App越界索權(quán)現(xiàn)象普遍 暴露公民個(gè)人信息保護(hù)短板

● 在現(xiàn)實(shí)生活中，許多App普遍存在越界索權(quán)現(xiàn)象，比如視頻類(lèi)App要求讀取運(yùn)動(dòng)數(shù)據(jù)、資訊類(lèi)App要求開(kāi)啟相機(jī)和麥克風(fēng)錄音權(quán)限等

● 目前相關(guān)部門(mén)對(duì)于App違法違規(guī)收集個(gè)人信息的處罰手段有限，主要依靠企業(yè)自律，或是監(jiān)管部門(mén)采取限期整改、約談和下架等方式，這也就意味著沒(méi)有鋒利的“牙齒”能震懾這類(lèi)行為

● 互聯(lián)網(wǎng)平臺(tái)應(yīng)加強(qiáng)對(duì)App上架環(huán)節(jié)的事前審核；建立健全投訴舉報(bào)制度，進(jìn)行相應(yīng)回應(yīng)；加大對(duì)違法違規(guī)App的懲處力度；運(yùn)用新型監(jiān)管方式，通過(guò)大數(shù)據(jù)、人工智能等技術(shù)進(jìn)行監(jiān)管

□ 本報(bào)記者 　趙麗

□ 本報(bào)實(shí)習(xí)生 賈婕

7月24日，工業(yè)和信息化部對(duì)侵害用戶權(quán)益行為的手機(jī)應(yīng)用軟件進(jìn)行通報(bào)，這是今年以來(lái)的第三批通報(bào)名單。截至目前，工業(yè)和信息化部已對(duì)今年檢查出的存在問(wèn)題的89款A(yù)pp進(jìn)行了通報(bào)。

《法治日?qǐng)?bào)》記者注意到，“私自收集個(gè)人信息”“私自共享給第三方”“過(guò)度索取權(quán)限”等是這次通報(bào)的主要問(wèn)題。

同日，工業(yè)和信息化部發(fā)布《關(guān)于開(kāi)展縱深推進(jìn)App侵害用戶權(quán)益專項(xiàng)整治行動(dòng)的通知》，專項(xiàng)整治時(shí)間為通知印發(fā)之日至2020年12月10日。重點(diǎn)整治App、SDK未告知用戶收集個(gè)人信息的目的、方式、范圍且未經(jīng)用戶同意，私自收集用戶個(gè)人信息的行為。

近年來(lái)，通報(bào)App違規(guī)現(xiàn)象并不少見(jiàn)，涉及軟件數(shù)量日益增多，側(cè)面暴露了我國(guó)公民個(gè)人信息保護(hù)的短板和難題。

應(yīng)用軟件越界索權(quán)

私自共享缺乏監(jiān)督

在互聯(lián)網(wǎng)時(shí)代，大數(shù)據(jù)在提供便利的同時(shí)也帶來(lái)了隱私被泄露的潛在危險(xiǎn)。身份證號(hào)碼、手機(jī)號(hào)碼、購(gòu)買(mǎi)記錄、行車(chē)路線等個(gè)人信息都在數(shù)據(jù)庫(kù)里一覽無(wú)余。“大數(shù)據(jù)殺熟”“大數(shù)據(jù)二次販賣(mài)”等現(xiàn)象也層出不窮。

消費(fèi)記錄被購(gòu)物App分析，出行住宿被旅行App掌握，行車(chē)線路也被導(dǎo)航App知道得一清二楚……在互聯(lián)網(wǎng)大數(shù)據(jù)面前，普通用戶幾乎是“裸體”的，而一旦這些數(shù)據(jù)被泄露，后果不堪設(shè)想。更為嚴(yán)重的是，一些手機(jī)App從一開(kāi)始的信息采集就是過(guò)度的。

2019年年初，中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場(chǎng)監(jiān)管總局對(duì)外發(fā)布《關(guān)于開(kāi)展App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理的公告》，中國(guó)消費(fèi)者協(xié)會(huì)、中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)等聯(lián)合成立App專項(xiàng)治理工作組，對(duì)用戶數(shù)量大、與民眾生活密切相關(guān)的App的隱私政策和個(gè)人信息收集使用情況進(jìn)行評(píng)估。

然而，在專項(xiàng)治理的攻勢(shì)下，App過(guò)度采集個(gè)人信息的問(wèn)題并未得到遏制。

2019年7月16日，上述App專項(xiàng)治理工作組發(fā)布通知，稱有40款A(yù)pp在個(gè)人信息收集方面存在問(wèn)題，且未公開(kāi)有效聯(lián)系方式。工作組敦促這40款A(yù)pp的運(yùn)營(yíng)者30日內(nèi)完成整改，并向工作組提交整改報(bào)告。這份通知顯示，Wi-Fi萬(wàn)能鑰匙、同花順、墨跡天氣、安居客、糗事百科、起點(diǎn)讀書(shū)等常見(jiàn)的App，都在需要整改的名單之中。

