人民日報：App別亂動我們的個人信息

　　這些天，來自北京的譚先生在一款理財App上還完自己所欠借款后，立即將App刪除了。原來，去年下半年，他在該App上辦理了一筆1萬多元的現(xiàn)金貸，分6期歸還。在還完前5期后，他因回鄉(xiāng)未能在規(guī)定時間內(nèi)還款，結(jié)果對方每天打電話騷擾其通訊錄好友，還通過辱罵、威脅、恐嚇等方式催促還款�；叵肫疬@段經(jīng)歷，譚先生仍然心有余悸：“現(xiàn)金貸很可怕，這個App能輕松獲得我通訊錄好友信息更可怕。”

　　如今，人們幾乎都使用智能手機并下載各類App。這些App在提供方便的同時，也可能“偷竊”手機號、通訊錄、通話記錄、短信記錄等隱私信息。5月24日，App專項治理工作組發(fā)布的《百款常用App申請收集使用個人信息權(quán)限列表》顯示，在10大類26項個人信息相關(guān)權(quán)限中，平均每個App申請收集數(shù)目達10項。這些信息很容易落到不法分子手里，成為敲詐勒索等違法犯罪活動的工具。

　　為遏制App強制授權(quán)、過度索權(quán)、超范圍收集個人信息現(xiàn)象，5月28日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《數(shù)據(jù)安全管理辦法(征求意見稿)》(下稱《辦法》)，對公眾關(guān)注的個人信息安全問題直接回應(yīng)。專家表示，《辦法》著眼于公眾反映強烈的個人信息泄露問題，對“任性”的App立規(guī)矩，將對該行業(yè)產(chǎn)生重大影響，倒逼網(wǎng)絡(luò)經(jīng)營者加強對用戶個人信息安全保護。

　　App的套路讓用戶“很受傷”

　　你有沒有過這樣的經(jīng)歷——剛在購物App上瀏覽完一些商品，隨后另一個新聞資訊客戶端就向你推送類似商品廣告;剛在社交App上說想出去聚餐，稍后就收到一堆餐館廣告推薦;剛在購房App上瀏覽完畢，信用貸款電話就打了進來……如果有類似遭遇，那你的隱私信息很可能已經(jīng)泄露。

　　誰動了我們的個人信息?就是這些你剛剛瀏覽過的App。這些App收集用戶隱私信息，給用戶帶來很大影響�？偨Y(jié)起來，可按程度輕重分以下幾類：

　　一是給用戶“畫像”，幫助商家精準推送廣告。所謂精準推送，就是App通過收集、分析用戶上網(wǎng)瀏覽記錄，結(jié)合用戶定位和性別等身份信息，繪制成用戶肖像，從而實現(xiàn)廣告精準推送。信息收集方式多為強迫用戶授權(quán)或默認勾選，否則無法使用該App。

　　為測試是否被“畫像”，記者下載并注冊了一款社交App，先后發(fā)布論文寫作、信用貸款、兒童攝影等3條信息，記者此前并未在其他終端發(fā)布或檢索過類似信息。隔1個小時，記者登錄自己手機上其他幾款新聞類App，赫然出現(xiàn)了和這3條信息相關(guān)的廣告。

　　專家表示，這種廣告被稱為“程序化廣告”。平臺根據(jù)用戶行為給其打上對應(yīng)“標簽”后，在后臺以競價或自動個性化方式為廣告主做精準投放。按照規(guī)定，投放此類廣告可事先不經(jīng)用戶明確授權(quán)，但應(yīng)確保用戶有拒絕權(quán)利。不過，大部分App目前并未設(shè)置相應(yīng)關(guān)閉按鈕，或者將按鈕藏在多個操作步驟之后。

　　二是把用戶信息視為“資產(chǎn)”，許進不許出，注銷賬號和刪除個人信息難。很多用戶發(fā)現(xiàn)，注冊一個App賬號只需一個手機號及其注冊碼，而想要注銷一個賬號往往很難。即便注銷了賬號，想清空個人信息更難。

　　網(wǎng)經(jīng)社電子商務(wù)研究中心法律權(quán)益部向記者提供了一個用戶投訴案例：李先生計劃停用某共享單車，注銷手機號。因為當(dāng)初注冊該App時使用了個人身份證號，擔(dān)心信息泄露的李先生申請注銷用戶賬號并解綁身份證。該App客服人員要求他提供個人身份證照片及手持身份證照片。李先生認為這種行為具有強制獲取個人敏感信息嫌疑，讓人無法接受。

