14亿人的个人信息都去哪儿了？运营商隐私方针无法回答

21 世纪经济报导 记者肖潇 北京报导

在处理电话卡或许替换运营商时，谁会仔细阅读运营商的隐私方针？谁想过自己授权了运营商搜集哪些数据，又或许会被用来做什么？

运营商 " 生意 " 大数据早已不是讳莫如深的隐秘。当时在上海生意所中，超越 20% 的数据产品来自三大电信运营商；一组更直观的数据是，本年 8 月发布的半年报中，中国移动初次将数据资源作为财物入表，入表金额到达 7000 万元。

因为这些数据生意首要面向政企商场，很难被一般顾客感知到。但无论如何，数据生意都有必要经过用户授权这一关，《个人信息维护方针》作为与用户交流的仅有桥梁便特别要害。

21 记者由此测评了三大运营商的个人信息维护方针，成果发现，相关条款难以找到，而且大多语焉不详。通讯录、通讯内容、上网内容等被搜集的信息，什么场景下会被搜集、会不会被运用，大多未在隐私方针中充沛阐明。 

比较步入常态的互联网渠道监管，电信职业的合规规范，自《个人信息维护法》修订以来简直没有更新。运营商要成为数据要素商场的重要参加者，还需求更多合规自觉和外部监督。

隐私方针说了什么？

查阅运营商的隐私方针，第一步就碰到了困难。

一般来说，用户《个人信息维护方针》在 APP 的登录界面弹出，三大运营商的 APP 相同如此。但问题是，运营商的许多数据并非经过 APP 搜集，而是经过移动宽带网络，理应存在不同的服务条款。 

对此，21 记者分别在中国联通、中国电信的官网中，找到了包含一切服务产品的《中国联通用户隐私方针》和《中国电信个人信息维护方针》。但中国移动官网没有针对移动、宽带事务的协议，终究只找到一份由中国移动浙江公司供给的《中国移动通讯客户服务协议》。

在上网的过程中，运营商会搜集哪些信息？按这些用户服务协议的说法，大体有三种：一种是上网有必要挂号的个人身份信息；一种是服务数据，包含通讯录、短信内容、通话内容；还有一种是日志信息，比方基站记载的每个手机号方位、网页阅读记载……简直能掩盖一个人上网的一切痕迹。

搜集数据后，运营商会在哪些状况下用到它们？

依照《个人信息维护法》要求，运营商需求精确、完整地向个人奉告个人信息的搜集意图和搜集办法。记者看到的这三份隐私方针，运用了不少 " 等 "" 相关信息 "" 或许 " 的概括性词语，无疑没有满意这一点。

假设将这些隐私方针与 APP 隐私方针比照，会有一些更风趣的发现。比方，APP 能事无巨细地写明哪些页面、哪些功用触发哪些数据的搜集。但供给网络运营，运营商很难说清自己搜集信息具体是为了什么、会用在何处，只能用 " 优化网络服务质量 "" 供给电信服务 "" 完结上网收费精确 " 三板斧来解说。

（中国移动 APP 的隐私方针，具体到每个功用对应的数据搜集）

三大运营商也没有在隐私方针中，说到商业性意图。不过，中国电信在《中国电信个人信息维护方针》独自说到了个性化营销：" 咱们或许运用您的个人信息，向您发送电子邮件、短信或拨打电话的办法，向您推送个性化或广告。假设不期望收到此类推送，能够依照咱们的相关提示撤销订阅。"

换句话说，签下这份协议，默许赞同了营销短信和电话。

在数据同享中，运营商有最首要的两大事务场景：风控验真，生意用户画像包来投进广告。但并不是每一家运营商都充沛跟用户阐明晰状况。

风控验真一般运用在金融职业。比方，银行想要评价能不能放贷，便向运营商索要该用户的更多通讯数据，以此评价放贷危险有多大。这种 A、B 两方交流用户数据的办法，一般是 " 三重授权 " 形式——用户向 A 授权赞同，用户向 B 授权赞同，AB 两方之间再授权数据交流。 

