全网整合营销服务商

电脑端+手机端+微信端=数据同步管理

免费咨询热线:4009-999-999

14亿人的个人信息都去哪儿了?运营商隐米乐体育APP官网私政策无法回答

  【14亿人的个人信息都去哪儿了?运营商隐私政策无法回答】运营商“买卖”大数据早已不是讳莫如深的秘密。当前在上海交易所中,超过20%的数据产品来自三大电信运营商;一组更直观的数据是,今年8月发布的半年报中,中国移动首次将数据资源作为资产入表,入表金额达到7000万元。当前在上海交易所中,超过20%的数据产品来自三大电信运营商。记者由此测评了三大运营商的个人信息保护政策,结果发现,相关条款难以找到,并且大多语焉不详。通讯录、通信内容、上网内容等被收集的信息,什么场景下会被收集、会不会被使用,大多未在隐私政策中充分说明。相比步入常态的互联网平台监管,电信行业的合规标准,自《个人信息保护法》修订以来几乎没有更新。

  编者按:个人数据是数字社会的富矿,它是互联网经济的起点,也是当下数据要素市场建设的关键。但当个人信息、行为数据化,数据商品化,我们难免产生疑惑:我们的信息安全吗?个人该如何保障自己的自主权?近年来,我国数据安全政策法规和制度标准体系不断健全,《网络安全法》《法》《个人信息保护法》相继实施,《关键信息基础设施安全保护条例》《审查办法》《云计算服务安全评估办法》等出台。9月9日至15日,2024年国家宣传周将开启,南财合规科技研究院将推出系列报道,探讨在数据流通、数据交易过程中,如何在挖掘数据价值的同时,保障个人信息安全、维护个人信息权利。

  在办理电话卡或者更换运营商时,谁会仔细阅读运营商的隐私政策?谁想过自己授权了运营商收集哪些数据,又可能会被用来做什么?

  运营商“买卖”大数据早已不是讳莫如深的秘密。当前在上海交易所中,超过20%的数据产品来自三大电信运营商;一组更直观的数据是,今年8月发布的半年报中,中国移动首次将数据资源作为资产入表,入表金额达到7000万元。

  由于这些数据交易主要面向政企市场,很难被普通消费者感知到。但无论如何,数据交易都必须通过用户授权这一关,《个人信息保护政策》作为与用户沟通的唯一桥梁便尤其关键。

  21记者由此测评了三大运营商的个人信息保护政策,结果发现,相关条款难以找到,并且大多语焉不详。通讯录、通信内容、上网内容等被收集的信息,什么场景下会被收集、会不会被使用,大多未在隐私政策中充分说明。

  相比步入常态的互联网平台监管,电信行业的合规标准,自《个人信息保护法》修订以来几乎没有更新。运营商要成为市场的重要参与者,还需要更多合规自觉和外部监督。

  一般来说,用户《个人信息保护政策》在APP的登录界面弹出,三大运营商的APP同样如此。但问题是,运营商的许多数据并非通过APP收集,而是通过移动宽带网络,理应存在不同的服务条款。

  对此,21记者分别在中国联通、中国电信的官网中,找到了包含所有服务产品的《用户隐私政策》和《个人信息保护政策》。但官网没有针对移动、宽带业务的协议,最终只找到一份由浙江公司提供的《中国移动通信客户服务协议》。

  在上网的过程中,运营商会收集哪些信息?按这些用户服务协议的说法,大体有三种:一种是上网必须登记的个人身份信息;一种是服务数据,包括通讯录、短信内容、通话内容;还有一种是日志信息,比如基站记录的每个手机号位置、网页浏览记录……几乎能覆盖一个人上网的所有痕迹。

  按照《个人信息保护法》要求,运营商需要准确、完整地向个人告知个人信息的收集目的和收集方式。记者看到的这三份隐私政策,使用了不少“等”“相关信息”“可能”的概括性词语,无疑没有满足这一点。

  如果将这些隐私政策与APP隐私政策对比,会有一些更有趣的发现。比如,APP能事无巨细地写明哪些页面、哪些功能触发哪些数据的收集。但提供网络运营,运营商很难说清自己收集信息具体是为了什么、会用在何处,只能用“优化网络服务质量”“提供电信服务”“实现上网收费准确”三板斧来解释。

