21 世纪经济报道 记者肖潇 北京报道

14亿人的个人信息都去哪儿了?运营商隐私政策无法回答

在办理 *** 卡或者更换运营商时,谁会仔细阅读运营商的隐私政策?谁想过自己授权了运营商收集哪些数据,又可能会被用来做什么?

运营商 " 买卖 " 大数据早已不是讳莫如深的秘密。当前在上海交易所中,超过 20% 的数据产品来自三大电信运营商;一组更直观的数据是,今年 8 月发布的半年报中,中国移动首次将数据资源作为资产入表,入表金额达到 7000 万元。

由于这些数据交易主要面向政企市场,很难被普通消费者感知到。但无论如何,数据交易都必须通过用户授权这一关,《个人信息保护政策》作为与用户沟通的唯一桥梁便尤其关键。

21 记者由此测评了三大运营商的个人信息保护政策,结果发现,相关条款难以找到,并且大多语焉不详。通讯录、通信内容、上网内容等被收集的信息,什么场景下会被收集、会不会被使用,大多未在隐私政策中充分说明。

相比步入常态的互联网平台监管,电信行业的合规标准,自《个人信息保护法》修订以来几乎没有更新。运营商要成为数据要素市场的重要参与者,还需要更多合规自觉和外部监督。

隐私政策说了什么?

查阅运营商的隐私政策,之一步就碰到了困难。

一般来说,用户《个人信息保护政策》在 APP 的登录界面弹出,三大运营商的 APP 同样如此。但问题是,运营商的许多数据并非通过 APP 收集,而是通过移动宽带 *** ,理应存在不同的服务条款。

对此,21 记者分别在中国联通、中国电信的官网中,找到了包含所有服务产品的《中国联通用户隐私政策》和《中国电信个人信息保护政策》。但中国移动官网没有针对移动、宽带业务的协议,最终只找到一份由中国移动浙江公司提供的《中国移动通信客户服务协议》。

在上网的过程中,运营商会收集哪些信息?按这些用户服务协议的说法,大体有三种:一种是上网必须登记的个人身份信息;一种是服务数据,包括通讯录、短信内容、通话内容;还有一种是日志信息,比如基站记录的每个手机号位置、网页浏览记录……几乎能覆盖一个人上网的所有痕迹。

收集数据后,运营商会在哪些情况下用到它们?

按照《个人信息保护法》要求,运营商需要准确、完整地向个人告知个人信息的收集目的和收集方式。记者看到的这三份隐私政策,使用了不少 " 等 "" 相关信息 "" 可能 " 的概括性词语,无疑没有满足这一点。

如果将这些隐私政策与 APP 隐私政策对比,会有一些更有趣的发现。比如,APP 能事无巨细地写明哪些页面、哪些功能触发哪些数据的收集。但提供 *** 运营,运营商很难说清自己收集信息具体是为了什么、会用在何处,只能用 " 优化 *** 服务质量 "" 提供电信服务 "" 实现上网收费准确 " 三板斧来解释。

(中国移动 APP 的隐私政策,具体到每个功能对应的数据收集)

三大运营商也没有在隐私政策中,提到商业性目的。不过,中国电信在《中国电信个人信息保护政策》单独提到了个性化营销:" 我们可能使用您的个人信息,向您发送电子邮件、短信或拨打 *** 的方式,向您推送个性化或广告。如果不希望收到此类推送,可以按照我们的相关提示取消订阅。"

换句话说,签下这份协议,默认同意了营销短信和 *** 。

在数据共享中,运营商有最主要的两大业务场景:风控验真,买卖用户画像包来投放广告。但并不是每一家运营商都充分跟用户说明了情况。

风控验真一般运用在金融行业。比如,银行想要评估能不能放贷,便向运营商索要该用户的更多通信数据,以此评估放贷风险有多大。这种 A、B 两方交换用户数据的方式,通常是 " 三重授权 " 模式——用户向 A 授权同意,用户向 B 授权同意,AB 两方之间再授权数据交换。

