网络平台企业隐私协议存在的主要缺陷及完善对策
——以隐私协议知情同意条款为中心展开实证研究

李晓磊， 邓 丹

(1.重庆邮电大学 网络空间安全与信息法学院，重庆 400065；2.国家信息中心 博士后科研工作站，北京 100045)

在数字经济时代，个人信息属于数据要素的核心组成部分。由于个人信息的收集、使用和流转愈发多元和复杂，普通用户对其个人信息实际上通常处于“失控”状态[1]。随着《网络安全法》《数据安全法》《个人信息保护法》的相继出台，个人信息尤其是个人隐私信息的保护有了更广泛和更坚实的法律基础。基于个人信息保护之初衷，本文以网络平台企业隐私协议知情同意条款为切入点，描述该条款及整个隐私协议适用的真实样态，并进行详细的实证分析，为完善网络平台企业隐私协议提供可资参考的对策。

一、研究方法、目的和样本选择

本文的主要研究方法是实证分析法，具体采用样本分析法。本文主要研究目的如下：一是力求更加客观地描述隐私协议适用的真实状况；二是着力寻求完善隐私协议并促进其广泛且有效适用的对策。

本文选取的研究样本是常见的26家网络平台企业应用程序App隐私协议中的知情同意条款。本文之所以选取知情同意条款为研究样本而不直接以整体的隐私协议为研究样本，理由如下：一方面，隐私协议整体上内容庞杂，不易对其进行充分有效的分析；另一方面，隐私协议知情同意条款是隐私协议的核心和精髓所在，在一定程度上能够反映隐私协议的整体适用状况。

本文对常见的26家网络平台企业应用程序App隐私协议的内容进行比较，发现隐私协议通常包括以下内容：一是个人信息的收集、使用、保护、存储、共享、转让、公开披露；二是未成年人个人信息的特别保护；三是个人信息保护政策的修改。其中，隐私协议知情同意条款适用场景主要包括以下四种：一是收集使用个人信息时需告知用户同意；二是使用目的变更时需告知用户同意；三是对外提供个人信息时需告知用户同意；四是其他情形下的告知同意[2]，详情如表1所示。

表1 常见的26家网络平台企业应用程序App隐私协议中的知情同意条款

二、隐私协议存在的主要缺陷

(一)“全盘接受”或“拒绝使用”致使用户的选择权被绑架

隐私协议实际上将许多选择议题以一揽子的形式集合起来，只给用户一个选择——“同意”或“不同意”。易言之，用户必须接受隐私协议所有条款才能使用App的相关功能和服务[3]。从表面上看，用户拥有“同意”或“不同意”的选择权，但这种模式很有可能是一种假象，用来确立用户信息自决权的错误信念[4]。与此同时，网络运营者为了满足立法要求及规避自身的法律风险，通常将隐私政策制定得“专业”“冗长”“繁琐”“晦涩”或“面目可憎”。在不具备专业知识的情况下，用户可能无法正确理解条款的含义，更遑论洞悉相关条款的内涵了[5]。

本文以淘宝App、京东App中的隐私协议为例，淘宝App的隐私政策共有15 450字、京东App的隐私政策共有16 441字，通常普通民众每分钟阅读量为200～400字，按此计算普通民众需要39～82分钟才能读完上述隐私协议的内容。如果再考虑用户自身理解力所带来的偏差，所需时间可能更长。用户如果切实需要使用相关服务，只有一种选择即点击“同意”框。这种“同意”与真正意义上的心甘情愿、明明白白的“同意”差距甚远。这种情形下的隐私协议知情同意条款，实际上采用的是“捆绑式告知+迫使同意”的方式，变相“削弱”甚至“绑架”了用户的选择权，此种模式可称之为“绑架式同意”[6]。