據(jù)了解，一般來(lái)說(shuō)，App的安裝和使用只能對(duì)一些必要的權(quán)限征求使用人的同意。在使用安卓系統(tǒng)的手機(jī)中，有以下幾個(gè)權(quán)限最常被調(diào)取，其一是“讀取已安裝應(yīng)用列表”，借此可以了解和分析用戶的使用習(xí)慣；其二是“讀取本機(jī)識(shí)別碼”，主要用來(lái)確定用戶的身份；其三是“讀取位置信息”，通過(guò)獲取位置，搜集用戶的活動(dòng)范圍，例如導(dǎo)航類(lèi)軟件就必須調(diào)取這一權(quán)限。

然而，在現(xiàn)實(shí)生活中，許多App普遍存在越界索權(quán)現(xiàn)象，比如視頻類(lèi)App要求讀取運(yùn)動(dòng)數(shù)據(jù)、資訊類(lèi)App要求開(kāi)啟相機(jī)和麥克風(fēng)錄音權(quán)限等。

更為嚴(yán)重的是，泄露的信息從一般信息向生物識(shí)別信息蔓延。近期，360安全大腦監(jiān)測(cè)到，在金融類(lèi)移動(dòng)軟件中，存在一批具有隱秘拍照行為的軟件，以提供借貸服務(wù)之名，悄無(wú)聲息地進(jìn)行隱私非法收集行為。據(jù)360安全大腦監(jiān)測(cè)數(shù)據(jù)顯示，截至今年6月中旬，共發(fā)現(xiàn)9款軟件，捕獲90個(gè)樣本。相比以往，這9款軟件“偷盜”手段略有不同，除了非法收集用戶敏感通訊數(shù)據(jù)外，還會(huì)嘗試對(duì)用戶面部圖像進(jìn)行靜默偷拍與上傳。

除偷拍用戶面部圖像外，這類(lèi)借貸軟件“掃蕩式”地采集用戶的各種敏感通訊與網(wǎng)絡(luò)數(shù)據(jù)，包括用戶短信、通話記錄、通訊錄、接入網(wǎng)絡(luò)等，進(jìn)行非法收集與明文傳輸。

中國(guó)傳媒大學(xué)人類(lèi)命運(yùn)共同體研究院副院長(zhǎng)王四新告訴《法治日?qǐng)?bào)》記者，App超范圍收集個(gè)人信息、私自共享給第三方的行為屢禁不止的主要原因是，App在收集使用和向第三方傳輸私人信息的整個(gè)流程缺乏有效監(jiān)督。

“從個(gè)人來(lái)講，用戶完全沒(méi)有知覺(jué)，所以沒(méi)有辦法進(jìn)行維權(quán)，只能被動(dòng)地依靠執(zhí)法機(jī)關(guān)或者監(jiān)管機(jī)關(guān)。此外，這種行為可以獲得多層次的利益回報(bào)，再加上企業(yè)內(nèi)部管理不嚴(yán)導(dǎo)致目前這種情況比較嚴(yán)重。”王四新說(shuō)。

處罰手段比較有限

違法成本普遍偏低

《法治日?qǐng)?bào)》記者調(diào)查發(fā)現(xiàn)，今年以來(lái)，違法App的種類(lèi)在發(fā)生變化。從國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心下架的App來(lái)看，今年上半年，直播、社交、外賣(mài)、醫(yī)療、在線教育等App涉嫌侵犯?jìng)€(gè)人隱私占到很大比重。

盡管App泄露個(gè)人信息日益嚴(yán)重，但《法治日?qǐng)?bào)》記者梳理發(fā)現(xiàn)，目前對(duì)這些App還是以行政處罰為主?！禔pp違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理報(bào)告(2019)》顯示，目前相關(guān)部門(mén)對(duì)App違法行為采取的懲罰措施主要有整改、通報(bào)、下架、罰款、查處、行政約談等。

在業(yè)內(nèi)人士看來(lái)，責(zé)令整改、罰款等處罰措施往往對(duì)一些違規(guī)App不能產(chǎn)生觸動(dòng)，“這次錯(cuò)了，下次還敢上榜單”的現(xiàn)象比比皆是。

工業(yè)和信息化部每曝出一批問(wèn)題App名單，也會(huì)給相關(guān)App規(guī)定整改期限，如對(duì)于7月24日公布的App名單，工信部要求在7月30日之前完成整改。

