編者按：個人數據是數字社會的富礦，它是互聯網經濟的起點，也是當下數據要素市場建設的關鍵。但當個人信息、行為數據化，數據商品化，我們難免產生疑惑：我們的信息安全嗎？個人該如何保障自己的自主權？近年來，我國數據安全政策法規和制度標準體系不斷健全，《網絡安全法》《數據安全法》《個人信息保護法》相繼實施，《關鍵信息基礎設施安全保護條例》《網絡安全審查辦法》《云計算服務安全評估辦法》等出臺。9月9日至15日，2024年國家網絡安全宣傳周將開啟，南財合規科技研究院將推出系列報道，探討在數據流通、數據交易過程中，如何在挖掘數據價值的同時，保障個人信息安全、維護個人信息權利。

　　21世紀經濟報道 記者肖瀟 北京報道

　　在辦理電話卡或者更換運營商時，誰會仔細閱讀運營商的隱私政策？誰想過自己授權了運營商收集哪些數據，又可能會被用來做什么？

　　運營商“買賣”大數據早已不是諱莫如深的秘密。當前在上海交易所中，超過20%的數據產品來自三大電信運營商；一組更直觀的數據是，今年8月發布的半年報中，中國移動首次將數據資源作為資產入表，入表金額達到7000萬元。

　　由于這些數據交易主要面向政企市場，很難被普通消費者感知到。但無論如何，數據交易都必須通過用戶授權這一關，《個人信息保護政策》作為與用戶溝通的唯一橋梁便尤其關鍵。

　　21記者由此測評了三大運營商的個人信息保護政策，結果發現，相關條款難以找到，并且大多語焉不詳。通訊錄、通信內容、上網內容等被收集的信息，什么場景下會被收集、會不會被使用，大多未在隱私政策中充分說明。 

　　相比步入常態的互聯網平臺監管，電信行業的合規標準，自《個人信息保護法》修訂以來幾乎沒有更新。運營商要成為數據要素市場的重要參與者，還需要更多合規自覺和外部監督。

　　隱私政策說了什么？

　　查閱運營商的隱私政策，第一步就碰到了困難。

　　一般來說，用戶《個人信息保護政策》在APP的登錄界面彈出，三大運營商的APP同樣如此。但問題是，運營商的許多數據并非通過APP收集，而是通過移動寬帶網絡，理應存在不同的服務條款。 

　　對此，21記者分別在中國聯通、中國電信的官網中，找到了包含所有服務產品的《中國聯通用戶隱私政策》和《中國電信個人信息保護政策》。但中國移動官網沒有針對移動、寬帶業務的協議，最終只找到一份由中國移動浙江公司提供的《中國移動通信客戶服務協議》。

　　在上網的過程中，運營商會收集哪些信息？按這些用戶服務協議的說法，大體有三種：一種是上網必須登記的個人身份信息；一種是服務數據，包括通訊錄、短信內容、通話內容；還有一種是日志信息，比如基站記錄的每個手機號位置、網頁瀏覽記錄……幾乎能覆蓋一個人上網的所有痕跡。

　　收集數據后，運營商會在哪些情況下用到它們？

　　按照《個人信息保護法》要求，運營商需要準確、完整地向個人告知個人信息的收集目的和收集方式。記者看到的這三份隱私政策，使用了不少“等”“相關信息”“可能”的概括性詞語，無疑沒有滿足這一點。

　　如果將這些隱私政策與APP隱私政策對比，會有一些更有趣的發現。比如，APP能事無巨細地寫明哪些頁面、哪些功能觸發哪些數據的收集。但提供網絡運營，運營商很難說清自己收集信息具體是為了什么、會用在何處，只能用“優化網絡服務質量”“提供電信服務”“實現上網收費準確”三板斧來解釋。

（中國移動APP的隱私政策，具體到每個功能對應的數據收集）

　　三大運營商也沒有在隱私政策中，提到商業性目的。不過，中國電信在《中國電信個人信息保護政策》單獨提到了個性化營銷：“我們可能使用您的個人信息，向您發送電子郵件、短信或撥打電話的方式，向您推送個性化或廣告。如果不希望收到此類推送，可以按照我們的相關提示取消訂閱。”

