应用软件过度索取权限 个人信息保护期待“牙齿”更锋利

● 目前相关部门对于App违法违规收集个人信息的处罚手段有限，主要依靠企业自律，或是监管部门采取限期整改、约谈和下架等方式，这也就意味着没有锋利的“牙齿”能震慑这类行为

7月24日，工业和信息化部对侵害用户权益行为的手机应用软件进行通 ，这是今年以来的第三批通 名单。截至目前，工业和信息化部已对今年检查出的存在问题的89款App进行了通 。

同日，工业和信息化部发布《关于开展纵深推进App侵害用户权益专项整治行动的通知》，专项整治时间为通知印发之日至2020年12月10日。重点整治App、SDK未告知用户收集个人信息的目的、方式、范围且未经用户同意，私自收集用户个人信息的行为。

近年来，通 App违规现象并不少见，涉及软件数量日益增多，侧面暴露了我国公民个人信息保护的短板和难题。

应用软件越界索权

私自共享缺乏监督

在互联 时代，大数据在提供便利的同时也带来了隐私被泄露的潜在危险。身份证 码、手机 码、购买记录、行车路线等个人信息都在数据库里一览无余。“大数据杀熟”“大数据二次贩卖”等现象也层出不穷。

消费记录被购物App分析，出行住宿被旅行App掌握，行车线路也被导航App知道得一清二楚……在互联 大数据面前，普通用户几乎是“裸体”的，而一旦这些数据被泄露，后果不堪设想。更为严重的是，一些手机App从一开始的信息采集就是过度的。

2019年年初，中央 信办、工业和信息化部、公安部、市场监管总局对外发布《关于开展App违法违规收集使用个人信息专项治理的公告》，中国消费者协会、中国互联 协会等联合成立App专项治理工作组，对用户数量大、与民众生活密切相关的App的隐私政策和个人信息收集使用情况进行评估。

然而，在专项治理的攻势下，App过度采集个人信息的问题并未得到遏制。

2019年7月16日，上述App专项治理工作组发布通知，称有40款App在个人信息收集方面存在问题，且未公开有效联系方式。工作组敦促这40款App的运营者30日内完成整改，并向工作组提交整改 告。这份通知显示，Wi-Fi万能钥匙、同花顺、墨迹天气、安居客、糗事百科、起点读书等常见的App，都在需要整改的名单之中。

据了解，一般来说，App的安装和使用只能对一些必要的权限征求使用人的同意。在使用安卓系统的手机中，有以下几个权限最常被调取，其一是“读取已安装应用列表”，借此可以了解和分析用户的使用习惯；其二是“读取本机识别码”，主要用来确定用户的身份；其三是“读取位置信息”，通过获取位置，搜集用户的活动范围，例如导航类软件就必须调取这一权限。

然而，在现实生活中，许多App普遍存在越界索权现象，比如视频类App要求读取运动数据、资讯类App要求开启相机和麦克风录音权限等。

更为严重的是，泄露的信息从一般信息向生物识别信息蔓延。近期，360安全大脑监测到，在金融类移动软件中，存在一批具有隐秘拍照行为的软件，以提供借贷服务之名，悄无声息地进行隐私非法收集行为。据360安全大脑监测数据显示，截至今年6月中旬，共发现9款软件，捕获90个样本。相比以往，这9款软件“偷盗”手段略有不同，除了非法收集用户敏感通讯数据外，还会尝试对用户面部图像进行静默偷拍与上传。

除偷拍用户面部图像外，这类借贷软件“扫荡式”地采集用户的各种敏感通讯与 络数据，包括用户短信、通话记录、通讯录、接入 络等，进行非法收集与明文传输。

“从个人来讲，用户完全没有知觉，所以没有办法进行维权，只能被动地依靠执法机关或者监管机关。此外，这种行为可以获得多层次的利益回 ，再加上企业内部管理不严导致目前这种情况比较严重。”王四新说。

