由加州司法部长对移动应用隐私最后通牒引发的博客口水战愈演愈烈

近日，Kamala Harris 在移动应用开发者社区上发表的经授权最后通牒引起了轩然大波。她对移动软件开发者给出的30 天警告时间已所剩无几，而违规者将被处以高额罚金。该警告针对所有在加州销售移动软件的、未在应用下载前给出隐私警告的开发者。

为了秉承InfoQ 一贯的传统，即网罗英特网有用信息并如实展现给读者，希望之后所转的辩论也能给读者带来启示。该辩论集中在司法部长 Harris 关于大部分在加州销售的移动应用软件，未能根据加州法律定义的隐私权给出恰当的提示或警告上的调查。这是源于networkworld.com 网站的社区成员评论：

Mike Carter 评论到：

那些提倡应用程序应默认屏蔽隐私的论调，给出的支持理由却是似是而非的。我看到的几乎每条理由都可以反过来驳斥这个结论。底线是：大多数人愿意公开他们的隐私，而居心叵测的数据挖掘者则不。

在 Slashdot.org 上的评论也对此提出指责…… Nerdfest 评论到“为何单独把移动应用作为特殊例子分开处理呢？所有的软件程序，不论是客户端程序还是基于网络程序都应该同等对待。”

demonbug (309515) 评论到：

我们并没有刻意区别对待移动应用。这些规则适用于所有的在线应用，包括了绝大多数的移动应用。而移动应用的制作者严重地违反了这些规则，这很可能是由于大多数开发移动应用的公司规模很小，也没有法务部门告诉他们该怎么去做。因此有 100 家公司接到整改通知，新闻也大肆报道，希望这样做能让这些人学会像大公司一样遵守规则进行开发和销售。

Bogtha (906264) 评论到：

她（司法部长 Harris）应该先征询开发者的意见，而不只是问那些大公司的代表。这是接下去会发生的事情：你接到信函，需要你在 30 天之内在应用中加入该政策。该死！我们的移动应用开发是外包的（这很常见，因为移动开发者很少并跨区域）！我们必须支付设计变更所需的费用，加入按钮来显示这条政策。我们还要支付开发者工资以实现变更。该死！我们开发者的工作量都非常饱和，我们不得不另外找人做（这同样常见）。我们不得不找到新的开发者，让他们熟悉项目并完成变更。接着我们向苹果公司提交更新的版本，我们得为版本评审再等上若干时间。也许苹果公司不喜欢这个应用，也许他们的政策变了，或者之前的评审员没弄明白这个变更，或者我们只是遇到了坏评审员。我们被迫找回设计师和开发者，付他们工资做更多的工作，重新提交给苹果公司，继续等上若干时间去评审，而且我们必须在 30 天内做完。并且，这些都是假设苹果公司不需要我们对业务模式或应用操作做重大调整的前提下，我们还得假设只需要对应用做一个迭代的情况下。最关键的是所有的前提是我们能付给移动开发者昂贵的工资。这只是政策要求在苹果商店销售的应用所做的一切工作：你收到信函，需要你在 30 天内在你的应用中添加这条政策。但或许我们可以将政策贴到 Wordpress.com 或其他网站上而非新建个网站。或登录到 iTunes Connect 上把这条政策的链接写到隐私条款里，这也许会方便得多。

concealment (2447304) 评论到：

与其附上规定事项说明书的样本，司法部长为何不附上隐私条款的样本并做成开源文件让开发者都能用上呢？如果她能提供更适用的文档，这比起让开发者自己雇律师要有效得多，否则她也会因此只能得到较低的规则遵守率或不恰当的隐私条款描述。难道我们让政府牵头进行变更这点要求过分吗？我不觉得这会多花司法部长一分钱，她的机构本来就会雇佣律师。

Sarten-X (1102295) 评论到：

司法部长为何不附上隐私条款的样本？因为那是愚蠢的主意。这是法律文件，极可能每个案例都不一样，而做到这点的基础是需要每个开发者仔细审视每个应用需要访问的个人信息以及如何使用这些信息。为此做成样板式的“橡皮图章”仅仅是表面功夫，不能真正地提高开发者对隐私权保护的意识，最终还会接到相关的法律诉讼。一旦诉讼发生，仅少数懂得隐私条款的开发者会理解，大多数开发者甚至都不清楚发生了什么。正如大多数的法律文件，你通常不需要雇佣律师来写。你也许需要律师帮你写得缜密，其实任何形式的声明都是有用的。你可以这样写“本应用不恶意收集任何形式的个人信息，也不会泄漏给外部机构”，这样就可能符合规则所要求的而且是准确的陈述。在实际的法律诉讼中，因为这样的陈述没有充分定义“个人信息”或“外部”，可能会有小麻烦（为辩方律师有机可乘）。这游戏是否要为高分榜提供个人姓名？是否会发送使用情况报告？还是从开发者的服务器上下载更新？律师能用清晰的语言，枚举该应用所有会做的或不会做的行为，因此就不会有问题。但对多数应用（特别是那些非商业用途的应用）来说，这是不必要的。开发者应该清楚自己的程式是如何工作的，能至少定义出某一方面。关于免责声明：我可不是律师，但我有跟律师打交道的经验。

