治理App偷信息，不能指望畢其功于一役

辛省志

中央網信辦、工信部、公安部、市場監管總局四部門日前召開會議，啟動2020年App違法違規收集使用個人信息治理工作。

治理App違法違規收集使用，保護用戶個人信息，需加強執法、加大處罰力度，同時也需要發揮市場的力量，由第三方對App進行評測并公布結果，讓用戶用腳投票，遠離惡意App。

隨著智能手機和移動互聯網的普及，不少App大肆收集用戶個人信息，并利用大數據技術對這些信息進行處理，以謀取商業利益，而在這一過程中，有不少可能會侵犯公民的權益。為了保護公民的個人信息，近年來，中國已經制定了不少法律法規和技術標準，對App能夠收集用戶的哪些信息做出了比較明確的規定。

2017年6月1日生效的網絡安全法規定，網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，并經被收集者同意，不得收集與其提供的服務無關的個人信息。全國信息安全標準化技術委員會發布的《網絡安全實踐指南——移動互聯網應用基本業務功能必要信息規范》把移動App根據基本業務功能劃分成16類，依據個人信息最少夠用原則，給出了與每類業務功能相關的必要信息范圍。這些官方的指導和政策文件，為移動App收集用戶信息劃定了基本的規范，取得了一定效果。

但是還有不少App仍然在肆意違規收集使用用戶個人信息。2020年7月16日，央視3·15晚會上曝光了五十多款App內嵌的SDK違法收集包括通信錄、短信記錄等隱私信息在內的用戶個人信息，7月24日，工信部網站又通報了58個存在侵害用戶權益行為的App，存在的問題主要包括私自收集個人信息，私自將收集的個人信息共享給第三方等。

對于這些違法違規的App，需要加強執法和處罰力度。網絡安全法規定了對違法收集、使用個人信息的網絡運營者的處罰，包括警告、沒收違法所得、罰款等，情節嚴重的，還可以責令暫停相關業務、停業整頓、關閉網站、吊銷業務許可證或者營業執照。在2019年App專項治理行動中，有關部門采取了公開曝光、約談、下架等處罰措施，但是沒有作出沒收違法所得、罰款或吊銷許可證等嚴厲的處罰。這對一些企業，顯然還是缺乏約束力。

除了監管部門對違規App作出行政處罰，被侵權的用戶將來也可以提出民事訴訟要求賠償。最新的民法典在人格權編中明確規定，自然人的個人信息受法律保護，任何組織或者個人不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。民法典生效后，App繼續違法處理自然人的個人信息，就侵犯了自然人的個人信息權益，應該進行民事賠償。由于App通常用戶眾多，可以對此類訴訟適用集體訴訟制度，一名用戶起訴，審判結果自動及于所有用戶，降低用戶的訴訟成本，鼓勵用戶對違法App提起訴訟。

還應該充分發揮市場或公益性第三方力量，對市面的App處理用戶個人信息的情況進行監督。目前，工信部會不定期公布官方認定的違規App名單，2020年來已經公布了3批。不過，面對市場上數以十萬、百萬計的海量App，官方的力量是有限的，無法一一驗證。應該充分發揮應用商店等第三方機構的作用，對App處理用戶個人信息的行為進行檢測，并將檢測結果公布，給用戶充分的知情權和選擇權。

技術手段也可以在這方面發揮作用。比如，各手機操作系統也都加強了App申請調用系統權限時向用戶提醒的機制，甚至有手機操作系統針對不少App強制用戶授權收集某一信息，否則不能使用的情況，開發出了向App返回空信息的功能。面對違法獲取個人信息的App的長矛，應該鼓勵各方開發出更堅固的盾牌。

總之，治理App偷個人信息，沒法一招打遍天下，也沒法畢其功于一役，而是一個多方參與、多方發力的系統工程，必須永不懈怠，才能久久為功。