(二)模糊、概括性词语的频繁使用致使用户的知情权被隐藏

网络运营者在隐私协议中关于个人信息的收集和使用采用了诸多模糊、概括性的词语进行描述[7]。以QQ、微信社交软件为例， “其他”“在适用法律允许的情况下”“合理可行的措施”“包括但不限于”等用语在隐私协议中频繁出现。网络运营者并未向用户说明收集使用了用户哪些个人信息，又如何使用这些信息。如此这般，无疑大大拓展了网络运营者对个人信息的使用范围和使用方式，同时也大大增加了用户维权难度。显然，网络运营者和用户的权利义务并不对等。此外，表1中的26家App隐私协议都涉及了“Cookie”“网站信标”“像素标签”“E-Tag”“SDK”等专业技术词语，很多用户难以明白这些词语的真正含义，从这个角度而言用户的知情权被隐藏了。

(三)格式条款之弊端致使用户的选择权实际被废止

格式条款看似便捷，实则弊端众多。第一，拒不提供“拒绝服务”的通道。例如，携程App隐私政策第三条第二款规定，“您在享受携程提供的各项服务的同时，授权并同意接受携程向您的电子邮件、手机、通信地址等发送商业信息，包括但不限于最新的携程产品信息、促销信息等。若您选择不接受携程提供的各类信息服务，您可以按照携程提供的相应设置拒绝该类信息服务”[8]。至于如何拒绝该类信息服务，该隐私政策并未告知。第二，第三方分享条款的“隐秘交易”。表1中的26家App隐私协议中都有向第三方分享个人信息的相关规定。这些规定似乎已经告知用户，但实际上用户并不知道个人信息将会以何种方式、何时向哪个第三方披露[9]，这必然导致网络运营者向第三方分享个人信息时不能及时告知用户等情形的发生，各大网站通常以“为使用户获得更好体验”的方式轻易获取了用户的同意授权。从某种程度上来说，告知同意原则实际上已经成为企业履行合规义务的“避风港”[10]。

(四)未成年人的个人信息保护条款形同虚设

表1中的26家App隐私协议均有对未成年人个人信息收集使用的相关规定。有的隐私协议的规定相对完善，如爱奇艺App设有专门的未成年人隐私保护政策；有的隐私协议的规定则比较粗糙，以拼多多为例。《拼多多隐私政策》第7条规定，“我们非常重视未成年人的个人信息保护，在电子商务活动中我们推定您具有相应的民事行为能力。若您为18周岁以下的未成年人，请您及您的监护人仔细阅读本政策，并在征得您的监护人同意的前提下使用我们的服务或向我们提供信息”[11]。《拼多多隐私政策》实际上存在诸多缺陷：其一，假定了拼多多用户为成年人；其二，交易场景和内容并未区分成年人和未成年人；其三，让未成年人自行寻求监护人同意不具有可行性，因为通常未成年人在此种场景下不愿意让监护人知悉，很难谈及让监护人同意了；其四，相关隐私协议涉及诸多专业术语，表述上可读性差，未成年人难以有效阅读。因此，诸如此类的未成年人的个人信息保护条款实际上形同虚设。

此外，网络运营者常常在隐私协议中埋下“暗雷”或“明雷”，诱导或迫使用户“自动”授权。例如，淘宝的隐私协议中有特别约定条款，根据该条款网络运营者不需要取得用户的特别授权就可以使用该用户信息；糖糖语音以超链接的形式向用户提供《“糖糖语音”使用协议及隐私政策》并要求用户阅读，用户通常不习惯以此种复杂的方式阅读相关文本，为尽快使用应用程序，多数用户不加阅读即点击“同意”框；而《拼多多用户服务协议》的格式条款实际上剥夺了用户选择管辖法院的诉讼权利。

三、完善隐私协议之具体对策

(一)回归隐私协议的初衷，切实保障用户知情权

隐私协议的初衷是保护用户个人信息安全可控。然而，本文的调查发现，研究样本中关涉的隐私协议最为关注或优先考虑的并非保护用户个人信息，而是满足数据合规的要求。当前，网络运营者制定隐私协议，主要目的有二：一是实现数据安全合规，二是便于获取用户个人信息。其中，获取用户个人信息是网络运营者的主要商业目的[12]。为实现这两个目的，隐私协议的制定必然更加专业、严谨、规范，内容更加丰富，体系更加庞大，这就必然导致隐私协议成为专业术语处处可见、晦涩难懂、烦琐冗长的“文本怪物”，即便是法律专业人士，当其面对“生物识别特征”“备标识符”“SDK”“网站信标”“像素标签”“E-Tag”“IDFVs”“Cookies”等专业术语时亦茫然不知所云，更遑论普通用户了。用户因为无法理解专业术语的含义，实际上就不能“知情”；因为不能“知情”，用户的“知情同意”就是一句空话而已。“知情同意”应是用户对自身信息自主权的体现，而不应是网络运营者的幌子[13]。

