移動互聯網應用中個人信息安全規范探析

◆馮詩宇 葉泳琪 鄭承華

移動互聯網應用中個人信息安全規范探析

◆馮詩宇 葉泳琪 鄭承華

（武漢工商學院 湖北 430070）

在移動互聯網應用（APP）越來越普及的背景下，用戶個人信息的安全問題已面臨嚴峻挑戰。我國相繼出臺的一系列法律規范在一定程度上規范了移動互聯網應用經營者對個人信息的使用。本文主要對“移動互聯網應用對人們行為規范的影響”“移動互聯網應用收集使用個人信息的權限”等方面進行分析，歸納出個人信息安全規范法律層面的問題，再結合政府已經做出的措施，總結經驗，提出新的建議，探析移動互聯網應用中個人信息的安全規范。

個人信息、移動互聯網應用（APP）、保護規范

1 移動互聯網應用中個人信息安全規范的概述

1.1 個人信息安全規范概念

（1）個人信息的概念

根據《信息安全技術個人信息安全規范》3.1規定，個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息。

（2）個人信息安全規范的基本內容

個人信息安全規范包括個人信息安全基本原則、個人信息的收集、個人信息的存儲、個人信息的使用、個人信息主體的權利、個人信息的委托處理、共享、轉讓、公開披露等方面。規定了個人信息處理活動應遵循的原則和安全要求。適用于規范各類組織的個人信息處理活動，也適用于主管監管部門、第三方評估機構等組織對個人信息處理活動進行監督、管理和評估。旨在遏制個人信息非法收集、濫用、泄漏等亂象，最大程度地保障個人的合法權益和社會公共利益。

1.2 保護移動互聯網應用中個人信息安全的法律規范

針對APP強制授權、過度索權，超范圍收集個人信息、違法違規使用個人信息等數據安全問題，我國相繼出臺了一系列法律規范并不斷更新。例如，2020年10 月1日實施的《信息安全技術個人信息安全規范》GB/T 35273—2020，其代替了《信息安全技術個人信息安全規范》GB/T 35273—2017。新規范修改了第五點、第七點等內容，強化了對移動互聯網應用（APP）經營者控制個人信息時的要求，使用戶可以充分地使用其選擇權，減少了APP濫用權限的風險，并且細化了個人信息主體注銷賬戶的要求等。

《消費者權益保護法》《網絡安全法》《電子商務法》《中華人民共和國刑法》《電信和互聯網用戶個人信息保護規定》等法律法規的個人信息相關條例以及《民法典》第1034條第二款規定，“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。”充分體現個人信息主體依法對個人信息享有支配、控制并排除他人侵害的權利。其權利內容包括信息決定權、信息保密權、信息查詢權、信息更正權、信息封鎖權、信息刪除權和信息報酬請求權[1]。

2019年以來，我國為了規范移動互聯網應用（APP）收集個人信息，出臺了《App違法違規收集使用個人信息行為認定方法》《常見類型移動互聯網應用程序必要個人信息范圍規定》等相關法律規范。并為APP用戶提供了舉報渠道——微信公眾號：APP個人信息舉報，由APP專項治理工作組受理。體現了我國對個人信息安全規范的重視，以及對新問題的快速響應，并做出解決方案。目的是為了維護網絡秩序，加強互聯網企業對客戶個人信息保護。

2 移動互聯網應用中個人信息安全規范的主體

2.1 移動互聯網應用的經營者

為了使移動互聯網應用（App）經營者加強行業自律，明確企業主體責任；規范推送及權限調用，加強用戶可知可控的權利。我們針對百款常用APP收集使用個人信息的權限做了相關調查。

根據《常見類型移動互聯網應用程序必要個人信息范圍規定》，網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，不得收集與其提供的服務無關的個人信息。據我們調查，大多數APP超出了收集必要信息的限度。

（1）APP無須個人信息，即可使用基本功能服務

自拍美化類APP，輕顏相機3.2.9、美圖秀秀9.1.3.1等收集了用戶通話記錄、錄音、定位等權限信息，滿足這類APP的基本功能并不需要這些權限，所以有可能導致用戶在使用過程中信息被竊取、泄露。

（2）APP收集個人信息超出了必要的限度

大多數APP申請收集個人信息權限數平均為12個，數量較多，可能會導致用戶個人信息安全系數較低。

《常見類型移動互聯網應用程序必要個人信息范圍規定》中規定，即時通信類APP必要個人信息包括注冊用戶移動電話號碼、賬號信息，QQ8.6.0和微信8.0.1等APP不僅收集了規范所規定的必要個人信息，還收集用戶的錄音、定位、讀取通訊錄等權限，明顯超出必要限度。

當下，大家普遍通過QQ、微信等即時通訊軟件進行通訊交流、分享生活。過度的收集信息會造成被盜號或造成賬號安全性低引起的財產丟失，隱私、數據泄露。

2.2 移動互聯網應用的使用者

為具體了解到當前移動互聯網應用（APP）使用者對個人信息保護的意識，以及移動互聯網應用對人們行為規范的影響，我們做了一個初步調查。

（1）對“掉餡餅”式的網絡風險活動缺乏警惕

互聯網的發展使越來越多的用戶隱私數據暴露在不法分子的面前。在生活當中，隨處都存在泄露個人信息的情況。例如，商家在商店門口借著送禮物的名義讓你掃碼、填信息之類的活動，還有免費向公眾開放的“WiFi”和假冒熱點，一旦連接上，可能迅速進入手機系統來竊取用戶個人信息。