Concealment (2447304) 评论到：

我不认为会有那么多差异。如果我们要列出需要保留的各个数据字段或更改时间的长度，我们能修改开源文件来实现特别需求。但我们需要有个律师认可的模板，我不否认这份文件因个案而不同。在我看来这些差异并不明显，这样能够鼓励开发者采用更普遍的标准（类似社区规则）来解决他们想解决的隐私问题。这样做的结果是能够提升隐私条款文件的整体标准，这也正是为什么我说让专业人士来写个模板是好主意。

Sarten-X (1102295) 评论到：

隐私条款不该仅仅是规定事项说明流程的选项。正如每个法律条款，都应当是深思熟虑的结果。的确最终大多数开发者会写出类似的条款，但撰写流程（及验证流程）的过程本身传达了政策的重要性。隐私条款本身是你对于你所开发的应用会做什么，不会做什么的一种承诺。如果把这做成模板以节省时间，对于写的人来说也许根本不意味什么。当然，我们是可以花点功夫为开发者做个适用多数情况的系统，让大家根据不同需求选择相应的选项。我的担忧是这变得方便以后，人们也容易忽略这条款。当应用的下个版本加入了新特性或新广告后，我们可以想象开发者极可能忘记更新这条长期被忽视的条款。如果我们将条款打包成容易复制的“万精油”武器，我们大可应用到任何一款应用上，而且根本不用考虑程序的实际功能。明确的语言？法律术语远比想象的要复杂，更不用说你如何去枚举所有情况。“不会恶意收集个人信息”或类似的语句应该都可以。如果你清楚哪些行为是你的应用永远不会做的，你就应该清楚地列出来让用户放心。你可以对所有苹果商店销售的应用都这样做，但不适用于手机供应商在手机出厂时预装的那堆程序。应用程序只有在必要时才需要访问手机信息。如果你的移动应用中需要得到联系人的联系方式，那并不是好的软件程序……我看得到这样的移动应用已经从谷歌应用中慢慢消亡。但苹果公司并不能代替终端用户阐述权益。

Bogtha (906264) 评论到：

这是一份法律文件，因案例不同而各不相同，并且政府要求这份文件的原因是需要每个开发者仔细审视每个应用需要访问的个人信息以及如何使用这些信息。为此做成样板式的“橡皮图章”仅仅是表面功夫，不能真正地提高开发者对隐私权保护的意识，最终还会接到相关的法律诉讼。每当我创建收集个人信息的移动应用时，我都会这样做。在我 4 年的开发岁月中，每做一个网站我都会为此提供相关的隐私条款，这些隐私条款仅适用于该网站并不包括其他移动应用。我现在手头有个项目就卡在这个地方，我多次要求写出真正的隐私条款。应用的其他部分都已完成，我们仍然为隐私条款等待了数月。并不是所有人都像我们一样的坚持，他们早就会发布应用并加上毫无意义也不会去遵守的所谓隐私条款。

Eraesr (1629799) 评论到：

事实上，这还不是最大的问题。诚然，移动应用中的隐私条款也许是开发者的问题，但我非常确定如果你能在 30 天的要求之内向苹果公司提交某应用但由于其他因素被拒绝发布更新，法官仍然判你有罪。对用户来说，是在应用中加入隐私条款还是在商店中加入是截然不同的。如果在商店中加入隐私条款，如果用户不喜欢这条款，他或她也许就根本不会下载并安装这应用。如果在应用中加入该条款，用户则不得不先下载、安装、运行、创建好账户并登录后才能看到该条款。那个时候，也许这个应用早就收集完所有的用户信息并发送给应用开发者。这和你在个人电脑上安装软件时，看到的终端用户许可协议（EULA）是一样的。终端用户许可协议只有在你购买软件后才生效。因此如果你不接受终端用户许可协议，我很确定开发商会给你全额退款。就像你从商店买了条面包，付钱后你发现，你只能在家吃这块面包而且不能夹肉吃。

在 computerworld.com 上，许多网民是这样说的：

Patty O’Furniture 评论到：

在国家层面上，这引发了更大的问题：如果你打算在全美做生意，你还必须遵循不同的州法律。

Edgar Lafsatfanbois 在评论 fustakrakich (1673220) 所说的“为何司法部长不能附上一份隐私条款的样本，并以开源文件的形式提供给开发者使用呢？”时说到：“你很快就能看到应用被贴上“在加州不可用”的标签” 。
bmo (77928) 评论到：

这样做的真正目的是赶走那些规模较小的、不正规的、没有律师的、且能开发出具有“破坏性”产品的开发者。这并不是阴谋。在 80 年代，这是每个运营单命令行论坛（BBS）的人都必须面对的问题。24 年前的电子通讯隐私保护条例（ECPA）成为法律。你不该对加州司法部长的声明觉得意外。你可以复制其他人的隐私条款，这正是律师们做的。你真认为他们自己在写这些条款？这都是模板。你可以说“我们不恶意收集用户数据”并确保你的程式不违规，同时希望没有人会读你的条款。如果你想更保险点，可以参考 Facebook 的隐私条款。他们从不说“我们拥有你发布的所有信息”，但事实却如此，而大约 90% 的用户并不知情。条款的最后，他们说“我们保留将来修改该条款的权利”以绝后患。如果你是诚实直率的，写这条款并不难，难的是你想欺骗用户，这时候才需要好好斟酌条款的语句。

查看英文原文： Cross Blog Debates Rage as California Attorney General turns heat up on Mobile Dev’s

感谢贾国清对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作，请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博（ @InfoQ ）或者腾讯微博（ @InfoQ ）关注我们，并与我们的编辑和其他读者朋友交流。