我们认为，隐私协议目的之异化是其无法落实用户知情权的主要原因。故而，回归隐私协议的初衷，立足“保护个人信息安全可控”的根本目的不动摇，而“数据合规安全”和“获取用户个人信息”要以“保护个人信息安全可控”为中心和基础而展开。

(二)优化隐私协议的内容架构，降低隐私协议的理解难度

当前，隐私协议的内容架构属于专业型架构，该架构的隐私协议只有少数专业人士和研究人员才会感兴趣、才能读懂，并不适合普通用户阅读。因此，本文建议优化隐私协议的内容架构，建立适合普通用户阅读的通用型架构。例如，增加风险提示、应急预案措施等条款，通过这些条款向用户展示使用App可能面临的风险以及网络平台为保障用户信息安全所采取的应急预案，以增强用户对个人信息收集和使用情形的知情权和合理预期。

另外，对于同类App隐私协议的内容和框架进行统一的行业规定或行业指引，建议制定行业通用版隐私协议，企业可以根据具体需要在通用版基础上添加补充条款。如此，用户不必对每个App隐私协议都进行通篇阅读，只需要阅读、了解区别性的内容即可。实际上，很多App隐私协议的内容所要表达的意思是相同的，甚至语句用法也是相同或相通的。因此，为方便用户理解隐私协议的内容，对同类App的隐私协议做出统一的规范性要求是可行的。

还需强调的是，尽量使用通俗易懂的词语表达隐私协议的具体内容，文风应简洁、明快、易懂；关于不得不涉及的专业术语等内容，建议作出可理解的解释性说明[14]。

(三)建立用户选择权和拒绝权分离模式，摒弃绑架式同意模式

在隐私协议架构中，本文建议根据具体应用功能将用户的选择权和拒绝权分离。例如，根据不同功能区设置多个“同意”或“拒绝”按钮，而非一揽子式的同意或拒绝。另外，需注意格式条款中的捆绑式同意条款，尽量少用或不用类似条款。

用户在使用应用程序App时，有时面临注销难的问题。例如，用户如果要注销抖音App账号，要经历咨询、浏览相关网页、下载并编写申请表、准备身份证复印件、发送申请邮件等步骤，申请后最长要等候15天[15]。为解决用户注销难的问题，应强制性要求网络运营者在应用程序中增加“注销”按钮，即当用户不再使用该应用程序或者不想个人信息被继续使用时，通过点击“注销”按钮即可完成注销。

(四)建立警示标记明示制度，完善用户可追溯的反馈机制

一是建立警示标记明示制度。警示标记是隐私协议内容不断完善的体现。法律应当对“明示”做出明确规定，建立最低明示标准，警示标记应当达到最低明示标准。在司法审判实践中，网络运营者不能仅就警示标记有无的问题进行举证。在诉讼过程中，应适当增加网络运营者的注意义务和举证责任。如此，一方面能够减轻用户的维权成本，另一方面也能加重网络运营者的违法成本。因为，当非法使用或流转他人信息的行为遭受法律甚至刑法制裁的可能性大大增加时，在利益与成本的权衡之下，会迫使网络运营者不断推动隐私协议内容的完善[16]。

二是优化用户可追溯的反馈机制。当下，网络平台企业隐私协议中关于反馈机制的内容比较单薄，例如《爱奇艺隐私政策》第九条规定“如您对本规则的执行或使用儿童App时遇到的与儿童隐私保护相关的事宜有任何问题(包括问题咨询、投诉等)，您可以通过privacy@qiyi.com 与我们联系，我们有专门人员负责对接……”[17]，如此规定使得用户无法对其反馈的问题进行追溯。因此，本文建议完善用户可追溯的反馈机制，使该机制既能保障反馈的及时性，又能保障反馈的内容能够被追溯，这就要求或者倒逼网络运营者重视用户的体验和具体诉求。