淺談移動互聯網應用個人信息保護

文/長沙市公安局 劉勇兵 何海林

目前，各式各樣、五花八門的移動互聯網應用日漸成為人們生產生活中不可缺少的工具，APP在架數量和用戶規模持續擴大，在APP帶給我們諸多便利的同時，也帶來了很大的個人信息安全隱患。從經濟的角度來看，主要是因為個人信息在人工智能時代顯現出巨大的經濟價值，個人信息安全也受到了前所未有的挑戰，存在信息處理者非法、不正當，和過度收集、利用與擅自披露個人信息等問題。加之我國個人信息保護法治體系不盡完善、技術保護存在瓶頸、個體安全意識仍然薄弱等原因，通過APP泄露個人信息和隱私、侵犯公民個人信息的犯罪行為屢見不鮮。因此，進一步開發利用APP、科學有效保護個人信息，已成為社會各界廣泛關注的熱點問題，加快推動互聯網APP個人信息保護迫在眉睫。

一、APP個人信息安全問題檢視

（一）APP自身個人信息安全問題突出。《2020年中國手機APP隱私權限測評報告》數據顯示，APP默認調用相機權限達97.0%、定位權限達95%、錄音權限達85%。雖然目前很多手機自帶安全軟件會提示權限及風險，但APP會采取不間斷提示、功能限制等手段，導致用戶不得不默許權限。總的來看，作為收集用戶數據的主要入口，APP主要存在六類常見的安全問題：一是個人信息收集使用規則形同虛設，存在單方面強制性；二是強制、頻繁、過度索權成為普遍現象；三是私自、超頻、誘導、超范圍收集問題突出；四是數據共享行為不規范、缺乏約束措施；五是APP內無開啟、關閉個性化服務選項或在極其隱蔽位置，千方百計設置障礙；六是設置不合理障礙、賬號注銷難，存在強制使用現象。

（二）APP個人信息泄露滋養黑灰產業。個人信息的質量是決定個人信息貨幣價值的一個重要因素，質量越高的個人信息，其價值也就越高，越容易遭到泄露。目前，個人信息買賣已形成一條規模大、鏈條長、利益大的產業鏈，囊括個人信息非法收集買賣上、中、下游全過程。從源頭上看，上游環節負責非法獲取并向第三方提供個人信息，主要依靠兩個渠道：一是APP方面過度索取數據調用權限，任意共享給第三方，進行信息販賣。二是在個人信息相對集中的租賃、賓館、倉儲、物流等行業，發生信息“無故”泄露現象，一些企業內部人員利用職務之便非法出售高價值信息。

（三）“李鬼”APP泛濫威脅個人信息安全。“李鬼”APP是指一些未通過國家APP監測中心驗證的非法軟件，目前由于行業監管不力、技術手段匱乏、經濟利益刺激，以及制作成本低、周期短等原因，各類非法APP軟件不斷滋生，特別是在網購、網貸、交通等領域野蠻生長。“李鬼”APP與釣魚網站、虛假網頁如出一轍，故意混淆視聽，通過發送短信、郵件推送等方式欺騙手段誘使用戶下載注冊，之后通過其他方式進行聯合詐騙，竊取手機用戶移動支付賬號密碼，或誘導用戶在線支付，又或是惡意扣除賬戶資金，還有的“李鬼”APP在用戶使用后留后門、掛木馬，遠程控制并竊取用戶手機、互聯網賬戶中的個人信息資料，嚴重危害網絡安全、財產安全、公共秩序。

二、APP個人信息安全問題產生的原因

（一）公民個人信息保護意識淡薄。個體的信息處理存在差異性, 源于個體的信息理解、信息取舍、信息利用的差異。目前，我國擁有全球最大的網民數量，超過10億人，但公民整體素質偏低、相關知識匱乏，特別是對個人信息保護的理解和認識不夠，主觀保護、主動保護的意識淡薄，導致不法分子有可乘之機。《2020年中國手機APP隱私權限測評報告》數據顯示，從來不閱讀隱私政策的網民達14.6%，瀏覽但沒有仔細閱讀達48.7%。這反映了中國大部分手機用戶或多或少存在個人信息保護意識淡薄的問題。公民保護個人信息的意識薄弱為不法分子套取、違法泄露以及提供信息創造了條件，客觀上導致APP個人信息泄露愈演愈烈，形成惡性循環。

