深，如进入app 主界面后，多于4 次点击操作才能访问到[27]。在选取的10 款app 中，都设有自己制定的用户协议和隐私政策，其中书旗小说见“2019V5 版”的阿里文学隐私权政策。有7 款app 隐私政策更新时间在2020 年3 月1 日后，详见表1。在进入主界面以后，“多看阅读”只需点击3 次就可看到，其余需点击4 次可看到具体的隐私政策内容。这说明目前阅读类app 隐私政策的呈现方式已经越来越明了。

表1 阅读类app 用户隐私政策更新情况Table 1 Privacy policy updates of reading app users

3.2 用户个人信息收集规定

关于用户个人信息收集目的与用途，选取的10 款阅读类app 隐私政策大多包括以下3 点：①推荐、提供、处理、维护、改善用户服务，满足不同其个性化需求；②改善平台现有产品和服务，提升用户体验；③使用个人相关信息，向用户提供本平台或者第三方的商品、服务、广告或推广信息等。但具体表述也有差异。从用户个人信息收集方式看，选取的10 款阅读类app 基本通过Cookie 及相关技术收集用户信息。

由表2 可以看出，阅读类app 平台为更好地完善自身服务，通过Cookie 及相关技术收集用户信息。但任何对用户个人信息进行收集的行为，本身就是一种潜在的威胁。一旦被违规利用，必然会侵犯用户隐私。

表2 阅读类app 用户个人信息收集规定Table 2 Regulations on collection of personal information of reading app users

3.3 用户个人信息存储规定

从用户个人信息存储地点来看，选取的10 款阅读类app 都明确规定在中华人民共和国境内运营中收集和产生的个人信息（表3），均存储在中国境内。但书旗小说、搜狗阅读、宜搜小说还规定了3 种其他情形，包括：①有法律法规明确规定；②获得用户明确授权；③用户通过互联网进行跨境交易等个人主动行为。

表3 阅读类app 用户个人信息存储规定Table 3 Personal information storage regulations of reading app users

从用户个人信息存储期限来看，大多app 只笼统表述为“最短时间”或“所必需的期间”或“法律法规要求的时限内”等。QQ 阅读、追书神器、搜狗阅读、多看阅读这4 款app 则有明确的时间规定，依据《中华人民共和国网络安全法》 规定日志信息不少于6个月，《中华人民共和国电子商务法》 规定交易信息在交易完成日起不少于3 年，《互联网信息管理办法》规定记录备份不少于60 日；但多看阅读规定用户信息包括设备机型、用户兴趣标签、搜索内容、浏览信息、阅读行为数据将被保存365 天。

3.4 用户个人信息共享规定

在所选取的10 款阅读类app 中，有9 款有用户信息共享的政策描述，多看阅读在自身的隐私政策协议中并未明确提及关于信息共享的条款，但因其政策中有规定，“若本隐私政策未约定的，以 《小米隐私政策》 为准”。一般情况下，发生用户个人信息共享行为的情况有以下4 种：①在获取用户明确同意的情况下与其他机构共享；②在法定情形（如根据法律法规规定、诉讼争议需求等）下进行对外共享；③与该app的关联公司共享；④与授权合作伙伴，如软件服务提供商、厂商等共享，并且可能会委托、授权合作伙伴为用户提供某些服务或者履行某些职能。但具体表述和规定也有差异，详见表4。

由表4 可以看出，在用户明确同意或法定情形下，阅读类app 平台才与该app 的关联公司或与授权合作伙伴共享用户个人信息。随着用户个人信息共享范围的扩大，用户个人信息暴露风险也相应增加。

表4 阅读类app 用户个人信息共享规定Table 4 Personal information sharing regulations for users of reading app

3.5 关于未成年人的服务规定

所选取的10 款阅读类app 均有属于自己的未成年人隐私保护政策，其中爱奇艺阅读和微信读书的规定较具体。如 《爱奇艺儿童个人信息保护规则》 提供了“家长控制”功能，便于监护人更好的保护未成年人。微信读书这款app，对未成年人的保护，除了app 本身自带的隐私保护政策以外，还有腾讯公司专门设立的《儿童隐私保护声明》，声明中规定提供适合14 周岁儿童的产品和服务，要事先取得家长或者监护人的同意进行注册和使用。

