App信息收集亂象

◎ 文 《法制日報》記者 侯建斌

截至6月初，因存在違規違法收集個人信息等問題，“社保掌上通”App遭下架已兩月有余。

讓不少人心有余悸的是，當用戶使用這款App時，被默認同意一份授權協議，如“您在此充分地、有效地、不可撤銷地、明示同意并授權我們使用您的社保賬戶密碼為您提供服務”，以及“在遵循本協議的條件下，對您的信息進行采集、分析、處理和模擬您登錄人行征信、學信網、社保、公積金、運營商網站等獲取您的個人信息”等條款。

在互聯網消費時代，類似的情形并不鮮見。

如今，這一現狀有望得以扭轉。近日，由中央網信辦、工信部、公安部、市場監管總局指導成立的App專項治理工作組，起草了《App違法違規收集使用個人信息行為認定方法》（征求意見稿）》（以下簡稱《認定辦法》），“未經同意收集使用個人信息行為”納入規制范圍。

中國信息安全研究院副院長左曉棟告訴《法制日報》記者，網絡安全法對保護個人信息的規定較為原則，盡管《個人信息安全規范》細化了法律的要求，但從實踐看，仍有大量App在打法律擦邊球。因此，及時出臺《認定辦法》，明確違規App行為的具體認定標準，有助于網絡安全法的相關要求真正落地并見實效。

過度收集亂象觸目驚心

據工信部統計，截至2017年底，我國三大運營商移動電話用戶總數14.03億戶，移動寬帶用戶（3G和4G用戶）總數11.01億戶，占移動電話用戶的78.5%。

隨著網絡消費時代的到來，一部手機即可享受各類線上線下服務成為現實。

然而，消費者在享受移動互聯網帶來的便利時，個人隱私信息泄露、盜用、販賣事件屢屢發生。

最為典型莫過于華住酒店用戶信息被售賣事件，以及12306平臺旅客信息泄露事件等。

個人信息頻頻泄露的背后有哪些玄機？2018年8月29日，中國消費者協會發布的《App個人信息泄露情況調查報告》（以下簡稱《報告》）給出了答案。

《報告》調查發現，超八成受訪者曾遭遇個人信息泄露。其中，經營者未經授權收集個人信息和故意泄露信息是造成消費者個人信息泄露的主要途徑。

統計顯示，個人信息泄露后遭遇推銷電話或短信騷擾的占86.5%，占比最高，接到詐騙電話的占75.0%，收到垃圾郵件的占63.4%。

“個人安全意識薄弱和監管不到位是手機App出現個人信息安全問題的主要原因。”《報告》分析指出，一方面，消費者與手機App服務提供商之間往往處于不對等的地位，只能同意或被迫同意格式條款和信息獲取權限；另一方面，消費者雖有自我保護的意識，但不知如何更有效地保護自己，難以有效應對。

三個月后，中消協發布的另一份報告更觸目驚心。2018年11月28日，中消協發布《100款App個人信息收集與隱私政策測評報告》，100款中多達91款存在過度收集用戶個人信息。

其中，有59款App涉嫌過度收集“位置信息”，有28 款App涉嫌過度收集“通信錄信息”，有23款App涉嫌過度收集“身份信息”，有22款App涉嫌過度收集“手機號碼”等。

治理過度收集步伐加快

面對愈演愈烈的個人信息過度收集亂象，官方動作頻頻。

2017年，我國正式頒布《中華人民共和國網絡安全法》。網絡安全法一方面明確提出要求，網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意。

為確保這一內容落地，2017年12月29日，中國國家標準化管理委員會正式發布GB/T 35273-2017《信息安全技術個人信息安全規范》（以下簡稱《個人信息安全規范》），這一規范已于2018年5月1日起實施。

專家認為，《個人信息安全規范》以國家標準的形式，明確了個人信息的收集、保存、使用、共享的合規要求，為網絡運營者制定隱私政策及完善內控提供了指引。

今年以來，國家治理App過度收集個人信息的步伐在加快。

1月初，中央網信辦、工業和信息化部、公安部、市場監管總局發布《關于在全國范圍開展App違法違規收集使用個人信息專項治理公告》（以下簡稱《公告》）。

根據《公告》要求，App運營者收集使用個人信息時要嚴格履行網絡安全法規定的責任義務，對獲取的個人信息安全負責，采取有效措施加強個人信息保護。不以默認、捆綁、停止安裝使用等手段變相強迫用戶授權，不得違反法律法規和與用戶的約定收集使用個人信息。

3月15日，個人信息安全認證工作邁出實質性一步。市場監管總局、中央網信辦聯合發文，決定開展App安全認證工作。按照相關要求，從事App安全認證的認證機構為中國網絡安全審查技術與認證中心，檢測機構由認證機構根據認證業務需要和技術能力確定 。

近日，App專項治理工作組就《認定方法》公開征求意見，意在為App運營者自查自糾提供指引，為App評估和處置提供參考。

北京師范大學互聯網發展研究院院長助理、中國互聯網協會研究中心秘書長吳沈括教授告訴記者，《認定方法》的出臺，將使得監管部門可有針對性地對App違規行為予以治理，也為平衡技術發展與個人信息安全問題提供了有效依據。