（二）立法及執法未形成強約束力。法律會影響到基于個人評估的信息價值評估結果與個人信息的使用價值，奠定了信息市場活動的基礎，規定了市場發展的活動范圍、基本方向以及根本目的，從而將個人信息的交易與開發利用合法化、規范化，并做好個人信息的保護工作，有助于降低個人信息利用風險。我國個人信息未形成清晰的法律保護模式，近年來，有關個人信息保護的法律法規陸續發布，但大都比較籠統，操作性不強。APP收集用戶信息“正當、合法、必要”3個原則的界定存在爭議，發生侵權行為后的舉證難、處罰力度不足等，無法在法律高度形成強約束力、牢牢牽住個人信息安全保護的“牛鼻子”。

（三）部門和行業監管存在漏洞。根據協同治理理論，多主體共同參與、主體多元化能夠實現優勢互補，提高治理效率。但是當前政府部門、行業之間未能很好協同。首先，關于個人信息保護的整體規定還比較籠統，缺乏具體明確的實施細則和指導意見；其次，對于企業是否履行保護主體責任缺乏有效監管和驗證方式；最后，個人信息的出境機制尚未建立，具體實施細則、管理機構還在制定中，相關管理機制還沒有系統建立。

（四）APP開發商及運營者缺乏自律和責任感。目前，企業在其經營活動中必須考慮承擔更多的社會責任，除了利潤，還需兼顧利益相關者利益。APP在運行過程中不可避免地會搜集用戶個人信息，并對信息進行處理，通過人工智能的算法對用戶進行“量身定制”，正如有些學者所指說：“在人工智能時代的照耀下，個人隱私幾乎無處可藏，這是人工智能與生俱來的‘原罪’”。目前APP收集、使用個人信息規則通常以隱私政策形式呈現。據中國消費者協會調查結果顯示，大量APP未遵循知情同意和最小必要兩項個人信息保護基本原則，存在隱私政策缺失、甚至販賣收集的用戶個人信息等。這反映了APP開發商及運營者缺乏自律，企圖“蒙混過關”，有目的性地收集用戶個人信息，沒有做到真正意義上的公開透明，對于網絡空間公民隱私的保護缺乏責任感。

三、APP個人信息保護應對策略

個人在使用APP的過程中，個人信息的記錄產生一定的數據并存儲于APP和互聯網之中。因此，個人信息安全問題的實質就是數據安全問題。個人信息對于人工智能至關重要，這是由于其具有重要的生產價值，是數據產業新的生產要素。數據安全問題的解決不是一蹴而就的，需要多方聯動，多措并舉。

（一）加強APP個人信息保護立法建設與執法力度。1.依法治國是我國治國理政的基本方式，也是推動互聯網信息治理的根本保障。首先，相關部門需要在《個人信息保護法》的基礎上，聚焦APP領域突出問題，進一步加強司法解釋，提高法律法規的針對性和具體操作性；其次，需要進一步明確合法、正當、誠信三大原則，加大欺騙、誤導等方式處理個人信息的處罰力度；最后，明確法案面向的主體及相關權責，又實行監督與問責并重的行政監管機制與法定認證標準。總的來說，就是通過強化立法建設，打造一個以法律為龍頭，法規、規章、規范性文件等為充分的完整APP個人信息保護法律體系。2.良法更要善治。政府有關部門進一步加大行業監管力度，特別是持續強化執法力度，確保法律法規的強制力、引導力落到實處。一是在高位上建立APP個人信息保護聯席會、工作領導小組等機構，明確由網信、網安部門牽頭指導，市場監管、工信、公安等部門協調配合，統籌推進。二是進一步建立完善的APP個人信息監管管理機制，明確各部門職責任務，細化違規APP處置流程和措施，進一步提升監管的規范性和透明度。三是加強日常監督檢查力度。采取多部門聯合檢查，強化技術手段支撐加大對APP開發商和運營主題的監督檢查頻次，發現侵權問題及時推送，限期整改。

（二）推動行政力量與社會力量共同治理。協同治理是為推動社會問題的合理解決，政府、企業及公眾等多元主體發揮自身優勢，建立跨部門協同合作關系的一種制度安排。在APP個人信息保護執法層面，網信部門、工信部門、公安機關構成了行政監管主要力量，隨著APP個人信息安全治理工作的不斷深入，目前已取得巨大的工作成效。但是，筆者認為，行政監管單方面治理仍然顯得力量單薄，且在治理中存在監管資源消耗問題，需要進一步整合、優化治理力量。一方面，推動監管執法統一化。監管執法統一化需要進一步發揮網信部門統籌協調作用，統一和細化各行政監管部門合規標準，統一監管步調，合理分配監管力量；另一方面，推動合規治理社會化。一是以分發平臺作為APP合法合規問題治理的第一層屏障，行政監管部門指導、督促APP分發平臺落實主體責任；二是鼓勵社會企業研發自動化、智能化監管技術手段，以技術革新促使合規治理全面鋪開，通過調動社會面力量促使開發企業進行合規治理。

