作 者丨肖潇

编 辑丨王俊

在办理电话卡或者更换运营商时，谁会仔细阅读运营商的隐私政策？谁想过自己授权了运营商收集哪些数据，又可能会被用来做什么？

运营商 " 买卖 " 大数据早已不是讳莫如深的秘密。当前在上海交易所中，超过 20% 的数据产品来自三大电信运营商；一组更直观的数据是，今年 8 月发布的半年报中，中国移动首次将数据资源作为资产入表，入表金额达到 7000 万元。

由于这些数据交易主要面向政企市场，很难被普通消费者感知到。但无论如何，数据交易都必须通过用户授权这一关，《个人信息保护政策》作为与用户沟通的唯一桥梁便尤其关键。

21 记者由此测评了三大运营商的个人信息保护政策，结果发现，相关条款难以找到，并且大多语焉不详。通讯录、通信内容、上网内容等被收集的信息，什么场景下会被收集、会不会被使用，大多未在隐私政策中充分说明。 

相比步入常态的互联网平台监管，电信行业的合规标准，自《个人信息保护法》修订以来几乎没有更新。运营商要成为数据要素市场的重要参与者，还需要更多合规自觉和外部监督。

隐私政策说了什么？

查阅运营商的隐私政策，第一步就碰到了困难。

一般来说，用户《个人信息保护政策》在 APP 的登录界面弹出，三大运营商的 APP 同样如此。但问题是，运营商的许多数据并非通过 APP 收集，而是通过移动宽带网络，理应存在不同的服务条款。 

对此，21 记者分别在中国联通、中国电信的官网中，找到了包含所有服务产品的《中国联通用户隐私政策》和《中国电信个人信息保护政策》。但中国移动官网没有针对移动、宽带业务的协议，最终只找到一份由中国移动浙江公司提供的《中国移动通信客户服务协议》。

在上网的过程中，运营商会收集哪些信息？按这些用户服务协议的说法，大体有三种：一种是上网必须登记的个人身份信息；一种是服务数据，包括通讯录、短信内容、通话内容；还有一种是日志信息，比如基站记录的每个手机号位置、网页浏览记录……几乎能覆盖一个人上网的所有痕迹。

收集数据后，运营商会在哪些情况下用到它们？

按照《个人信息保护法》要求，运营商需要准确、完整地向个人告知个人信息的收集目的和收集方式。记者看到的这三份隐私政策，使用了不少 " 等 "" 相关信息 "" 可能 " 的概括性词语，无疑没有满足这一点。

如果将这些隐私政策与 APP 隐私政策对比，会有一些更有趣的发现。比如，APP 能事无巨细地写明哪些页面、哪些功能触发哪些数据的收集。但提供网络运营，运营商很难说清自己收集信息具体是为了什么、会用在何处，只能用 " 优化网络服务质量 "" 提供电信服务 "" 实现上网收费准确 " 三板斧来解释。

中国移动 APP 的隐私政策，具体到每个功能对应的数据收集

三大运营商也没有在隐私政策中，提到商业性目的。不过，中国电信在《中国电信个人信息保护政策》单独提到了个性化营销：" 我们可能使用您的个人信息，向您发送电子邮件、短信或拨打电话的方式，向您推送个性化或广告。如果不希望收到此类推送，可以按照我们的相关提示取消订阅。"

换句话说，签下这份协议，默认同意了营销短信和电话。

在数据共享中，运营商有最主要的两大业务场景：风控验真，买卖用户画像包来投放广告。但并不是每一家运营商都充分跟用户说明了情况。

风控验真一般运用在金融行业。比如，银行想要评估能不能放贷，便向运营商索要该用户的更多通信数据，以此评估放贷风险有多大。这种 A、B 两方交换用户数据的方式，通常是 " 三重授权 " 模式——用户向 A 授权同意，用户向 B 授权同意，AB 两方之间再授权数据交换。 