“違法成本低，監(jiān)管難度大成為當(dāng)下監(jiān)管App違規(guī)行為的主要難題。”中國(guó)傳媒大學(xué)文化產(chǎn)業(yè)管理學(xué)院法律系主任鄭寧告訴《法治日?qǐng)?bào)》記者，“工業(yè)和信息化部如果僅依據(jù)相關(guān)部門(mén)規(guī)章進(jìn)行處罰，只能予以警告和處以一定數(shù)額的罰款(通常是3萬(wàn)元以下)，這種處罰力度對(duì)違反者而言成本很低。”

上海交通大學(xué)數(shù)據(jù)法律研究中心執(zhí)行主任何淵認(rèn)為，目前相關(guān)部門(mén)對(duì)于違法違規(guī)收集個(gè)人信息的處罰手段有限，主要依靠企業(yè)自律，或是監(jiān)管部門(mén)采取限期整改、約談和下架等方式。這也就意味著沒(méi)有鋒利的“牙齒”能震懾這類(lèi)行為。

除了違法成本低的問(wèn)題外，監(jiān)管部門(mén)還面臨企業(yè)用戶雙方需求難以平衡的困境。

有媒體報(bào)道稱，企業(yè)收集用戶隱私信息可以用來(lái)作為用戶畫(huà)像，便于發(fā)送廣告，合理的廣告訴求應(yīng)該予以理解，“一些小微企業(yè)的收入來(lái)源就是App中的廣告，如果采用‘一刀切’的方式完全禁止發(fā)廣告，一些App就無(wú)法生存。但從用戶的直觀角度考慮，用戶有可能認(rèn)為自己的隱私信息遭到了竊取。此時(shí)監(jiān)管部門(mén)需要綜合考慮用戶與企業(yè)雙方的需求”。

有監(jiān)管層人士介紹說(shuō)，目前查到一些App存在侵權(quán)問(wèn)題時(shí)，他們會(huì)直接與App運(yùn)營(yíng)企業(yè)聯(lián)系要求對(duì)方進(jìn)行整改，對(duì)于比較容易整改的問(wèn)題，如App注銷(xiāo)難等，企業(yè)可以很快出臺(tái)注銷(xiāo)方式，用戶也能簡(jiǎn)單地發(fā)現(xiàn)這一改變，因此關(guān)于注銷(xiāo)難的整改容易推進(jìn)；但私自收集個(gè)人信息的問(wèn)題就較為復(fù)雜，如一些App出于使用目的不得不收集必要的個(gè)人信息，此時(shí)如何判斷什么屬于“私自收集”往往較麻煩，這可能是App通報(bào)名單中“私自收集個(gè)人信息”問(wèn)題始終存在的原因之一。

北京師范大學(xué)法學(xué)院教授劉德良告訴《法治日?qǐng)?bào)》記者：“企業(yè)收集用戶隱私信息可以用來(lái)作為用戶畫(huà)像，可以更精準(zhǔn)地為用戶提供服務(wù)。另外，合理收集個(gè)人信息，也便于精準(zhǔn)地發(fā)送廣告來(lái)維持企業(yè)生產(chǎn)，這種合理的訴求應(yīng)該予以理解。”

但是，劉德良認(rèn)為，個(gè)人信息和個(gè)人隱私要作區(qū)分，互聯(lián)網(wǎng)搜索信息偏向等數(shù)據(jù)屬于正常的個(gè)人信息片段，企業(yè)收集這類(lèi)信息后只要不進(jìn)行電話騷擾，合理推送廣告和產(chǎn)品推薦并不屬于隱私侵犯。

如何平衡兩者的需求關(guān)系，鄭寧的意見(jiàn)是：“個(gè)人信息兼具個(gè)人利益和公共利益，監(jiān)管部門(mén)應(yīng)該平衡用戶的個(gè)人信息權(quán)益以及企業(yè)的創(chuàng)新發(fā)展。隨著網(wǎng)絡(luò)技術(shù)進(jìn)步和數(shù)字經(jīng)濟(jì)的發(fā)展，收集使用個(gè)人信息的手段和方式日益多樣化、復(fù)雜化，通過(guò)立法、行政執(zhí)法和司法加強(qiáng)個(gè)人信息保護(hù)是非常必要的，但是在大數(shù)據(jù)、人工智能時(shí)代，信息只有在合理流動(dòng)和使用中才能發(fā)揮其價(jià)值。”