　　專家表示，App運營者不能過度收集用戶信息。在收到用戶請求時，App運營者應(yīng)當(dāng)在合理時間和代價范圍內(nèi)予以查詢、更正、刪除或注銷賬號。

　　三是泄露用戶隱私信息，導(dǎo)致用戶利益受損。用戶信息泄露存在很多情況，比如App用戶隱私信息數(shù)據(jù)庫被黑客入侵、平臺出現(xiàn)漏洞等導(dǎo)致信息泄露;比如App將用戶信息“打包”出售或用戶信息經(jīng)公司“內(nèi)鬼”竊取售賣，被不法分子利用等。

　　網(wǎng)經(jīng)社電子商務(wù)研究中心法律權(quán)益部分析師姚建芳對記者表示，目前接到的用戶投訴案例集中在信息泄露方面，主要為購物類、金融服務(wù)類App，用戶因此遭到恐嚇、電信詐騙、資產(chǎn)被盜刷等損害。

　　北京盈科(杭州)律師事務(wù)所方超強律師對記者表示，根據(jù)《網(wǎng)絡(luò)交易管理辦法》，電商平臺在獲取個人信息的同時有義務(wù)保護信息安全。但在現(xiàn)實中，對“平臺存在漏洞導(dǎo)致信息泄露”缺乏相應(yīng)判斷標準，用戶因此很難對平臺進行追責(zé)。

　　哪些收集用戶信息行為“越界”了

　　在中央網(wǎng)信辦、工信部、公安部、市場監(jiān)管總局指導(dǎo)下，App專項治理工作組近日發(fā)布的《百款常用App申請收集使用個人信息權(quán)限列表》顯示，餐飲外賣、地圖導(dǎo)航、網(wǎng)上購物、短視頻、金融借貸等近20類共100個App，基本都會收集用戶26項個人信息中的某幾項;超過九成App獲取用戶精準定位;金融借貸類、工具軟件類App獲取用戶信息項目相對較多。其中，360手機衛(wèi)士收集使用個人信息相關(guān)權(quán)限數(shù)最高，達到23項，用戶不同意開啟則App無法安裝或運行的權(quán)限數(shù)達11項。

　　需要說明的是，App不是不能收集用戶個人信息，但不能“越界”、過度，不能強制、超范圍索要權(quán)限。

　　那么，App目前收集的個人信息里，哪些屬于不宜收集的隱私信息?中國消費者協(xié)會此前發(fā)布的《100款A(yù)pp個人信息收集與隱私政策測評報告》顯示，多達91款A(yù)pp列出的權(quán)限涉嫌“越界”過度收集用戶個人信息。其中，用戶位置信息、通訊錄信息、手機號碼等個人信息是被過度收集或使用的主要內(nèi)容。此外，用戶照片、財產(chǎn)信息、生物識別信息、工作信息、交易賬號信息、交易記錄、上網(wǎng)瀏覽記錄、教育信息、車輛信息以及短信信息等均存在被過度使用或收集的現(xiàn)象。

　　不過，對于企業(yè)收集這些隱私信息是否屬于“越界”行為，也有不同聲音。騰訊社會研究中心和DCCI互聯(lián)網(wǎng)數(shù)據(jù)中心今年1月發(fā)布的《2018年度網(wǎng)絡(luò)隱私及網(wǎng)絡(luò)欺詐行為研究分析報告》顯示，安卓端“越界”獲取用戶隱私權(quán)限的App正在逐漸減少，到2018年下半年，僅有2%的App存在“越界”行為。該報告認為，判斷App是否“越界”獲取隱私權(quán)限的標準是App向用戶提供的功能是否必須用到相應(yīng)權(quán)限。也就是說，如果確屬App功能需要，且經(jīng)用戶授權(quán)同意，那么，App相關(guān)收集行為就不算“越界”。

　　中國社科院信息化研究中心秘書長姜奇平對記者表示，App索權(quán)是否“越界”，應(yīng)以用戶是否需要而非企業(yè)是否需要為界。他說：“很多收集的數(shù)據(jù)并不是App自己需要的;有些甚至打著倒賣的壞主意，這對消費者個人隱私、信息安全來說是很大隱患和傷害。”

　　用戶黏性不是企業(yè)違規(guī)的“底氣”

