编者按：个人数据是数字社会的富矿，它是互联网经济的起点，也是当下数据要素市场建设的关键。但当个人信息、行为数据化，数据商品化，我们难免产生疑惑：我们的信息安全吗？个人该如何保障自己的自主权？近年来，我国数据安全政策法规和制度标准体系不断健全，《网络安全法》《数据安全法》《个人信息保护法》相继实施，《关键信息基础设施安全保护条例》《网络安全审查办法》《云计算服务安全评估办法》等出台。9月9日至15日，2024年国家网络安全宣传周将开启，南财合规科技研究院将推出系列报道，探讨在数据流通、数据交易过程中，如何在挖掘数据价值的同时，保障个人信息安全、维护个人信息权利。

　　21世纪经济报道记者肖潇北京报道

　　在办理电话卡或者更换运营商时，谁会仔细阅读运营商的隐私政策？谁想过自己授权了运营商收集哪些数据，又可能会被用来做什么？

　　运营商“买卖”大数据早已不是讳莫如深的秘密。当前在上海交易所中，超过20%的数据产品来自三大电信运营商；一组更直观的数据是，今年8月发布的半年报中，中国移动首次将数据资源作为资产入表，入表金额达到7000万元。

　　由于这些数据交易主要面向政企市场，很难被普通消费者感知到。但无论如何，数据交易都必须通过用户授权这一关，《个人信息保护政策》作为与用户沟通的唯一桥梁便尤其关键。

　　21记者由此测评了三大运营商的个人信息保护政策，结果发现，相关条款难以找到，并且大多语焉不详。通讯录、通信内容、上网内容等被收集的信息，什么场景下会被收集、会不会被使用，大多未在隐私政策中充分说明。

　　相比步入常态的互联网平台监管，电信行业的合规标准，自《个人信息保护法》修订以来几乎没有更新。运营商要成为数据要素市场的重要参与者，还需要更多合规自觉和外部监督。

　　隐私政策说了什么？

　　查阅运营商的隐私政策，第一步就碰到了困难。

　　一般来说，用户《个人信息保护政策》在APP的登录界面弹出，三大运营商的APP同样如此。但问题是，运营商的许多数据并非通过APP收集，而是通过移动宽带网络，理应存在不同的服务条款。

　　对此，21记者分别在中国联通、中国电信的官网中，找到了包含所有服务产品的《中国联通用户隐私政策》和《中国电信个人信息保护政策》。但中国移动官网没有针对移动、宽带业务的协议，最终只找到一份由中国移动浙江公司提供的《中国移动通信客户服务协议》。

　　在上网的过程中，运营商会收集哪些信息？按这些用户服务协议的说法，大体有三种：一种是上网必须登记的个人身份信息；一种是服务数据，包括通讯录、短信内容、通话内容；还有一种是日志信息，比如基站记录的每个手机号位置、网页浏览记录……几乎能覆盖一个人上网的所有痕迹。

　　收集数据后，运营商会在哪些情况下用到它们？

　　按照《个人信息保护法》要求，运营商需要准确、完整地向个人告知个人信息的收集目的和收集方式。记者看到的这三份隐私政策，使用了不少“等”“相关信息”“可能”的概括性词语，无疑没有满足这一点。

　　如果将这些隐私政策与APP隐私政策对比，会有一些更有趣的发现。比如，APP能事无巨细地写明哪些页面、哪些功能触发哪些数据的收集。但提供网络运营，运营商很难说清自己收集信息具体是为了什么、会用在何处，只能用“优化网络服务质量”“提供电信服务”“实现上网收费准确”三板斧来解释。

（中国移动APP的隐私政策，具体到每个功能对应的数据收集）

　　三大运营商也没有在隐私政策中，提到商业性目的。不过，中国电信在《中国电信个人信息保护政策》单独提到了个性化营销：“我们可能使用您的个人信息，向您发送电子邮件、短信或拨打电话的方式，向您推送个性化或广告。如果不希望收到此类推送，可以按照我们的相关提示取消订阅。”