从表5 可以看出，目前对于未成年人使用阅读类app 的保护方法主要是基于“家长或监护人同意”原则，但是实效性如何，是很难得到验证的。所以，这也是app 关于未成年个人信息保护政策中的一个难点所在。

表5 阅读类app 未成年人隐私政策Table 5 Privacy policies for teenager users of reading apps

4 阅读类app 用户隐私保护面临的主要困境

从用户隐私政策调查来看，随着网络信息内容生态治理的进一步推进，阅读类app 隐私政策在不断完善。但目前用户隐私保护还面临以下主要困境。

4.1 信息收集的合法合规困境

app 的运行确实需要获取终端设备的一些权限才能提供自己的服务，但也同时出现信息收集的合法合规困境，尤其是对于一些敏感信息的收集。根据 《信息安全技术个人信息安全规范》 规定，个人敏感信息包括财产信息、资金信息、交易信息、个人身份信息、网络身份识别信息等等。在已经调查的10 款阅读类app 中，对于个人敏感信息的收集也是较多的，每个app 对于手机的权限要求都多达20 多项。例如，通过获取用户的位置权限可能识别出用户个人的位置信息；获取用户的账户信息、消费记录等可能会对用户个人的财产造成威胁；通过访问用户手机的联系人信息可获取用户个人的联系人信息以及通话记录等，甚至可以据此推断出用户个人的社会关系等。

4.2 个人信息的第三方机构共享困境

app 在运行过程中，为了提供更好的服务、获取更大的利益，它们往往会选择与第三方机构进行合作，共享某些用户个人信息。如多看阅读的隐私条款规定“与集团的生态系统公司共享”“与服务提供商或业务合作伙伴共享”等。虽然这些app 明确表示在开放和共享之前会征得用户的同意，并且在共享的过程中，会采用加密、匿名化处理等手段保障用户信息安全，但是在具体的执行过程中，涉及到方方面面情况。尤其是某些由第三方机构提供的产品和服务，与app 本身关联性不大。一旦发生由于第三方机构引起的用户信息泄露事件，app 本身一般又有免责声明，不用承担相应责任。以上这些都导致了个人信息的第三方机构共享困境。

4.3 未成年人信息保护困境

调查发现10 款阅读类app 虽然均有属于自己的未成年人隐私保护政策，但是这些政策存在一些不足之处：首先，就是未成年人的年龄界定问题，缺乏统一的行业规范。大多数app 对于未成年人的界定是18 周岁以下，但掌阅和咪咕阅读的年龄限定在14 周岁以下，微信读书则对两个年龄段有不同的规定。微信读书则对两个年龄段有不同的规定。其次，在隐私政策中提到，未成年人在使用过程中应事先征得监护人的同意，否则一旦发现将会删除其相关数据。但是在实际操作中，往往很难实现家长同意这一规定。随着未成年网民的进一步增加，对于未成年人在使用app 之时，是否真正征得了监护人同意，这一点在实际操作中往往很难得到验证。第三，在隐私政策的描述中，很多皆引用自一些法律条款，这些条款有些术语专业性很强，一些成年人在阅读过程中尚且需要一定的理解能力，更别提认知能力还有限的未成年人。

5 完善阅读类app 用户隐私政策的相关思考

针对阅读类app 用户隐私保护困境，笔者认为可采取以下措施，以促进阅读类app 的安全健康发展。

5.1 确保阅读类app 用户信息收集合法合规

中国有关app 用户信息收集和个人信息保护的法律、法规和规章等在不断完善。一般阅读类app 需要得到用户浏览记录才能提供个性化服务，针对用户个人信息的收集应当合法合规。如 《中华人民共和国网络安全法》 第四十一条规定：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则”“网络运营者不得收集与其提供的服务无关的个人信息”等[28]。针对阅读类app 对于个人敏感信息的收集，运营商应该严格遵循合法、正当、必要的原则，不收集与所提供服务无关的个人信息。