新規有望彌補治理短板

記者注意到，《認定方法》將App違法違規收集使用個人信息共分為7種情形：沒有公開收集使用規則；沒有明示收集使用個人信息的目的、方式和范圍；未經同意收集使用個人信息；違反必要性原則收集與其提供的服務無關的個人信息；未經同意向他人提供個人信息；未按法律規定提供刪除或更正個人信息功能；侵犯未成年人在網絡空間合法權益，均出現在意見稿內。

針對上述7種情形，意見稿進一步將App沒有隱私政策、用戶協議情形，進入App主功能界面后，多于4次點擊、滑動才能訪問到隱私政策，在App安裝、使用等過程中均未通過彈窗、鏈接等方式提示用戶閱讀隱私政策等納入違法違規行為。

“可以說，認定辦法對App隱私政策的規定非常細致。”令吳沈括欣慰的是，認定辦法對隱私政策的內容設定、訪問形式等都做了明確要求，這意味著隱私政策不再是徒有其表的虛設，用戶對App中的收集行為更加明確，利于增強其對網絡空間的信心。

記者注意到，征求意見稿還提出其他一些違法違規情形，如App收集使用信息的目的違反合法、正當、必要原則，僅僅以改善程序功能、提高用戶體驗、定向推送等為目的收集用戶個人信息；在申請可收集個人信息的權限時，未告知收集使用的目的，如在申請調閱通信錄時沒有說明原因等；每次要求用戶提供個人敏感信息時，如身份證號、銀行卡號等，未同步實時說明原因等。

“認定辦法出臺后，在一定意義上，將彌補對App治理的短板。”在吳沈括看來，盡管我國個人信息管理體系以及技術標準等逐漸完備，但對于App違法違規收集個人信息的行為并未有專項規定予以規制，而認定辦法著重加強了對App的管制，一定程度上也有利于該行業的有序健康發展。

中國社科院國家文化安全與意識形態建設研究中心副主任兼秘書長朱繼東告訴記者，對有關部門而言，對認定某個App是否構成非法收集個人信息行為，有了科學依據；對廣大App用戶而言，可以清晰了解App是否在違規收集個人信息，可以有針對性地利用這些維護自己的權益，同時向有關部門舉報。

“個別App會鉆法律的空子，比如用戶如果不同意隱私政策，則拒絕正常使用，逼迫用戶同意不合理的隱私政策，而且難以留存證據。”朱繼東坦言，僅僅依靠認定辦法，還難以對個人信息保護問題進行周延性保護，后續需要將辦法上升到法律層面，嚴厲打擊違規App的非法收集行為。

加大對違規App打擊力度

始于今年1月的App違法違規收集使用個人信息專項治理已有四月有余，在推進此項專項治理中是否還存在一些短板？

吳沈括對專項治理中開展自愿性App個人信息安全認證的內容給予了更多關注。他認為，自愿性App個人信息安全認證實際效果有待驗證。對大部分App服務提供者而言，在尚未確定該行為的最大利益時，主動實行安全認證積極性并不高。

為此，吳沈括建議，采取鼓勵措施以及實際利益等提高服務提供者的積極性。

前不久，App違法違規收集個人信息專項治理工作組通報稱，App收集使用個人信息評估工作取得階段性進展。

今年3月份，四部門聯合工作組開通微信公眾號“App個人信息舉報”和舉報專用郵箱，便于用戶舉報App違法違規收集使用個人信息行為。

截至4月16日，工作組共收到舉報信息超過3480條，其中實名舉報1040余條，涉及1300余款App。被舉報App主要集中在金融借貸、網上購物、短視頻與直播、即時通信等領域。

此外，工作組還針對30款用戶量大、問題嚴重的App向其運營者發送了整改通知，要求App運營者認真整改、舉一反三，及時糾正個人信息收集使用方面存在的問題。

在左曉棟看來，這種整改效果不容樂觀。“專項治理開展后，有些App確實按照要求進行了整改，隱私政策也做了重新修訂，但違法違規收集個人信息方式更加隱蔽。”

左曉棟舉例說，按照要求，App需要明示收集使用個人信息的目的、方式和范圍，許多App把使用范圍擴大至公司及關聯企業，究竟哪些屬于關聯企業，往往沒有明示。依照現有規定，又很難界定其是否違規。

中國網信網發布數據顯示，去年12月到今年4月中旬，國家網信辦會同有關部門關停下架違法違規App3.3萬款，攔截惡意網站鏈接234萬余個，清理社交平臺低俗不良信息2474萬余條、封禁違規賬號364萬余個。

朱繼東認為，成績有目共睹，但要看到專項治理工作仍存在一些難點。比如在打擊App違規收集行為中，經常出現依據比較模糊或是難以找到相應的法律依據，甚至是無法可依情形，對非法收集個人信息的相關規定有待進一步細化。

對此，朱繼東建議：一要加快立法進度，立法層面加大對違規App的打擊力度；二要常態化公布App違規收集個人信息的典型案例，對其他企業起到警示作用；三要站在維護國家網絡安全的高度，推進網絡安全建設，重視對App非法收集個人信息的治理。