　　换句话说，签下这份协议，默认同意了营销短信和电话。

　　在数据共享中，运营商有最主要的两大业务场景：风控验真，买卖用户画像包来投放广告。但并不是每一家运营商都充分跟用户说明了情况。

　　风控验真一般运用在金融行业。比如，银行想要评估能不能放贷，便向运营商索要该用户的更多通信数据，以此评估放贷风险有多大。这种A、B两方交换用户数据的方式，通常是“三重授权”模式——用户向A授权同意，用户向B授权同意，AB两方之间再授权数据交换。

　　此前21记者报道运营商的失联修复业务时，一名企业合规负责人告诉记者，假如金融机构要通过运营商获取更多的当事人信息，要留意运营商有没有获得当事人授权、相关授权是否约定了买卖数据的权限。

　　而隐私政策透露出的现实是：即使得到了用户授权，约定也很含糊。

　　中国移动采取的是一揽子授权，没有单独说明。中国电信、中国联通提到了第三方查询业务，大意为：如果用户授权了第三方机构采集向运营商采集信息，就同意了运营商就可以给出合法信息。

　　在中国联通的第三方收集名单里，金融机构、信息查询、互联网企业……都可以来查询信息，用户很难控制自己的信息到底被用于何处。

　　用户画像往往用于个性化广告投放，互联网行业的通常做法是，只要数据不精准到个人，笼统的用户画像可以跟第三方分享，不需要单独征求用户同意。三大运营商也不例外。

　　但如果信息能识别到个人，比如有个人特征的识别码、设备号码等等，《个人信息保护法》就要求说明个人信息接收方的联系方式，说明个人信息接收方的处理目的，获得用户明确同意。

　　在这一方面，运营商的确都单独列出了分享给第三方公司的数据清单，从第三方SDK的数量可以看到，分享数据的范围惊人。

　　第三方SDK是与第三方公司分享数据的工具，可以理解为一个外包助手，由外部公司开发，嵌入到本应用程序中。比如广告第三方SDK负责引入各种开屏、横幅广告，确保它们精准展示给合适的用户，同时收集用户点击和互动情况。

　　信通院2021年的数据显示，国内一款APP分享的第三方SDK包平均在20个左右。记者统计了三大运营商的《第三方共享清单》，中国移动APP接入了超过100款SDK包，中国联通APP为41个，中国电信APP为16个。

　　不仅如此，就如前文所说，APP收集、分享的数据，只是运营商庞大数据河流中的一个截面。管道中的更多数据流向何方，用户往往无从得知。

　　被忽视的角落

　　在测评隐私政策时，存在另一个难点：没有针对性的公开准则。

　　这同样是因为，大众主要关注的是移动应用程序，监管和标准也大多落脚于这一领域。比如《App违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》，网信办日常开展的APP违规处理个人信息的行动，针对的都是移动应用程序。

　　一位曾参与APP个人信息保护国标的起草人，在聊天中向21记者坦言，电信运营商有自己的特殊性，的确是少有行标或国标，但可以参考上位法。

　　除了《个人信息保护法》（下称《个保法》），像《消费者权益保护法》《广告法》也能直接约束运营商对个人信息的收集。例如《消费者权益保护法》规定，经营者未经消费者同意，不得向其发送商业性信息。

　　但不难看出，这些法律对个人信息的要求比较笼统，针对的也多是短信、电话等传统服务。

　　目前能参考的两部行业性规定——一部是2013年的《电信和互联网用户个人信息保护规定》，一部是2015年的《通信短信息服务管理规定》。自《个保法》出台以来，都没有任何更新了。

　　拿《电信和互联网用户个人信息保护规定》来说，它属于“个保”概念诞生之前的产物，只规定了个人信息的收集、使用、储存，而2021年出台的《个保法》对加工、传输、提供、公开、删除等活动都作了详细处理要求。

　　《个保法》出台之后，还更细微地区分了用户的单独同意、默示同意，《通信短信息服务管理规定》则没有更新。2020年8月31日，工信部发布了该规定的新征求意见稿，将“同意”的标准上升为“明确同意”，但该征求意见稿一直没有实施。

　　工信部在2022年也计划修改《电信和互联网用户个人信息保护规定》，而后不再有新的进展公开，公开资料显示，其属于“十项年内完成研究起草任务的项目。”