　　為切實解決App過度索權(quán)造成的用戶信息安全問題，5月28日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《數(shù)據(jù)安全管理辦法(征求意見稿)》，對公眾關(guān)注的諸多問題進行了直接回應(yīng)。

　　比如，對于規(guī)范個人敏感信息收集方式，《辦法》規(guī)定，網(wǎng)絡(luò)運營者以經(jīng)營為目的收集重要數(shù)據(jù)或個人敏感信息的，應(yīng)向所在地網(wǎng)信部門備案;為約束定向精準推送廣告，《辦法》規(guī)定，網(wǎng)絡(luò)運營者應(yīng)當(dāng)以明顯方式標明“定推”字樣;針對App強迫授權(quán)或默認勾選等，《辦法》規(guī)定，網(wǎng)絡(luò)運營者不得以默認授權(quán)、功能捆綁等形式強迫、誤導(dǎo)個人信息主體同意其收集個人信息;針對用戶注銷賬號和刪除個人信息難、小程序泄露用戶信息后平臺責(zé)任問題等，《辦法》也進行了明確規(guī)定。違規(guī)者根據(jù)情節(jié)輕重將面臨關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或吊銷營業(yè)執(zhí)照等處罰;構(gòu)成犯罪的，依法追究刑事責(zé)任。

　　由App專項治理工作組起草的《App違法違規(guī)收集使用個人信息行為認定方法(征求意見稿)》也在5月26日結(jié)束意見反饋。這份《認定方法》對App運營商7種違規(guī)收集使用個人信息情形進行了規(guī)定，被認為是判定App是否“越界”的重要標準。

　　“把信息采集主導(dǎo)權(quán)、選擇權(quán)交給消費者，是信息服務(wù)的原則性問題。為了收集信息采取脅迫或者誤導(dǎo)行為，都是堅決不能被允許的。”姜奇平認為，App治理此前長期收效不大，根本上說是因為一些經(jīng)營者處理不好社會責(zé)任和商業(yè)利益的關(guān)系。“這不是簡單的技術(shù)問題，甚至不完全是產(chǎn)業(yè)問題，是企業(yè)態(tài)度問題，現(xiàn)在提升到一定高度來解決很有必要。”

　　隨著相關(guān)規(guī)定落地，更嚴格的監(jiān)管措施勢必會對眾多App運營商產(chǎn)生影響。相對來說，很多大型互聯(lián)網(wǎng)企業(yè)因為在用戶隱私保護方面投入較早、公眾監(jiān)督更多，受到?jīng)_擊較小。一些中小型App運營商則在個人信息保護方面問題較為突出。這意味著，相關(guān)以算法推薦為主要機制的App，對接入的第三方應(yīng)用監(jiān)管不力不到位的平臺，存在強制授權(quán)、過度索權(quán)、超范圍收集個人信息的App運營商將面臨整改命運，嚴重違規(guī)的將被清理出市場。

　　北京億達(上海)律師事務(wù)所律師董毅智對記者表示，多年來，用戶基于對App服務(wù)的信任而建立起的黏性，如今卻成為某些App進行差別定價、數(shù)據(jù)反復(fù)買賣的“底氣”，這亟須警惕。同時，這些發(fā)布的規(guī)定也對同行業(yè)、跨行業(yè)之間企業(yè)聯(lián)手利用用戶個人信息劃出了“紅線”。

　　對此，相關(guān)政府部門將建立App個人信息安全認證制度，由具備資質(zhì)的認證機構(gòu)依據(jù)國家標準對App收集、存儲、處理、使用個人信息等行為進行評價，對符合要求的產(chǎn)品頒發(fā)證書和標識;同時鼓勵搜索引擎和應(yīng)用商店優(yōu)先推薦認證App。

　　相關(guān)監(jiān)管是否會束縛技術(shù)創(chuàng)新呢?姜奇平認為，這個問題需要具體分析。他說，對App的治理涉及市場治理、社會治理、政府監(jiān)管等多個層次，是一個綜合問題。在市場配置資源失靈、行業(yè)自律不佳等情形下，完善相關(guān)法律法規(guī)、開展專項整治就極為必要。

　　“當(dāng)然，如何平衡好保護與開發(fā)利用的關(guān)系，這是衡量互聯(lián)網(wǎng)相關(guān)立法和監(jiān)管質(zhì)量的重要標準。比較好的做法是既不影響企業(yè)技術(shù)創(chuàng)新，又能夠制止相關(guān)歪門邪道行為。這需要各方匯集足夠智慧、形成治理合力。”姜奇平說。