此前 21 记者报道运营商的失联修复业务时,一名企业合规负责人告诉记者,假如金融机构要通过运营商获取更多的当事人信息,要留意运营商有没有获得当事人授权、相关授权是否约定了买卖数据的权限。

而隐私政策透露出的现实是:即使得到了用户授权,约定也很含糊。

中国移动采取的是一揽子授权,没有单独说明。中国电信、中国联通提到了第三方查询业务,大意为:如果用户授权了第三方机构采集向运营商采集信息,就同意了运营商就可以给出合法信息。

在中国联通的第三方收集名单里,金融机构、信息查询、互联网企业……都可以来查询信息,用户很难控制自己的信息到底被用于何处。

用户画像往往用于个性化广告投放,互联网行业的通常做法是,只要数据不精准到个人,笼统的用户画像可以跟第三方分享,不需要单独征求用户同意。三大运营商也不例外。

但如果信息能识别到个人,比如有个人特征的识别码、设备号码等等,《个人信息保护法》就要求说明个人信息接收方的联系方式,说明个人信息接收方的处理目的,获得用户明确同意。

在这一方面,运营商的确都单独列出了分享给第三方公司的数据清单,从第三方 SDK 的数量可以看到,分享数据的范围惊人。

第三方 SDK 是与第三方公司分享数据的工具,可以理解为一个外包助手,由外部公司开发,嵌入到本应用程序中。比如广告第三方 SDK 负责引入各种开屏、横幅广告,确保它们精准展示给合适的用户,同时收集用户点击和互动情况。

信通院 2021 年的数据显示,国内一款 APP 分享的第三方 SDK 包平均在 20 个左右。记者统计了三大运营商的《第三方共享清单》,中国移动 APP 接入了超过 100 款 SDK 包,中国联通 APP 为 41 个,中国电信 APP 为 16 个。

不仅如此,就如前文所说,APP 收集、分享的数据,只是运营商庞大数据河流中的一个截面。管道中的更多数据流向何方,用户往往无从得知。

被忽视的角落

在测评隐私政策时,存在另一个难点:没有针对性的公开准则。

这同样是因为,大众主要关注的是移动应用程序,监管和标准也大多落脚于这一领域。比如《App 违法违规收集使用个人信息行为认定 *** 》《常见类型移动互联网应用程序必要个人信息范围规定》,网信办日常开展的 APP 违规处理个人信息的行动,针对的都是移动应用程序。

一位曾参与 APP 个人信息保护国标的起草人,在聊天中向 21 记者坦言,电信运营商有自己的特殊性,的确是少有行标或国标,但可以参考上位法。

除了《个人信息保护法》(下称《个保法》),像《消费者权益保护法》《广告法》也能直接约束运营商对个人信息的收集。例如《消费者权益保护法》规定,经营者未经消费者同意,不得向其发送商业性信息。

但不难看出,这些法律对个人信息的要求比较笼统,针对的也多是短信、 *** 等传统服务。

目前能参考的两部行业性规定——一部是 2013 年的《电信和互联网用户个人信息保护规定》,一部是 2015 年的《通信短信息服务管理规定》。自《个保法》出台以来,都没有任何更新了。

拿《电信和互联网用户个人信息保护规定》来说,它属于 " 个保 " 概念诞生之前的产物,只规定了个人信息的收集、使用、储存,而 2021 年出台的《个保法》对加工、传输、提供、公开、删除等活动都作了详细处理要求。

《个保法》出台之后,还更细微地区分了用户的单独同意、默示同意,《通信短信息服务管理规定》则没有更新。2020 年 8 月 31 日,工信部发布了该规定的新征求意见稿,将 " 同意 " 的标准上升为 " 明确同意 ",但该征求意见稿一直没有实施。

工信部在 2022 年也计划修改《电信和互联网用户个人信息保护规定》,而后不再有新的进展公开,公开资料显示,其属于 " 十项年内完成研究起草任务的项目。"