胡駿還來不及回憶2024年，年度報告們已經爭相獻上總結，他自嘲「被數據定義的一生」。他在7個城市搭計程車，飛行超過1萬公里；在電商的消費支出不到2023年的一半；麥當勞的「窮鬼套餐」是他的最愛，下單超過50次；深夜聽歌、刷小紅書是他的生活方式；最常用的外帶備註是「放門口，別敲門，別敲門」；打卡多鄰國，連續100天未曾間斷…

胡駿感覺2024年的年度報告異常多，讓人目不暇給。自2024年12月中旬以來，他陸續收到數十份年度報告，但只看了不到10份，保留或轉發了3—5張印象深刻的截圖。某快遞應用程式推播了年度報告後，他覺得很無奈，實在是沒必要。

在年度報告發布後，許多網友說，沒有人比數據更懂自己。這讓胡駿產生懷疑：「究竟哪些資料在記錄自己的生活？」他第一次點開年度報告首頁的「個人資訊授權」或「隱私授權」等協議。

絕大多數使用了帳號、行為及訂單訊息

胡駿是行動網路的原住民。在2015年左右，他已經註冊了常用的應用程式。當時正是各大平台燒錢補貼，爭奪新用戶之際，百團大戰、叫車之戰來勢洶洶。

在他的印象裡，網易雲音樂是年度報告潮流的領導者，開創拉新的新方式。網路易雲音樂的首個年度報告在2016年底上線，引得老用戶轉發刷屏，新用戶下載體驗。許多用戶會為了保持網易雲音樂年度報告資料的可靠性，避免切換多個App聽歌，也間接保持了對平台的黏性。自此，各大平台紛紛下場，加入年度報告的混戰。

八年以後，年度報告發布已成為一片「紅海」。根據經濟觀察網不完全統計，截至2024年12月31日，有超過40個主流App發布了年度報告。其中，90%的應用程式為年度報告設定了專有的授權協議，聲明資料僅用於產生年度報告。

絕大部分年度報告收集的資料包括三大類：帳號資訊(個人頭像、暱稱、登入時間及時長等)、行為資訊(按讚、收藏、評論、轉寄等)、訂單資訊(下單金額、地址、時間、服務類型等)。此外，還有多設備的數據、行程資訊、地理位置、好友互動情況等數據，也部分應用用於產生個人年度報告。

酷我、茶百道、小宇宙、牛客沒有單獨為年度報告設定授權協議，但仍需用戶同意根據App的隱私權政策使用相關資料。

絕大部分年度報告需要下載App才能查看，餐飲類App大多將年度報告作為刺激消費的活動，觀看完畢後，可以參與「分享抽獎」「領取優惠券」等互動。

美團、騰訊系應用、滴滴以及小紅書的授權協議文本最長，並且在授權協議中採用加粗、劃線等方式標註重點，例如數據蒐集的時間範圍、數據類型及用途等。部分平台還在授權協議中提供郵箱供使用者回饋。

音樂類和外語學習類應用幾乎都提供了年度報告，可以說是「兵家必爭之地」。

酷狗的授權協議最為詳細，分別從歷史資料和2024年資料兩方面，說明了採用的資訊類別。此外，音樂App僅有網路易雲音樂採集了好友之間的互動數據，例如雙人空間中的行為數據。與之相似的是遊戲類應用，例如蛋仔派對、王者榮耀等遊戲在年度報告中都突出了最佳合作好友等社交屬性。

墨墨背單字、扇貝單字等外語學習類別應用在年度報告中，都強調了打卡持續天數，以及使用者排行。

值得注意的是，大部分電商的應用都非常“低調”，未提供年度報告。例如抖音沒有年度報告，而支付寶和淘寶僅提供年度帳單數據，但並未單獨宣傳告知用戶入口，需要仔細尋找，與前幾年的情況不同。噹噹則為用戶提供“年度閱讀報告”，來自用戶下單購買的書籍情況。

蒐集資料類別最豐富的是飛書，此應用程式集通訊、文件、會議、表格處理等功能於一體，其年度報告涵蓋了使用者行為資料、工具使用等數十個維度，並對絕大部分數據進行進一步說明。