此前 21 记者报导运营商的失联修正事务时，一名企业合规担任人告知记者，假设金融组织要经过运营商获取更多的当事人信息，要留心运营商有没有取得当事人授权、相关授权是否约好了生意数据的权限。 

而隐私方针透露出的现实是：即便得到了用户授权，约好也很迷糊。

中国移动采纳的是一揽子授权，没有独自阐明。中国电信、中国联通说到了第三方查询事务，大意为：假设用户授权了第三方组织搜集向运营商搜集信息，就赞同了运营商就能够给出合法信息。

在中国联通的第三方搜集名单里，金融组织、信息查询、互联网企业……都能够来查询信息，用户很难控制自己的信息究竟被用于何处。

用户画像往往用于个性化广告投进，互联网职业的一般做法是，只需数据不精准到个人，抽象的用户画像能够跟第三方同享，不需求独自寻求用户赞同。三大运营商也不破例。 

但假设信息能识别到个人，比方有个人特征的识别码、设备号码等等，《个人信息维护法》就要求阐明个人信息接收方的联系办法，阐明个人信息接收方的处理意图，取得用户清晰赞同。 

在这一方面，运营商确实都独自列出了同享给第三方公司的数据清单，从第三方 SDK 的数量能够看到，同享数据的规模惊人。

第三方 SDK 是与第三方公司同享数据的东西，能够理解为一个外包帮手，由外部公司开发，嵌入到本应用程序中。比方广告第三方 SDK 担任引进各种开屏、横幅广告，保证它们精准展现给适宜的用户，一起搜集用户点击和互动状况。

信通院 2021 年的数据显现，国内一款 APP 同享的第三方 SDK 包平均在 20 个左右。记者计算了三大运营商的《第三方同享清单》，中国移动 APP 接入了超越 100 款 SDK 包，中国联通 APP 为 41 个，中国电信 APP 为 16 个。

不仅如此，就如前文所说，APP 搜集、同享的数据，仅仅运营商巨大数据河流中的一个截面。管道中的更多数据流向何方，用户往往无从得知。

被忽视的旮旯

在测评隐私方针时，存在另一个难点：没有针对性的揭露原则。

这相同是因为，群众首要重视的是移动应用程序，监管和规范也大多落脚于这一范畴。比方《App 违法违规搜集运用个人信息行为确定办法》《常见类型移动互联网应用程序必要个人信息规模规则》，网信办日常展开的 APP 违规处理个人信息的举动，针对的都是移动应用程序。

一位曾参加 APP 个人信息维护国标的起草人，在谈天中向 21 记者坦言，电信运营商有自己的特殊性，确实是罕见行标或国标，但能够参阅上位法。 

除了《个人信息维护法》（下称《个保法》），像《顾客权益维护法》《广告法》也能直接束缚运营商对个人信息的搜集。例如《顾客权益维护法》规则，经营者未经顾客赞同，不得向其发送商业性信息。 

但不难看出，这些法令对个人信息的要求比较抽象，针对的也多是短信、电话等传统服务。 

现在能参阅的两部职业性规则——一部是 2013 年的《电信和互联网用户个人信息维护规则》，一部是 2015 年的《通讯短信息服务办理规则》。自《个保法》出台以来，都没有任何更新了。

拿《电信和互联网用户个人信息维护规则》来说，它归于 " 个保 " 概念诞生之前的产品，只规则了个人信息的搜集、运用、贮存，而 2021 年出台的《个保法》对加工、传输、供给、揭露、删去等活动都作了具体处理要求。

《个保法》出台之后，还更纤细区域分了用户的独自赞同、默示赞同，《通讯短信息服务办理规则》则没有更新。2020 年 8 月 31 日，工信部发布了该规则的新寻求意见稿，将 " 赞同 " 的规范上升为 " 清晰赞同 "，但该寻求意见稿一向没有施行。 

工信部在 2022 年也方案修正《电信和互联网用户个人信息维护规则》，然后不再有新的发展揭露，揭露材料显现，其归于 " 十项年内完结研讨起草使命的项目。"