（三）推進APP生態鏈各責任主體履行法定義務。APP個人信息保護是一項系統工程，除需管住APP開發運營者之外，還需規范APP第三方服務提供者、移動智能終端生產企業和網絡接入服務提供者，只有群防群治，才能真正解決問題。具體包括以下幾個主體的責任：1.開發運營者的責任。APP開發者應貫徹隱私設計原則，以顯著、清晰的方式定期向用戶呈現APP的個人信息收集使用情況；單獨告知個人敏感信息處理行為；詳盡披露個人信息的接收方；管理并對接入的第三方承擔連帶責任；尊重和平等保護用戶合法權益；給予用戶自主選擇業務功能的權利；不得欺騙強制誤導用戶啟動APP；保障APP網絡和數據安全。2.第三方服務主體的責任。制定并公開個人信息處理規則；如實告知開發運營者個人信息處理活動；不得未經授權共享轉讓個人信息；不得私自調用權限；保障個人信息安全。3.網絡接入服務提供者的責任。驗證并登記真實身份；按照監管部門要求，依法對違規APP采取停止接入等必要措施，阻止其繼續違規侵害用戶個人信息和其他合法權益。

（四）進一步加強技術手段研發力度，更好進行線上自動化監管。為保護個人信息安全，APP的設計需要將隱私保護算法嵌入產品的研發和應用的全過程。“保護隱私設計蘊含七大基本原則：1.隱私保護是主動的而非被動的，是預防性的而非補救性的；2.隱私保護是默認設置，即在默認情況下使用最高可能的隱私保護設置；3.將隱私保護嵌入設計中；4.隱私保護效果具有正效應而非零和效應；5.隱私保護貫穿在全生命周期，是全程保護，而非僅在某幾個時間點保護；6.隱私保護具有可見性、透明性和開放性；7.以用戶為中心，尊重用戶隱私。加強APP個人信息保護，技術支撐是原動力。因此，國家有關部門要組織行業優勢力量，運用人工智能、大數據等技術，進一步推進“全國APP技術檢測平臺”建設，盡快形成覆蓋能力，同時積極提升監測智能化、標準化水平，更好實現線上自動化監管。要聯合科研院所、龍頭企業，進一步探索推進密碼技術服務APP個人信息保護策略，通過證書認證、加密傳輸、存儲加密等方式，確保用戶信息傳輸、使用安全。完善各類應用商店自檢技術建設，統一檢測標準，并同步建立違規不良APP或企業黑名單，對于不良APP或相關企業禁止其上架。

（五）堅持重拳打擊與強化自我保護并重。APP個人信息保護，必須堅持重拳打擊、合理引導、個人防護，才能更好地保護用戶權益。在APP個人信息保護合規監管方面，監管部門采取行政檢查和行政處罰兩種執法手段。自2019年起，各主要監管部門整治力度持續提升、整治范圍不斷擴大，單獨或聯合開展多個專項整治行動，查處了違規APP千余款。因此，持續保持高壓態勢，持續重拳打擊違規APP，是當前保護個人信息隱私的重要手段之一。要充分發揮社會各界力量，共同營造APP個人隱私保護的良好氛圍。一方面，相關行業協會要進一步加強行業自律與內部懲處機制建設。對于違規企業，在政府處罰基礎上，再進行行業內處罰，讓違規APP母公司、上游企業無法立足；另一方面，要進一步發揮第三方監管機構作用，加大對企業日常監督管理的力度，向社會定期發布監管報告、安全報告。要探索引入APP上架前、運維中第三方機構安全認證制度，探索將APP個人信息控制權、個人敏感信息第三方代管制度，實現互相監督、互相約束。

對于用戶個體來說，一定要樹立個人信息保護意識，提升個人信息安全素養。在日常生產生活過程注意避免個人信息泄露，應當熟悉法律賦予的知情權、同意權、刪除權等權利，在碰到不法侵害時應及時拿起法律武器保障自身合法權益。在日常應用中要注意以下幾點：一是堅持從專門軟件市場、正規官方等安全渠道下載和使用APP產品，筑牢意識屏障；二是要注意選用安全合規的APP產品和服務；三是認真閱讀隱私政策，分析和判斷APP處理個人信息是否滿足合法、正當、必要原則；四是關閉非必要權限，及時關閉無關聯權限；五是注冊登錄時謹慎提交個人信息；六是謹慎提供信息進行身份核驗；七是謹慎向第三方頁面提供個人信息；八是不再使用的APP解綁、注銷后，再刪除APP。