14億人的個人信息都去哪兒了？運營商隐私政策無法回答

今天小編分享的财經經驗：14億人的個人信息都去哪兒了？運營商隐私政策無法回答，歡迎閲讀。

作 者丨肖潇

編 輯丨王俊

在辦理電話卡或者更換運營商時，誰會仔細閲讀運營商的隐私政策？誰想過自己授權了運營商收集哪些數據，又可能會被用來做什麼？

運營商 " 買賣 " 大數據早已不是諱莫如深的秘密。當前在上海交易所中，超過 20% 的數據產品來自三大電信運營商；一組更直觀的數據是，今年 8 月發布的半年報中，中國移動首次将數據資源作為資產入表，入表金額達到 7000 萬元。

由于這些數據交易主要面向政企市場，很難被普通消費者感知到。但無論如何，數據交易都必須通過用户授權這一關，《個人信息保護政策》作為與用户溝通的唯一橋梁便尤其關鍵。

21 記者由此測評了三大運營商的個人信息保護政策，結果發現，相關條款難以找到，并且大多語焉不詳。通訊錄、通信内容、上網内容等被收集的信息，什麼場景下會被收集、會不會被使用，大多未在隐私政策中充分説明。 

相比步入常态的互聯網平台監管，電信行業的合規标準，自《個人信息保護法》修訂以來幾乎沒有更新。運營商要成為數據要素市場的重要參與者，還需要更多合規自覺和外部監督。

隐私政策説了什麼？

查閲運營商的隐私政策，第一步就碰到了困難。

一般來説，用户《個人信息保護政策》在 APP 的登錄界面彈出，三大運營商的 APP 同樣如此。但問題是，運營商的許多數據并非通過 APP 收集，而是通過移動寬帶網絡，理應存在不同的服務條款。 

對此，21 記者分别在中國聯通、中國電信的官網中，找到了包含所有服務產品的《中國聯通用户隐私政策》和《中國電信個人信息保護政策》。但中國移動官網沒有針對移動、寬帶業務的協定，最終只找到一份由中國移動浙江公司提供的《中國移動通信客户服務協定》。

在上網的過程中，運營商會收集哪些信息？按這些用户服務協定的説法，大體有三種：一種是上網必須登記的個人身份信息；一種是服務數據，包括通訊錄、短信内容、通話内容；還有一種是日志信息，比如基站記錄的每個手機号位置、網頁浏覽記錄……幾乎能覆蓋一個人上網的所有痕迹。

收集數據後，運營商會在哪些情況下用到它們？

按照《個人信息保護法》要求，運營商需要準确、完整地向個人告知個人信息的收集目的和收集方式。記者看到的這三份隐私政策，使用了不少 " 等 "" 相關信息 "" 可能 " 的概括性詞語，無疑沒有滿足這一點。

如果将這些隐私政策與 APP 隐私政策對比，會有一些更有趣的發現。比如，APP 能事無巨細地寫明哪些頁面、哪些功能觸發哪些數據的收集。但提供網絡運營，運營商很難説清自己收集信息具體是為了什麼、會用在何處，只能用 " 優化網絡服務質量 "" 提供電信服務 "" 實現上網收費準确 " 三板斧來解釋。

中國移動 APP 的隐私政策，具體到每個功能對應的數據收集

三大運營商也沒有在隐私政策中，提到商業性目的。不過，中國電信在《中國電信個人信息保護政策》單獨提到了個性化營銷：" 我們可能使用您的個人信息，向您發送電子郵件、短信或撥打電話的方式，向您推送個性化或廣告。如果不希望收到此類推送，可以按照我們的相關提示取消訂閲。"

換句話説，籤下這份協定，默認同意了營銷短信和電話。

在數據共享中，運營商有最主要的兩大業務場景：風控驗真，買賣用户畫像包來投放廣告。但并不是每一家運營商都充分跟用户説明了情況。

風控驗真一般運用在金融行業。比如，銀行想要評估能不能放貸，便向運營商索要該用户的更多通信數據，以此評估放貸風險有多大。這種 A、B 兩方交換用户數據的方式，通常是 " 三重授權 " 模式——用户向 A 授權同意，用户向 B 授權同意，AB 兩方之間再授權數據交換。 

