因在年度账单上，以小字默认勾选“我同意《芝麻信用协议》”，支付宝陷入了窥探用户隐私的风波。

　　1月11日，工信部就个人信息保护约谈支付宝，称其存在用户个人信息收集使用规则、使用目的告知不充分的情况，要求企业本着充分保障用户知情权和选择权的原则立即进行整改。

　　南都记者调查发现，还有许多未被曝光的APP存在授权漏洞。日前，南都个人信息保护研究中心发布《关于收集个人信息“明示同意”的测评报告与建议》。

　　报告实测了100款常用APP发现，在用户注册前，“默认勾选”同意企业用户协议和隐私政策的情况并不少见，有的甚至存在用户不可自主选择同意与否的问题。仅有11%的APP做到了合乎法规及规范的“明示同意”。

　　默认勾选为何惹争议？

　　1月3日，支付宝发布年度账单，随即刷屏社交圈。然而在账单首页，默认勾选的“我同意《芝麻服务协议》”，引起了关注。6日，国家网信办就此约谈支付宝和芝麻信用的相关负责人，指出其收集使用个人信息的方式，不符合刚刚发布的《个人信息安全规范》国家标准的精神，违背了前不久签署的《个人信息保护倡议》的承诺。

　　为何默认勾选会引发争议？根据《网络安全法》第四十一条规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

　　据南都记者了解，2017年9月24日，中央网信办等四部门公布十款互联网产品和服务的隐私政策评审结果，并发起签署个人信息保护倡议书。倡议书包括尊重用户知情权和控制权，不使用“一揽子协议”的方式强迫用户打包授权对个人信息的收集，遵守用户授权，不收集与所提供服务无直接关联的个人信息等内容。

　　另据《个人信息安全规范》要求，收集个人敏感信息时，应取得个人信息主体的明示同意，确保其在完全知情的基础上自愿给出具体、清晰、明确的愿望表示，并且允许个人信息主体选择是否提供或同意自动采集。

　　94%的APP明示隐私政策

　　基于现有的法律和规范，默认勾选无疑侵犯了用户的相关权益。然而，南都记者发现，默认勾选已然成为一种普遍的现象。去年，南都个人信息保护研究中心曾测评了1550家网站和A PP的隐私政策。隐私政策通常在用户注册页面可见，但却经常被人忽视。究其原因，除了用户缺乏相关意识外，主要还因为企业甚少能做到“明示同意”。

　　近日，南都个人信息保护研究中心发布《关于收集个人信息“明示同意”的测评报告与建议》。报告选取了2017年“1550家隐私政策透明度”测评中10个行业排名前十的移动应用（以下简称APP）共100家为测评对象，人工考察在用户注册场景下，企业征求用户授权同意隐私政策（或用户协议）的方式。

　　此次测评主要考量两个维度，一是APP是否以强调方式对“隐私政策”字样进行突出处理，二是明示同意如何实现。后者分为四种方式，（1）不可自主选择；（2）点击注册即表示同意；（3）提供同意勾选框但默认同意；（4）提供勾选框并需要用户手动同意。

　　需要说明的是，测评取证时间为2018年1月12日-13日，且只考察在用户初次使用，即注册场景下的明示同意。所涉及的十大行业包括金融银行、休闲娱乐、体育健身、医疗健康、教育文化、新闻资讯、旅游交通、生活服务、社交交友、购物导购等。

　　从统计结果看，隐私政策透明度较高的100家APP中，94%的APP都能做到在注册页面上，通过下画线，区分颜色和字体的方式明示“隐私政策”以吸引用户点击。不过，QQ音乐、今日头条、搜狐新闻、六块腹肌、壹球、驾考宝典等6款A PP，明示隐私政策的效果并不明显，只是使用了与前后语句一样的文字显示。

　　仅有11款APP做到明示同意

　　根据个人信息安全规范，用户对隐私政策的同意需有“肯定性动作”。规范解释，肯定动作包括个人信息主体主动作出声明、主动勾选、主动点击“同意”、“注册”、“发送”、“拨打”等。

　　南都记者发现，企业获取用户同意的方式各异，一般有“点击注册即表示同意”、“默认勾选”、“提供勾选框并需要用户手动同意”三种方式。

　　然而据报告统计，有13家APP未给予用户对于隐私政策选择同意权。比如，中国银行的注册页面底部，直接标注了“已同意《中国银行电子银行客户安全服务保障须知》”。一淘的注册页面除了有国家地区和手机号外，仅有“已阅读并同意以下协议”，并未给用户提供确认授权的操作。

　　与之不同的是，在选取的100家测评APP中，将近一半的A PP采取了“点击注册即表示同意”的方式，占比高达47%。此外，有40款APP在注册页面上，隐私政策出现的位置前加入一个选择框，可供用户打钩选择。不过有29款APP默认了勾选，包括今日头条、美团外卖、爱奇艺等。而有11款则默认不同意。

　　值得一提的是，其中支付宝和百度新闻等几款APP还以弹窗的形式由用户自主选择同意与否。

　　南都记者发现，这11款APP大多是大型互联网企业旗下产品，包括京东商城、支付宝、微信、航旅纵横、百度地图等。而上述列举的这6家正好都是去年9月份四部委评审十大网络产品和服务隐私政策的参评对象。

中华养生网