(原标题:年度报告满天飞,用了你的哪些个人信息)
胡骏还没来得及回忆2024年,年度报告们已经争相献上总结,他自嘲“被数据定义的一生”。
他在7个城市打车,飞行超过1万公里;在电商的消费支出不到2023年的一半;麦当劳的“穷鬼套餐”是他的最爱,下单超过50次;深夜听歌、刷小红书是他的生活方式;最常用的外卖备注是“放门口,别敲门,别敲门”;打卡多邻国,连续100天未曾间断……
胡骏感觉2024年的年度报告异常多,让人目不暇接。自2024年12月中旬以来,他陆续收到几十份年度报告,但只看了不到10份,保留或转发了3—5张印象深刻的截图。某快递应用推送了年度报告后,他觉得很无奈,实在是没必要。
在年度报告发布后,很多网友说,没有人比数据更懂自己。这让胡骏产生怀疑:“究竟哪些数据在记录自己的生活?”他第一次点开年度报告首页的“个人信息授权”或者“隐私授权”等协议。
绝大多数使用了账号、行为及订单信息
胡骏是移动互联网的原住民。在2015年左右,他已经注册了常用的应用。当时正是各大平台烧钱补贴,争夺新用户之际,百团大战、网约车之战来势汹汹。
在他的印象里,网易云音乐是年度报告潮流的引领者,开创拉新的新方式。网易云音乐的首个年度报告在2016年末上线,引得老用户转发刷屏,新用户下载体验。很多用户会为了保持网易云音乐年度报告数据的可靠性,避免切换多个App听歌,也间接保持了对平台的黏性。自此,各大平台纷纷下场,加入年度报告的混战。
八年以后,年度报告发布已经成为一片“红海”。据经济观察网不完全统计,截至2024年12月31日,有超过40个主流App发布了年度报告。其中,90%的应用为年度报告设置了专有的授权协议,声明数据仅用于生成年度报告。
绝大部分年度报告采集的数据包括三大类:账号信息(个人头像、昵称、登录时间及时长等)、行为信息(点赞、收藏、评论、转发等)、订单信息(下单金额、地址、时间、服务类型等)。此外,还有多设备的数据、行程信息、地理位置、好友互动情况等数据,也被部分应用用于生成个人年度报告。
酷我、茶百道、小宇宙、牛客没有单独为年度报告设置授权协议,但仍需用户同意根据App的隐私政策使用相关数据。
绝大部分年度报告需要下载App才能查看,餐饮类App大多将年度报告作为刺激消费的活动,观看完毕后,可以参与“分享抽奖”“领取优惠券”等互动。
美团、腾讯系应用、滴滴以及小红书的授权协议文本最长,并且在授权协议中采用加粗、划线等方式标注重点,比如数据搜集的时间范围、数据类型及用途等。部分平台还在授权协议中提供邮箱供用户反馈。
音乐类和外语学习类应用几乎都提供了年度报告,可以说是“兵家必争之地”。
酷狗的授权协议最为详细,分别从历史数据和2024年数据两方面,说明了采用的信息类别。此外,音乐App中仅有网易云音乐采集了好友之间的互动数据,比如双人空间中的行为数据。与之相似的是游戏类应用,比如蛋仔派对、王者荣耀等游戏在年度报告都突出了最佳合作好友等社交属性。
墨墨背单词、扇贝单词等外语学习类应用在年度报告中,都强调了打卡持续天数,以及用户排行。
值得注意的是,大部分电商的应用都非常“低调”,未提供年度报告。比如抖音没有年度报告,而支付宝和淘宝仅提供年度账单数据,但并未单独宣传告知用户入口,需要仔细寻找,与前几年的情况不同。当当则为用户提供“年度阅读报告”,来源于用户下单购买的书籍情况。
搜集数据类别最丰富的是飞书,这一应用集通讯、文档、会议、表格处理等功能于一体,其年度报告涵盖了用户行为数据、工具使用情况等几十个维度,并对绝大部分数据进行进一步说明。