处罚手段比较有限

违法成本普遍偏低

在业内人士看来，责令整改、罚款等处罚措施往往对一些违规App不能产生触动，“这次错了，下次还敢上榜单”的现象比比皆是。

工业和信息化部每曝出一批问题App名单，也会给相关App规定整改期限，如对于7月24日公布的App名单，工信部要求在7月30日之前完成整改。

上海交通大学数据法律研究中心执行主任何渊认为，目前相关部门对于违法违规收集个人信息的处罚手段有限，主要依靠企业自律，或是监管部门采取限期整改、约谈和下架等方式。这也就意味着没有锋利的“牙齿”能震慑这类行为。

除了违法成本低的问题外，监管部门还面临企业用户双方需求难以平衡的困境。

有监管层人士介绍说，目前查到一些App存在侵权问题时，他们会直接与App运营企业联系要求对方进行整改，对于比较容易整改的问题，如App注销难等，企业可以很快出台注销方式，用户也能简单地发现这一改变，因此关于注销难的整改容易推进；但私自收集个人信息的问题就较为复杂，如一些App出于使用目的不得不收集必要的个人信息，此时如何判断什么属于“私自收集”往往较麻烦，这可能是App通 名单中“私自收集个人信息”问题始终存在的原因之一。

但是，刘德良认为，个人信息和个人隐私要作区分，互联 搜索信息偏向等数据属于正常的个人信息片段，企业收集这类信息后只要不进行电话骚扰，合理推送广告和产品推荐并不属于隐私侵犯。

如何平衡两者的需求关系，郑宁的意见是：“个人信息兼具个人利益和公共利益，监管部门应该平衡用户的个人信息权益以及企业的创新发展。随着 络技术进步和数字经济的发展，收集使用个人信息的手段和方式日益多样化、复杂化，通过立法、行政执法和司法加强个人信息保护是非常必要的，但是在大数据、人工智能时代，信息只有在合理流动和使用中才能发挥其价值。”

努力平衡各方需求

监管亟须落到实处

去年年底，国家互联 信息办公室、工业和信息化部等四部门印发《App违法违规收集使用个人信息行为认定方法》，对于如何界定App明确告知收集使用个人信息等行为作出了详细的解释。App专项治理工作组有关专家曾对该认定方法进行解读，未明示收集使用个人信息的目的、方式和范围的情况包括，未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等。

App专项治理工作组有关专家解读称，App和App中嵌入代码的第三方收集使用个人信息，都需要采取适当方式通知用户。“我们曾使用检测工具检测到一款App中嵌入了54个SDK，这么多SDK有没有个人信息泄露的风险，这些都要提。目前有一些App在整改后做得很到位，有些专门列出了SDK的列表，甚至把第三方共享的接收方都列出来了，如果把明示工作做到这个程度，相信用户也会提升对App的信任度。”

当下，我国关于个人信息安全的法律在不断完善和细化，但监管如何落到实处是当下更值得考虑的问题。

“在互联 时代，任何问题都不能采取‘一刀切’的方式，要采取灵活变动的监管办法。”在王四新看来，要想将监管措施落到实处，需要有更多懂技术、懂业务的专家型人才补充到监管的队伍里。在目前这类人才难以满足监管要求的情况下，可以发挥不同领域的技术人才的作用，同时调动广大 民的积极性。

王四新认为，App开发者和用户之间的权利义务关系模式，是随着相关变量的不断变化而变化的。从监管的角度来讲，就是平衡合理使用与保护隐私权的问题，一方面要保护消费者的合法权益，保证他们的隐私不被过度开发或非法利用，另外一方面也要确保App的开发者能够有效利用他们提供服务过程中采集的数据，让这些数据发挥更大的作用。

不过，郑宁也提出：“如果过度强调个人信息保护，会给互联 企业造成过重的负担，不利于产业创新和信息自由流动。”