個人信息保護規范助力走出APP隱私安全困境

王超

2018年伊始，支付寶因年度賬單事件被約談，百度因旗下APP涉嫌侵犯隱私被起訴。以上兩件事，體現了我國政府對個人隱私安全的重視，也客觀反映出移動APP過度獲取用戶權限、隱私條款冗長晦澀、平臺應用權責不清等亂象的廣泛存在。2018年1月，《信息安全技術 個人信息安全規范》（簡稱《規范》）國家標準正式發布，及時填補了個人信息保護中諸多技術細節與實操領域規范的空白，被認為是走出APP個人隱私安全困境的一步好棋。應積極開展《規范》的宣貫，推動其認真全面實施。

移動APP的廣泛應用 易引發新的隱私安全問題

APP獲取非必要用戶權限，過度收集用戶的個人信息。APP需獲取相應權限方能正常使用，但隨著用戶信息價值的日益提升，大量獲取非必要用戶權限，大肆索取用戶信息已成為APP的“通行做法”。2018年1月，騰訊社會研究中心與DCCI互聯網數據中心聯合發布的《2017年度網絡隱私安全及網絡欺詐行為分析報告》顯示，2017年下半年，98.5%的Android應用會獲取用戶手機隱私權，9%的 Android應用存在越界獲取用戶手機隱私權限的情況。2017年7月，江蘇省消費者權益保護委員會對購買類、閱讀類、支付類等領域27款APP的隱私安全調查顯示，絕大多數APP在安裝時申請了大量的手機權限，遠遠超出APP正常服務所必須獲取的權限。如某天氣類應用，需要收集用戶的通訊錄信息；某手電筒應用， 需要調用手機的位置信息等。百度“手機百度”“百度瀏覽器” 兩款APP甚至在未取得用戶同意的情況下，獲取“監聽電話、定位、讀取短彩信、讀取聯系人、修改系統設置”等多種權限，且因企業拒不整改而被起訴。

APP隱私條款冗長晦澀，難以充分保障用戶的知情權。APP隱私條款是數據控制者告知用戶其個人信息收集和使用規則的慣常做法。長期以來，APP隱私條款一直存在冗長晦澀、難以理解的問題，告知用戶的效果并不理想。2017年7月， 中央網信辦、工信部等四部門啟動個人信息保護提升行動之隱私條款專項工作，在對微信、支付寶等10款APP進行隱私條款評審時發現，隱私條款多數存在以下問題：隱私條款籠統不清，未明確說明收集使用個人信息的目的、方式、范圍、保存期限和地點；不主動向用戶展示隱私條款；隱私條款晦澀冗長；以默認勾選、“一攬子打包”授權等形式征求用戶授權，未充分保障用戶選擇權等。

平臺類APP和第三方應用共享用戶個人信息，用戶合法權益受到威脅。目前，支付寶、微信等平臺類APP依托平臺優勢，吸引大量第三方應用入駐平臺，圍繞平臺打造數字生態系統。作為個人信息收集的重要入口，第三方應用在獲取用戶個人信息過程中，存在不單獨向個人信息主體征得同意、未經用戶授權與平臺類 APP 共享數據、超應用范圍共享平臺類 APP 數據等情況，2018年1月發生的支付寶年度賬單事件，就是典型的例子。同時，第三方應用與平臺類APP關于個人信息保護的權責關系尚無清晰界定，用戶信息保護責任難以隨著數據轉移進行傳導，一旦發生用戶信息泄露事件，極易導致第三方應用與平臺類 APP 互相推諉，使用戶合法權益得不到保障。

《規范》是走出APP安全隱私困境的一步好棋

《規范》提出了目的明確、選擇同意、最少夠用原則，約束APP對個人信息的過度收集行為。《規范》要求，APP開展收集、使用等個人信息處理活動應具有合法、正當、必要、明確的個人信息處理目的，應向個人信息主體明示個人信息處理目的、方式、范圍，并征求其授權同意，應根據處理目的僅處理所需的最少類型和數量的個人信息。《規范》還提出了區分核心功能和附加功能的要求，APP可對核心功能所需的信息進行必要收集，但必須保證用戶能隨時開啟或者關閉附件功能收集信息的權限。

《規范》明確了公開透明原則，提出隱私條款的推薦描述方式。《規范》要求，APP開展收集、使用等個人信息處理活動，應以明確、易懂和合理的方式公開處理個人信息的范圍、目的、規則等，并接受監督。《規范》還通過資料性附錄的方式，提出了隱私條款中關于APP收集和使用個人敏感信息，以及共享、轉讓、公開披露個人信息等事項的推薦描述方式，在強化告知效果方面極具啟示作用。《規范》強調了責權一致、確保安全的原則，界定了共同個人信息控制者的權責關系。《規范》高度重視個人信息控制的權責統一，要求個人信息控制者通過管理措施和技術手段，確保個人信息的保密性、完整性、可用性，并對個人信息主體合法權益造成的損害承擔責任。 針對平臺類APP和第三方應用共享用戶個人信息的情況，《規范》要求個人信息控制者通過合同等形式與第三方共同確定應滿足的個人信息安全要求，以及各自承擔的責任和義務，并向個人信息主體明確告知。

《規范》實施面臨的主要難點及對策建議

國家標準全面應用的社會環境尚未形成，應加強政策引導，提高各方的自覺性、主動性。政府部門對標準應用的政策引導不足，加之企業普遍重利益、輕安全， 尚未形成爭相應用標準的社會環境。因此，要進一步發揮政府部門在標準實施中的推進作用，加快制《數據安全管理辦法》，借鑒《規范》中相關內容，規范個人信息收集、存儲、傳輸、處理等行為。對積極落實《規范》各項要求的企業， 在投融資、財稅等方面給予一定的政策支持；對落實不積極、不到位的企業要進行約談、通報。支持相關行業組織加強自律，鼓勵企業和行業組織發起并遵守個人信息保護倡議，帶頭規范個人信息管理，帶動行業個人信息保護水平的整體提升。

缺乏有效監管將導致標準實施打折扣，應切實加強數據安全監管工作。以網絡安全標準為重要依據的監管活動數量少、力度弱，企業不遵守標準的成本損失普遍較低，導致標準實施打折扣。要圍繞落實網絡安全法，以《規范》為重要參考依據，持續強化數據安全監管，推動各行業提升個人信息保護水平。一方面，行業主管部門要結合實際，盡快啟動數據安全專項治理行動，加強對企業收集、 存儲、使用、交易等個人信息的監管，加大對侵犯個人信息違法犯罪行為的打擊力度，整治行業數據收集、使用亂象。另一方面，國家網信部門要繼續深入開展隱私條款專項工作，推動增強APP隱私條款的規范性、可讀性。加強對評審APP產品的合規性技術檢測，確保APP產品整改到位，切實維護用戶合法權益。社會各界目前對標準的認知程度不夠，應強化對標準的宣傳培訓和專業性解讀。標準宣傳的手段單一、專業性解讀不足將嚴重影響網絡安全從業者知標準、學標準、懂標準、用標準。要充分利用傳統媒體和互聯網等渠道，加強對《規范》的宣傳報道。加快制定《規范》的解讀、案例等配套文件，在全國范圍內組織舉行宣貫會，邀請《規范》編寫者等熟悉標準的專家學者進行培訓，推動應用部門、企業、科研院所等機構和人員在《規范》的學懂、弄通、做實上下功夫，引導政府、機構、企業等以《規范》里個人信息保護合規性要求為準繩，將個人信息保護各項措施落實到位。