  三大运营商也没有在隐私政策中,提到商业性目的。不过,在《中国电信个人信息保护政策》单独提到了个性化营销:“我们可能使用您的个人信息,向您发送电子邮件、短信或拨打电话的方式,向您推送个性化或广告。如果不希望收到此类推送,可以按照我们的相关提示取消订阅。”

  在数据共享中,运营商有最主要的两大业务场景:风控验真,买卖用户画像包来投放广告。但并不是每一家运营商都充分跟用户说明了情况。

  风控验真一般运用在金融行业。比如,银行想要评估能不能放贷,便向运营商索要该用户的更多通信数据,以此评估放贷风险有多大。这种A、B两方交换用户数据的方式,通常是“三重授权”模式——用户向A授权同意,用户向B授权同意,AB两方之间再授权数据交换。

  此前21记者报道运营商的失联修复业务时,一名企业合规负责人告诉记者,假如金融机构要通过运营商获取更多的当事人信息,要留意运营商有没有获得当事人授权、相关授权是否约定了买卖数据的权限。

  采取的是一揽子授权,没有单独说明。、提到了第三方查询业务,大意为:如果用户授权了第三方机构采集向运营商采集信息,就同意了运营商就可以给出合法信息。

  在中国联通的第三方收集名单里,金融机构、信息查询、互联网企业……都可以来查询信息,用户很难控制自己的信息到底被用于何处。

  用户画像往往用于个性化广告投放,互联网行业的通常做法是,只要数据不精准到个人,笼统的用户画像可以跟第三方分享,不需要单独征求用户同意。三大运营商也不例外。

  但如果信息能识别到个人,比如有个人特征的识别码、设备号码等等,《个人信息保护法》就要求说明个人信息接收方的联系方式,说明个人信息接收方的处理目的,获得用户明确同意。

  在这一方面,运营商的确都单独列出了分享给第三方公司的数据清单,从第三方SDK的数量可以看到,分享数据的范围惊人。

  第三方SDK是与第三方公司分享数据的工具,可以理解为一个外包助手,由外部公司开发,嵌入到本应用程序中。比如广告第三方SDK负责引入各种开屏、横幅广告,确保它们精准展示给合适的用户,同时收集用户点击和互动情况。

  信通院2021年的数据显示,国内一款APP分享的第三方SDK包平均在20个左右。记者统计了三大运营商的《第三方共享清单》,中国移动APP接入了超过100款SDK包,APP为41个,APP为16个。

  不仅如此,就如前文所说,APP收集、分享的数据,只是运营商庞河流中的一个截面。管道中的更多数据流向何方,用户往往无从得知。

  这同样是因为,大众主要关注的是移动应用程序,监管和标准也大多落脚于这一领域。比如《App违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》,网信办日常开展的APP违规处理个人信息的行动,针对的都是移动应用程序。

  一位曾参与APP个人信息保护国标的起草人,在聊天中向21记者坦言,电信运营商有自己的特殊性,的确是少有行标或国标,但可以参考上位法。

  除了《个人信息保护法》(下称《个保法》),像《消费者权益保护法》《广告法》也能直接约束运营商对个人信息的收集。例如《消费者权益保护法》规定,经营者未经消费者同意,不得向其发送商业性信息。

  但不难看出,这些法律对个人信息的要求比较笼统,针对的也多是短信、电话等传统服务。

  目前能参考的两部行业性规定——一部是2013年的《电信和互联网用户个人信息保护规定》,一部是2015年的《通信短信息服务管理规定》。自《个保法》出台以来,都没有任何更新了。

  拿《电信和互联网用户个人信息保护规定》来说,它属于“个保”概念诞生之前的产物,只规定了个人信息的收集、使用、储存,而2021年出台的《个保法》对加工、传输、提供、公开、删除等活动都作了详细处理要求。

  《个保法》出台之后,还更细微地区分了用户的单独同意、默示同意,《通信短管理规定》则没有更新。2020年8月31日,工信部发布了该规定的新征求意见稿,将“同意”的标准上升为“明确同意”,但该征求意见稿一直没有实施。

  工信部在2022年也计划修改《电信和互联网用户个人信息保护规定》,而后不再有新的进展公开,公开资料显示,其属于“十项年内完成研究起草任务的项目。”

填写您的项目需求给我们。

*请认真填写需求信息,我们会在24小时内与您取得联系。