此前 21 記者報道運營商的失聯修復業務時，一名企業合規負責人告訴記者，假如金融機構要通過運營商獲取更多的當事人信息，要留意運營商有沒有獲得當事人授權、相關授權是否約定了買賣數據的權限。 

而隐私政策透露出的現實是：即使得到了用户授權，約定也很含糊。

中國移動采取的是一攬子授權，沒有單獨説明。中國電信、中國聯通提到了第三方查詢業務，大意為：如果用户授權了第三方機構采集向運營商采集信息，就同意了運營商就可以給出合法信息。

在中國聯通的第三方收集名單裏，金融機構、信息查詢、互聯網企業……都可以來查詢信息，用户很難控制自己的信息到底被用于何處。

用户畫像往往用于個性化廣告投放，互聯網行業的通常做法是，只要數據不精準到個人，籠統的用户畫像可以跟第三方分享，不需要單獨征求用户同意。三大運營商也不例外。 

但如果信息能識别到個人，比如有個人特征的識别碼、設備号碼等等，《個人信息保護法》就要求説明個人信息接收方的聯系方式，説明個人信息接收方的處理目的，獲得用户明确同意。 

在這一方面，運營商的确都單獨列出了分享給第三方公司的數據清單，從第三方 SDK 的數量可以看到，分享數據的範圍驚人。

第三方 SDK 是與第三方公司分享數據的工具，可以理解為一個外包助手，由外部公司開發，嵌入到本應用程式中。比如廣告第三方 SDK 負責引入各種開屏、橫幅廣告，确保它們精準展示給合适的用户，同時收集用户點擊和互動情況。

信通院 2021 年的數據顯示，國内一款 APP 分享的第三方 SDK 包平均在 20 個左右。記者統計了三大運營商的《第三方共享清單》，中國移動 APP 接入了超過 100 款 SDK 包，中國聯通 APP 為 41 個，中國電信 APP 為 16 個。

不僅如此，就如前文所説，APP 收集、分享的數據，只是運營商龐大數據河流中的一個截面。管道中的更多數據流向何方，用户往往無從得知。

被忽視的角落

在測評隐私政策時，存在另一個難點：沒有針對性的公開準則。

這同樣是因為，大眾主要關注的是移動應用程式，監管和标準也大多落腳于這一領網域。比如《App 違法違規收集使用個人信息行為認定方法》《常見類型移動互聯網應用程式必要個人信息範圍規定》，網信辦日常開展的 APP 違規處理個人信息的行動，針對的都是移動應用程式。

一位曾參與 APP 個人信息保護國标的起草人，在聊天中向 21 記者坦言，電信運營商有自己的特殊性，的确是少有行标或國标，但可以參考上位法。

除了《個人信息保護法》（下稱《個保法》），像《消費者權益保護法》《廣告法》也能直接約束運營商對個人信息的收集。例如《消費者權益保護法》規定，經營者未經消費者同意，不得向其發送商業性信息。 

但不難看出，這些法律對個人信息的要求比較籠統，針對的也多是短信、電話等傳統服務。 

目前能參考的兩部行業性規定——一部是 2013 年的《電信和互聯網用户個人信息保護規定》，一部是 2015 年的《通信短信息服務管理規定》。自《個保法》出台以來，都沒有任何更新了。

拿《電信和互聯網用户個人信息保護規定》來説，它屬于 " 個保 " 概念誕生之前的產物，只規定了個人信息的收集、使用、儲存，而 2021 年出台的《個保法》對加工、傳輸、提供、公開、删除等活動都作了詳細處理要求。

《個保法》出台之後，還更細微地區分了用户的單獨同意、默示同意，《通信短信息服務管理規定》則沒有更新。2020 年 8 月 31 日，工信部發布了該規定的新征求意見稿，将 " 同意 " 的标準上升為 " 明确同意 "，但該征求意見稿一直沒有實施。 

工信部在 2022 年也計劃修改《電信和互聯網用户個人信息保護規定》，而後不再有新的進展公開，公開資料顯示，其屬于 " 十項年内完成研究起草任務的項目。"

本期編輯 黎雨桐