努力平衡各方需求

監(jiān)管亟須落到實(shí)處

去年年底，國(guó)家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部等四部門(mén)印發(fā)《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》，對(duì)于如何界定App明確告知收集使用個(gè)人信息等行為作出了詳細(xì)的解釋。App專項(xiàng)治理工作組有關(guān)專家曾對(duì)該認(rèn)定方法進(jìn)行解讀，未明示收集使用個(gè)人信息的目的、方式和范圍的情況包括，未逐一列出App(包括委托的第三方或嵌入的第三方代碼、插件)收集使用個(gè)人信息的目的、方式、范圍等。

App專項(xiàng)治理工作組有關(guān)專家解讀稱，App和App中嵌入代碼的第三方收集使用個(gè)人信息，都需要采取適當(dāng)方式通知用戶。“我們?cè)褂脵z測(cè)工具檢測(cè)到一款A(yù)pp中嵌入了54個(gè)SDK，這么多SDK有沒(méi)有個(gè)人信息泄露的風(fēng)險(xiǎn)，這些都要提。目前有一些App在整改后做得很到位，有些專門(mén)列出了SDK的列表，甚至把第三方共享的接收方都列出來(lái)了，如果把明示工作做到這個(gè)程度，相信用戶也會(huì)提升對(duì)App的信任度。”

《法治日?qǐng)?bào)》記者注意到，在立法層面，《網(wǎng)絡(luò)安全實(shí)踐指南——移動(dòng)互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范》《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》先后出臺(tái)，明確了未公開(kāi)收集使用規(guī)則；未明示收集使用個(gè)人信息的目的、方式和范圍等6項(xiàng)認(rèn)定準(zhǔn)則，包含31種場(chǎng)景。

當(dāng)下，我國(guó)關(guān)于個(gè)人信息安全的法律在不斷完善和細(xì)化，但監(jiān)管如何落到實(shí)處是當(dāng)下更值得考慮的問(wèn)題。

對(duì)此，鄭寧建議，監(jiān)管的完善需要從以下幾個(gè)方面進(jìn)行：第一，互聯(lián)網(wǎng)平臺(tái)應(yīng)加強(qiáng)對(duì)App上架環(huán)節(jié)的事前審核；第二，建立健全投訴舉報(bào)制度，進(jìn)行相應(yīng)回應(yīng)；第三，加大對(duì)違法違規(guī)App的懲處力度；第四，運(yùn)用新型監(jiān)管方式，如信用記錄監(jiān)管；第五，運(yùn)用大數(shù)據(jù)、人工智能等技術(shù)進(jìn)行監(jiān)管。

“在互聯(lián)網(wǎng)時(shí)代，任何問(wèn)題都不能采取‘一刀切’的方式，要采取靈活變動(dòng)的監(jiān)管辦法。”在王四新看來(lái)，要想將監(jiān)管措施落到實(shí)處，需要有更多懂技術(shù)、懂業(yè)務(wù)的專家型人才補(bǔ)充到監(jiān)管的隊(duì)伍里。在目前這類(lèi)人才難以滿足監(jiān)管要求的情況下，可以發(fā)揮不同領(lǐng)域的技術(shù)人才的作用，同時(shí)調(diào)動(dòng)廣大網(wǎng)民的積極性。

“此外，要平衡App開(kāi)發(fā)者或者服務(wù)提供者與廣大用戶之間的關(guān)系，要求平臺(tái)履行責(zé)任，例如上線時(shí)加強(qiáng)審核把關(guān)，上線運(yùn)營(yíng)過(guò)程中增加透明度。同時(shí)也要為消費(fèi)者維護(hù)權(quán)益降低難度，提供更多便利，讓消費(fèi)者通過(guò)自主的維權(quán)活動(dòng)來(lái)保障自身利益。這樣既可將監(jiān)管落到實(shí)處，又能減少監(jiān)管費(fèi)用。”王四新說(shuō)。

王四新認(rèn)為，App開(kāi)發(fā)者和用戶之間的權(quán)利義務(wù)關(guān)系模式，是隨著相關(guān)變量的不斷變化而變化的。從監(jiān)管的角度來(lái)講，就是平衡合理使用與保護(hù)隱私權(quán)的問(wèn)題，一方面要保護(hù)消費(fèi)者的合法權(quán)益，保證他們的隱私不被過(guò)度開(kāi)發(fā)或非法利用，另外一方面也要確保App的開(kāi)發(fā)者能夠有效利用他們提供服務(wù)過(guò)程中采集的數(shù)據(jù)，讓這些數(shù)據(jù)發(fā)揮更大的作用。

不過(guò)，鄭寧也提出：“如果過(guò)度強(qiáng)調(diào)個(gè)人信息保護(hù)，會(huì)給互聯(lián)網(wǎng)企業(yè)造成過(guò)重的負(fù)擔(dān)，不利于產(chǎn)業(yè)創(chuàng)新和信息自由流動(dòng)。”