以法治之力破解APP強制索權頑疾

隨著移動互聯網快速發展， 各類手機應用程序（APP） 迅速普及， 在促進經濟社會發展、服務民生等方面發揮了重要作用。但APP 強制索取個人信息授權的問題也愈發突出：使用一款移動教學軟件，卻被要求開通讀取照片功能；下載輸入法，卻要求獲取用戶的電話記錄……這不僅讓消費者不勝其煩，也給個人信息保護帶來較大的挑戰。今年4月20日，國家計算機病毒應急處理中心通報了67款違法違規收集使用個人信息的APP，其中有多款APP涉及未經同意收集信息或開通權限等強制索權問題。4月21日，工業和信息化部通報了今年首批存在侵害用戶權益行為的52 款APP或軟件開發工具包（SDK），其中有15款涉及強制、頻繁、過度索取權限問題。APP強制索權問題已經成為個人信息保護領域群眾反映強烈、亟待深化治理的頑疾。

APP強制索權是指APP在用戶未明確同意或已拒絕授權的情況下，以拒絕或限制用戶使用為手段，迫使用戶接受其索取個人信息授權的行為。其典型樣態包括：強制捆綁式索權，即在APP安裝和運行時向用戶索取非當前服務場景所必需的權限，若用戶拒絕則無法繼續使用；頻繁干擾式索權，即在用戶明確拒絕授權后，以頻繁彈窗等方式反復申請非當前服務場景所必需的權限；過度無關式索權，即提前或超范圍申請與用戶當前所用業務功能無關的權限，如通訊錄、定位等敏感權限。

我國高度重視APP個人信息保護領域工作， 針對APP 強制索權等問題不斷完善立法和加強執法。網絡安全法確立了個人信息處理的知情同意和合法正當必要原則。個人信息保護法進一步規定“收集個人信息，應當限于實現處理目的的最小范圍，不得過度收集個人信息”，“個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產品或者服務；處理個人信息屬于提供產品或者服務所必需的除外”。《網絡數據安全管理條例》進一步明確，基于個人同意處理個人信息的，“收集個人信息為提供產品或者服務所必需，不得超范圍收集個人信息”，“不得在個人明確表示不同意處理其個人信息后，頻繁征求同意”。近年來，中央網信辦會同有關部門持續開展APP 違法違規收集使用個人信息的治理工作， 建立健全工作機制， 研究制定標準規范， 查處各類違法違規行為，加強正面典型示范引領，著力整治強制索權等突出問題，取得了積極成效。

盡管如此，APP 強制索權問題在實踐中仍然較為多發，甚至在某些領域呈愈演愈烈之勢。究其原因，主要在于以下方面。一是一些企業受利益驅動，對個人信息保護未能予以足夠重視。為了利用用戶個人信息進行精準營銷、廣告推送甚至從事黑灰產而牟利，部分企業鋌而走險，通過強制索權獲取和使用大量用戶數據。二是移動互聯網APP 數量龐大，新形態新模式不斷涌現給治理帶來挑戰。近年來，小程序、快應用、H5 頁面等新形態和SDK 等新技術的出現，以及智能體APP 強制調用手機系統無障礙權限等，導致治理強制索權更加困難。三是監管能力和監管方式在一定程度上滯后于治理需要。面對數量龐大和形態多樣的APP，監管力量依然存在不足，“檢測—通報—處置”的監管方式難以適應APP頻繁迭代更新的特點，再加上處罰力度有限，違法成本不高，有的違法APP“換個馬甲”就能“死灰復燃”。

鑒于APP強制索權問題仍較為突出， 今年中央網信辦會同有關部門開展的2025 年個人信息保護系列專項行動， 將APP和SDK無相關功能或未使用相關功能時調用非必要權限或收集非必要個人信息等強制索權問題作為治理的焦點問題。深化APP強制索權問題的治理， 應該基于APP服務生態的特點，圍繞移動互聯網APP 開發運營、應用分發、終端運行的全鏈條完善治理舉措，協同共治破解這一頑疾。

加強監管執法， 加大違法處罰力度。一是堅持全鏈條治理，強化重點環節監管。聚焦開發運營、應用分發和終端運行，細化對APP開發運營者、APP分發平臺、APP第三方服務提供者、終端生產者等上下游主體監管要求，通過檢測檢查等加強日常監管。二是強化技術治理，加強監管能力建設。面對APP 數量龐大、迭代更新快的監管挑戰，切實提升APP監測檢測、風險預警、溯源認證、數據挖掘等技術能力。目前，工業和信息化部建成的APP檢測及認證公共服務平臺就是很好的探索。三是加強協同治理，加大執法處罰力度。加強有關主管部門的統籌協同，強化信息共享和執法聯動，形成監管合力。健全約談提醒、責令整改、通報下架等長效機制，對“屢犯不改”的違法者要加大處罰力度，形成監管威懾。

夯實主體責任，健全內部合規管理。有關主體應當嚴格落實保護用戶個人信息的法定要求，切實遵循知情同意和合法正當必要原則。對于APP 開發運營者來說，一是不得以任何理由強制索取用戶授權，不得因用戶不同意提供非必要個人信息而拒絕用戶使用其基本功能服務；二是健全內部合規管理機制，明確個人信息保護負責人，將法定要求落實到APP 研發、推廣和運營各環節，按照《個人信息保護合規審計管理辦法》定期進行合規審計，不斷提高合規水平。對于SDK 服務提供者來說，應根據不同應用場景或用途，明確SDK 功能和對應的個人信息收集范圍，不得一攬子過度收集個人信息，并通過向APP 開發運營者提供個人信息收集的配置選項和合規使用指南，促進SDK合規使用。

強化平臺責任，完善應用分發管理。應用商店等分發平臺是連接APP開發運營者與用戶之間的橋梁，應發揮好“守門人”作用。《移動互聯網應用程序信息服務管理規定》已要求APP分發平臺建立完善上架審核、日常管理、應急處置等管理措施，發現在架APP違法違規收集使用個人信息的，不得為其提供服務。未來應進一步探索監管部門與分發平臺的協作治理機制：一是明確APP上架審核需要提交和公示的信息， 比如APP需要獲取的用戶終端權限及用途、個人信息處理規則等，分發平臺經形式審查發現有強制索權等問題的，應不予上架；二是在監管部門支持下，分發平臺對監管抽檢發現的問題APP 及時提示風險或下架，利用監管檢測平臺對擬上架APP或投訴較多的在架APP 進行技術抽檢，發現有強制索權等問題，應停止提供服務并及時通報監管部門。

增強終端防護，提升用戶防范意識。智能手機等終端是APP安裝運行的載體，應該增強終端的防護能力，切實保障用戶的知情權和自主選擇權。一是強化終端系統對APP 權限調用行為的記錄和提醒，為用戶查詢和管理權限調用提供技術支撐。系統應明確提示通訊錄、定位、短信、麥克風、相機、剪切板等敏感權限的使用狀態，保障用戶實時準確了解APP個人信息收集狀態，及時發現和處置強制索權問題。二是加強宣傳教育，切實提升用戶防范意識。通過媒體、線下宣講等各種渠道，廣泛宣傳APP 個人信息保護知識，增強用戶對違法違規APP 的辨別能力和防范能力，引導用戶主動謹慎管理APP 授權，在發現違法違規APP時及時通過12321等渠道進行舉報和維權，促成APP 強制索權全民共治的良好局面。

（摘自6 月11 日《學習時報》）

本欄編輯 何欣 趙婷宇