　　換句話說，簽下這份協議，默認同意了營銷短信和電話。

　　在數據共享中，運營商有最主要的兩大業務場景：風控驗真，買賣用戶畫像包來投放廣告。但并不是每一家運營商都充分跟用戶說明了情況。

　　風控驗真一般運用在金融行業。比如，銀行想要評估能不能放貸，便向運營商索要該用戶的更多通信數據，以此評估放貸風險有多大。這種A、B兩方交換用戶數據的方式，通常是“三重授權”模式——用戶向A授權同意，用戶向B授權同意，AB兩方之間再授權數據交換。 

　　此前21記者報道運營商的失聯修復業務時，一名企業合規負責人告訴記者，假如金融機構要通過運營商獲取更多的當事人信息，要留意運營商有沒有獲得當事人授權、相關授權是否約定了買賣數據的權限。 

　　而隱私政策透露出的現實是：即使得到了用戶授權，約定也很含糊。

　　中國移動采取的是一攬子授權，沒有單獨說明。中國電信、中國聯通提到了第三方查詢業務，大意為：如果用戶授權了第三方機構采集向運營商采集信息，就同意了運營商就可以給出合法信息。

　　在中國聯通的第三方收集名單里，金融機構、信息查詢、互聯網企業……都可以來查詢信息，用戶很難控制自己的信息到底被用于何處。

　　用戶畫像往往用于個性化廣告投放，互聯網行業的通常做法是，只要數據不精準到個人，籠統的用戶畫像可以跟第三方分享，不需要單獨征求用戶同意。三大運營商也不例外。 

　　但如果信息能識別到個人，比如有個人特征的識別碼、設備號碼等等，《個人信息保護法》就要求說明個人信息接收方的聯系方式，說明個人信息接收方的處理目的，獲得用戶明確同意。 

　　在這一方面，運營商的確都單獨列出了分享給第三方公司的數據清單，從第三方SDK的數量可以看到，分享數據的范圍驚人。

　　第三方SDK是與第三方公司分享數據的工具，可以理解為一個外包助手，由外部公司開發，嵌入到本應用程序中。比如廣告第三方SDK負責引入各種開屏、橫幅廣告，確保它們精準展示給合適的用戶，同時收集用戶點擊和互動情況。

　　信通院2021年的數據顯示，國內一款APP分享的第三方SDK包平均在20個左右。記者統計了三大運營商的《第三方共享清單》，中國移動APP接入了超過100款SDK包，中國聯通APP為41個，中國電信APP為16個。

　　不僅如此，就如前文所說，APP收集、分享的數據，只是運營商龐大數據河流中的一個截面。管道中的更多數據流向何方，用戶往往無從得知。

　　被忽視的角落

　　在測評隱私政策時，存在另一個難點：沒有針對性的公開準則。

　　這同樣是因為，大眾主要關注的是移動應用程序，監管和標準也大多落腳于這一領域。比如《App違法違規收集使用個人信息行為認定方法》《常見類型移動互聯網應用程序必要個人信息范圍規定》，網信辦日常開展的APP違規處理個人信息的行動，針對的都是移動應用程序。

　　一位曾參與APP個人信息保護國標的起草人，在聊天中向21記者坦言，電信運營商有自己的特殊性，的確是少有行標或國標，但可以參考上位法。 

　　除了《個人信息保護法》（下稱《個保法》），像《消費者權益保護法》《廣告法》也能直接約束運營商對個人信息的收集。例如《消費者權益保護法》規定，經營者未經消費者同意，不得向其發送商業性信息。 

　　但不難看出，這些法律對個人信息的要求比較籠統，針對的也多是短信、電話等傳統服務。

　　目前能參考的兩部行業性規定——一部是2013年的《電信和互聯網用戶個人信息保護規定》，一部是2015年的《通信短信息服務管理規定》。自《個保法》出臺以來，都沒有任何更新了。

　　拿《電信和互聯網用戶個人信息保護規定》來說，它屬于“個保”概念誕生之前的產物，只規定了個人信息的收集、使用、儲存，而2021年出臺的《個保法》對加工、傳輸、提供、公開、刪除等活動都作了詳細處理要求。

　　《個保法》出臺之后，還更細微地區分了用戶的單獨同意、默示同意，《通信短信息服務管理規定》則沒有更新。2020年8月31日，工信部發布了該規定的新征求意見稿，將“同意”的標準上升為“明確同意”，但該征求意見稿一直沒有實施。 

　　工信部在2022年也計劃修改《電信和互聯網用戶個人信息保護規定》，而后不再有新的進展公開，公開資料顯示，其屬于“十項年內完成研究起草任務的項目。”

海量資訊、精準解讀，盡在新浪財經APP

責任編輯：江鈺涵