我們必須要謹慎，不能為了一時的小利讓自己陷入未知的隱患。

（2）對APP隱私協議的重視度不高

據調查，用戶對于在APP上注冊真實信息的要求并沒有過多反對意見或者說為了某些便利默許一些強制認證的行為。大部分用戶雖會留意移動互聯網應用（APP）首次打開時出現的個人隱私協議，但有時不會仔細閱讀，一些APP將越權請求藏于復雜的隱私協議內容中，用戶在沒有充分閱讀了解的情況下向APP經營方提供了原本不需要開啟的權限。

（3）信息泄露對人們的影響

個人信息保護之所以引起廣泛關注，正是由于近幾年個人信息被盜用、濫用的情況比比皆是。販賣公民個人信息、APP非法獲取個人信息，以及非法獲取公民個人信息進行電信欺詐或推銷騷擾的事例屢見不鮮。因此用戶在享受網絡帶來便利的同時也需要提升保護個人信息安全的意識。

3 對移動互聯網應用個人信息安全規范的法律建議

3.1 建立完整的法律體系

近年來，我國雖然出臺了大量的法律法規來規范保護個人信息的安全，涉及范圍很廣，包括民法層面、刑法層面、行政法層面等，從法律法規到普通的標準規范都有對個人信息保護的規定。但整體上立法比較分散，不夠統一，沒有一個完整的體系。例如，各個層面的法律規定沒有銜接；沒有細化地明確APP經營企業的責任與義務；各個層面的法律法規沒有樹立起個人信息的重要地位。

如果沒有一個完整的法律體系來保護個人信息，那么這些已出臺的零散的法律法規就不能提高其操作性，無法最大程度地保障用戶的個人信息權。

3.2 對移動互聯網應用經營者的法律建議

（1）落實企業主體責任

應用經營者應當提醒用戶謹慎勾選相關權限，主動告知權限目的，建議使用額外彈窗的方式告知申請權限，比如檢測到用戶不在安全范圍下建議關閉攝像頭、錄音、位置等防止用戶信息泄露。

（2）依法保障用戶權益

應用經營者應當充分保障用戶的自主選擇權和開啟權限的知情權，不得擅自獲取與服務無關的權限，以做到充分保護用戶的個人信息安全。

（3）收集信息應遵循最小必要原則

隨著國家對個人信息安全規范的不斷完善，應用經營者應當根據相關法律法規，明確在經營APP的過程中是否過度收集用戶信息，及時發現問題并進行內部自我整改，落實到實際運營中，規范自身行為，加強行業自律。

3.3 對移動互聯網應用使用者的法律建議

（1）使用者在網上應提高辨別能力

注意下載APP途徑是否合法合規，選擇知名APP商店下載應用軟件，官方應用商店中的應用軟件基本經過自動測試、安全掃描、人工審核三大檢查，其安全系數更高。不要在不明網站上注冊個人信息，謹防釣魚網站調取個人信息，在進行敏感信息授權時要注意，除非對功能非常需要，一般不要同意、不要授權。

（2）使用者應重視自己的個人信息安全

用戶應提高對個人信息的重視度，個人信息的泄露可能會導致用戶受到電話騷擾，詐騙等，這表明個人信息被不正當利用的危險性增加。用戶應當認識到個人信息的泄漏，不僅會涉及個人，還會擾亂正常的生活秩序，給社會帶來安全隱患，影響和諧社會的構建。為了不加劇社會的信任危機，以及法律法規的切實落實，應不輕易將自己的個人信息暴露。

（3）移動互聯網應用（APP）使用者應充分了解相關法律法規

認真了解個人信息的范圍，特別是敏感信息以更好地保護個人信息安全；在下載APP后應對其做權限管理，在開啟個人信息權限時充分了解其作用并謹慎開啟；遇到個人信息泄露時應及時采取相應措施以免造成更大的損失。

我國政府相繼出臺一系列法律法規，《消費者權益保護法》第十四條、第二十九條；《網絡安全法》第二十二條、第四十一條、第四十二條、第四十三條第四十條、第六十四條、第七十六條等都可以解決一些個人信息的安全問題。充分了解相關法律法規可以更好地保障個人信息的安全，當用戶個人信息被侵犯時，就可以拿起法律武器合法維護自身權益。

綜上所述，本文認為還應通過微信舉報平臺、網頁、新聞平臺等新興媒體渠道，大力宣傳，提高公民對個人信息的重視程度，調動公民的積極性，才能更好對移動互聯網應用進行監督。促進APP經營者加緊整改自身不足，使移動互聯網應用利益最大化且最大程度地保護用戶的個人信息，才能共建便捷化、安全化、規范化、法治化的互聯網時代。

[1]馮詩宇，鄭承華，淺析移動互聯網應用對個人信息的保護[J].數碼設計，2020（16）：59.

大學生創新創業訓練計劃項目：移動互聯網應用（APP）對個人信息保護的法律責任（202013242007）