例如,发出消息数(仅收集信息数量,不涉及信息内容)、单聊人数(仅收集人数,不涉及具体人员信息)、发言群数、使用次数最多的快捷表情和使用次数、创建文档数、全年参会总数量及排位、年度对比。
Spotify、多邻国、任天堂、Playstation等国外应用,它们未具体说明所采集的数据范围和类型,但根据年度报告来看,使用的数据相对更少,仅有账户信息,比如不同游戏时长、听歌总时长等,并不涉及用户在App上产生的行为数据。不少用户也会表示过于单调与无聊。
数据使用合规,但平台仍有改进空间
泰和泰律师事务所律师杜双,专攻互联网及数据合规业务,在接受经济观察网采访时表示,平台依据用户数据制作年度报告的做法是符合现行法律规定的。
他通过实例说明平台的合规举措:当年度报告首次启动时,平台会通过弹窗等显著方式提醒用户阅读隐私政策及个人信息收集使用规则,用户若未勾选同意,则无法查看年度报告;隐私政策中,平台通常会详细阐释个人信息的收集与使用规则;同时,平台承诺不会向第三方披露用户信息,并在用户截图、保存或转发时提供易于识别的提示,以降低隐私泄露风险。
杜双建议,在授权“个人信息”时,用户应特别关注协议中的三个关键点:
一是数据采集的时间范围:部分平台在用户首次授权后会持续采集数据,除非用户主动要求停止采集并删除所有相关数据。
二是数据采集的类型:尤其是与个人生物信息、健康信息相关的数据,如面部、声音、指纹、基因特征,以及体检、诊疗记录、病史等,这些信息的保护尤为重要。例如,目前暂无互联网医疗类的公司发布相应的年度报告。
三是数据处理的承诺:用户需关注平台是否承诺对采集的数据进行匿名化和脱敏处理,以确保无法直接识别个体用户。
2021年11月,《中华人民共和国个人信息保护法》(下称《个保法》)正式施行,这是保障用户个人信息最重要的法律之一。
君合律所曾对比《个保法》与《个人信息保护法(草案二次审议稿)》的变化,其中两个重点修改内容分别为:
《个保法》重申收集个人信息“应当限于实现处理目的的最小范围”,并增加了“不得过度收集个人信息”的规定,进一步完善了个人信息处理规则;
此外,《个保法》将“基础性互联网平台服务”修改为“重要互联网平台服务”,这一规定也体现了监管机关重视对互联网巨头或重点互联网企业的监管和引导。
杜双认为,《个保法》的出台促使平台更加重视个人信息使用的合规性。他观察到,许多公司为此设立了专门的部门和人员来负责数据处理。在数据处理中,匿名化和脱敏处理是两个至关重要的环节。此外,许多平台也重新审查并优化了信息收集同意流程,并引入了单独同意机制,比如年度报告的数据需要再次授权。
然而,他也指出平台在保护用户个人信息方面仍有改进空间。
一方面,《个保法》明确了处理个人信息的“最小必要原则”,即对个人权益产生的影响最小、仅限于满足处理目的的最小范围,不得过度收集个人信息。但在实际操作中,平台的隐私政策往往采用“一揽子”同意模式,而不是针对超出最小范围的特定个人信息处理单独获得同意,导致用户不同意就无法使用基本服务。以年度报告采集的信息为例,用户无法选择具体授权哪些数据,但如果不勾选同意,则无法使用年度报告功能。
另一方面,目前很少有平台提供明显的渠道或入口,让用户选择删除或停止使用相关数据。
杜双指出,用户对个人信息、数据安全以及隐私保护的要求在不断提高,这有助于推动平台细化和完善相关机制,也有助于数据交易市场的安全与繁荣。
(应受访者要求,胡骏为化名)