例如，發出訊息數（僅收集資訊數量，不涉及資訊內容）、單聊人數（僅收集人數，不涉及具體人員資訊）、發言群數、使用次數最多的快捷表情和使用次數、建立文件數、全年參會總數及排位、年度比較。

Spotify、多鄰國、任天堂、Playstation等國外應用，它們未具體說明所採集的數據範圍和類型，但根據年度報告來看，使用的數據相對更少，僅有帳戶信息，比如不同遊戲時長、聽歌總時長等，並不涉及使用者在App上產生的行為資料。不少用戶也會表示過於單調與無聊。

數據使用合規，但平台仍有改進空間

泰和泰律師事務所律師杜雙，專攻網路及資料合規業務，在接受經濟觀察網訪問時表示，平台依據使用者資料製作年度報告的做法是符合現行法律規定的。

他透過實例說明平台的合規舉措：當年度報告首次啟動時，平台會透過彈跳窗等顯著方式提醒用戶閱讀隱私權政策及個人資訊收集使用規則，用戶若未勾選同意，則無法查看年度報告；在隱私政策中，平台通常會詳細闡釋個人資訊的收集與使用規則；同時，平台承諾不會向第三方披露用戶信息，並在用戶截圖、保存或轉發時提供易於識別的提示，以降低隱私洩露風險。

杜雙建議，在授權「個人資訊」時，使用者應特別注意協議中的三個關鍵點：

一是資料收集的時間範圍：部分平台在使用者首次授權後會持續採集數據，除非使用者主動要求停止採集並刪除所有相關數據。

二是資料收集的類型：尤其是與個人生物資訊、健康資訊相關的數據，如臉部、聲音、指紋、基因特徵，以及身體檢查、診療記錄、病史等，這些資訊的保護尤其重要。例如，目前暫無網路醫療類的公司發布相應的年度報告。

第三是資料處理的承諾：使用者需關注平台是否承諾將採集的資料進行匿名化與減敏處理，以確保無法直接辨識個別使用者。

2021年11月，《中華人民共和國個人資訊保護法》（下稱《個保法》）正式施行，這是保障使用者個人資訊最重要的法律之一。

君合律所曾對比《個保法》與《個人資訊保護法（草案二次審議稿）》的變化，其中兩個重點修改內容分別為：

《個保法》重申收集個人資訊“應限於實現處理目的的最小範圍”，並增加了“不得過度收集個人資訊”的規定，進一步完善了個人資訊處理規則；

此外，《個保法》將“基本性互聯網平台服務”修改為“重要互聯網平台服務”，這一規定也體現了監管機關重視對互聯網巨頭或重點互聯網企業的監管和引導。

杜雙認為，《個保法》的推出促使平台更加重視個人資訊使用的合規性。他觀察到，許多公司為此設立了專門的部門和人員來負責資料處理。在資料處理中，匿名化和脫敏處理是兩個至關重要的環節。此外，許多平台也重新審查並優化了資訊收集同意流程，並引入了單獨同意機制，例如年度報告的數據需要再次授權。

然而，他也指出平台在保護用戶個人資訊方面仍有改進空間。

一方面，《個保法》明確了處理個人資訊的“最小必要原則”，即對個人權益產生的影響最小、僅限於滿足處理目的的最小範圍，不得過度收集個人資訊。但在實際操作中，平台的隱私權政策往往採用「一攬子」同意模式，而不是針對超出最小範圍的特定個人資訊處理單獨獲得同意，導致用戶不同意就無法使用基本服務。以年度報告收集的資訊為例，使用者無法選擇具體授權哪些數據，但如果不勾選同意，則無法使用年度報告功能。

另一方面，目前很少平台提供明顯的管道或入口，讓使用者選擇刪除或停止使用相關資料。

杜雙指出，用戶對個人資訊、資料安全以及隱私保護的要求不斷提高，這有助於推動平台細化和完善相關機制，也有助於資料交易市場的安全與繁榮。