在网络阅读服务蓬勃发展发展的同时，app 违法违规收集使用个人信息的专项治理也在不断推进。如2019 年1 月国家互联网信息办公室、工业和信息化部、公安部、市场监管总局发布 《关于开展app 违法违规收集使用个人信息专项治理的公告》，2019 年12 月4部门联合制定并发布了《app 违法违规收集使用个人信息行为认定方法》（国信办秘字 〔2019〕 191 号），对属于“未公开收集使用规则”“未明示收集使用个人信息的目的、方式和范围”“未经用户同意收集使用个人信息”“违反必要原则，收集与其提供的服务无关的个人信息”“未经用户同意向他人提供个人信息”“未按法律规定提供删除或更正个人信息功能或未公布投诉、举报方式等信息”6 类行为作出明确规定[29]。尤其是2020 年3 月 《网络信息内容生态治理规定》 的施行，更有效落实 《中华人民共和国网络安全法》 相关要求，更有利于规范阅读类app 用户信息收集。

除法律上要明晰用户信息收集的边界外，实践中也要设立专门针对移动终端的隐私保护机构，如香港特别行政区的“个人隐私资料专员公署”[30]等做法，针对已有app 用户个人信息收集情况作出评估和认证，严厉打击非法收集用户个人信息的行为，引导阅读市场健康有序发展。

5.2 完善阅读类app 用户信息共享规范

由于app 向第三方机构开放和共享用户个人信息面临的风险更大，完善app 用户信息共享规范迫在眉睫。首先，阅读类app 应在有利于提供阅读服务的前提下合理合法共享用户信息。目前有的服务商社会责任感不是很强，加之利益驱动，出现非法共享用户信息、用户信息地下交易等现象[31]。对于超出app 用户信息共享范畴的现象应明确禁止。第二，应对其收集数据的财产属性进行划分，明确到底谁才是数据的真正拥有者，用户信息属于个人的自身财产，应纳入其中进行考虑，只有这样，才能进一步规范数据开放与共享等行为。例如多看阅读明确规定，基于用户的要求及适用法律规定，可免费提供一份app 已收集并处理的用户个人信息记录，如用户提出对于相关信息的其他请求，多看阅读可能会基于相关适用法律，并结合实际管理成本收取一笔合理费用。诚然，信息是在该app 平台上产生的，但是信息产生的主体是广大用户，并且app 在与第三方机构共享、转让信息过程中已经获得了一定利润。所以，如果用户需要因自身行为而产生的个人信息，平台再收取一定费用，笔者认为是不太合理的。第三，阅读类app 在用户信息共享过程中，应根据共享规范加强监管，既要脱敏处理，也要保证所有用户个人信息都可以溯源管理。当信息用户认为其权利受到侵害时，可以更加合理合法的方式进行维权。

5.3 细化阅读类app 未成年人隐私保护政策

《中华人民共和国未成年人保护法》 和 《儿童个人信息网络保护规定》 强调任何组织或个人不得私自查看或披露未成年人隐私。《网络信息内容生态治理规定》 第十三条规定“鼓励网络信息内容服务平台开发适合未成年人使用的模式，提供适合未成年人使用的网络产品和服务，便利未成年人获取有益身心健康的信息”[32]。中国阅读类app 细化未成年人的隐私保护政策势在必行。

在所调查的10 款app 中，爱奇艺阅读在未成年人隐私保护政策这一模块是做得较好的，建立了专门的《爱奇艺儿童个人信息保护规则》，包括收集和使用儿童个人信息的规则，共享、转让、公开披露儿童个人信息的规则，以及监护人对儿童个人信息的控制权，如何存储和保护儿童个人信息的规则等。笔者认为，应根据法律法规加强行业监管，责令阅读类app 细化未成年人保护政策。首先，对于未成年人的年龄规定应细化。根据阅读类app 的内容提供情况，把年龄分为14 周岁以下、14 周岁到18 周岁两个阶段较合理，对于不同年龄段，做出不同规定。当然，阅读类app如果自身细分了用户市场，只提供适合特定年龄阶段阅读内容的话，年龄规定也应适当调整，比如说只提供符合小学生的阅读内容等。其次，各个app 可以像爱奇艺阅读一样，提供“家长控制”功能，把自己的账号和儿童的子账号绑定在一起，对儿童使用该app的时长、内容等进行监督，指导未成年人更安全健康地阅读。第三，对于访问和存储未成年人的个人信息等，应有更详细规定，让未成年人及其家长知晓和放心使用。