此前 21 记者报道运营商的失联修复业务时，一名企业合规负责人告诉记者，假如金融机构要通过运营商获取更多的当事人信息，要留意运营商有没有获得当事人授权、相关授权是否约定了买卖数据的权限。 

而隐私政策透露出的现实是：即使得到了用户授权，约定也很含糊。

中国移动采取的是一揽子授权，没有单独说明。中国电信、中国联通提到了第三方查询业务，大意为：如果用户授权了第三方机构采集向运营商采集信息，就同意了运营商就可以给出合法信息。

在中国联通的第三方收集名单里，金融机构、信息查询、互联网企业……都可以来查询信息，用户很难控制自己的信息到底被用于何处。

用户画像往往用于个性化广告投放，互联网行业的通常做法是，只要数据不精准到个人，笼统的用户画像可以跟第三方分享，不需要单独征求用户同意。三大运营商也不例外。 

但如果信息能识别到个人，比如有个人特征的识别码、设备号码等等，《个人信息保护法》就要求说明个人信息接收方的联系方式，说明个人信息接收方的处理目的，获得用户明确同意。 

在这一方面，运营商的确都单独列出了分享给第三方公司的数据清单，从第三方 SDK 的数量可以看到，分享数据的范围惊人。

第三方 SDK 是与第三方公司分享数据的工具，可以理解为一个外包助手，由外部公司开发，嵌入到本应用程序中。比如广告第三方 SDK 负责引入各种开屏、横幅广告，确保它们精准展示给合适的用户，同时收集用户点击和互动情况。

信通院 2021 年的数据显示，国内一款 APP 分享的第三方 SDK 包平均在 20 个左右。记者统计了三大运营商的《第三方共享清单》，中国移动 APP 接入了超过 100 款 SDK 包，中国联通 APP 为 41 个，中国电信 APP 为 16 个。

不仅如此，就如前文所说，APP 收集、分享的数据，只是运营商庞大数据河流中的一个截面。管道中的更多数据流向何方，用户往往无从得知。

被忽视的角落

在测评隐私政策时，存在另一个难点：没有针对性的公开准则。

这同样是因为，大众主要关注的是移动应用程序，监管和标准也大多落脚于这一领域。比如《App 违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》，网信办日常开展的 APP 违规处理个人信息的行动，针对的都是移动应用程序。

一位曾参与 APP 个人信息保护国标的起草人，在聊天中向 21 记者坦言，电信运营商有自己的特殊性，的确是少有行标或国标，但可以参考上位法。

除了《个人信息保护法》（下称《个保法》），像《消费者权益保护法》《广告法》也能直接约束运营商对个人信息的收集。例如《消费者权益保护法》规定，经营者未经消费者同意，不得向其发送商业性信息。 

但不难看出，这些法律对个人信息的要求比较笼统，针对的也多是短信、电话等传统服务。 

目前能参考的两部行业性规定——一部是 2013 年的《电信和互联网用户个人信息保护规定》，一部是 2015 年的《通信短信息服务管理规定》。自《个保法》出台以来，都没有任何更新了。

拿《电信和互联网用户个人信息保护规定》来说，它属于 " 个保 " 概念诞生之前的产物，只规定了个人信息的收集、使用、储存，而 2021 年出台的《个保法》对加工、传输、提供、公开、删除等活动都作了详细处理要求。

《个保法》出台之后，还更细微地区分了用户的单独同意、默示同意，《通信短信息服务管理规定》则没有更新。2020 年 8 月 31 日，工信部发布了该规定的新征求意见稿，将 " 同意 " 的标准上升为 " 明确同意 "，但该征求意见稿一直没有实施。 

工信部在 2022 年也计划修改《电信和互联网用户个人信息保护规定》，而后不再有新的进展公开，公开资料显示，其属于 " 十项年内完成研究起草任务的项目。"

本期编辑 黎雨桐