等深线｜过度索权的APP和被滥用的用户个人信息

2021年2月1日，春节将至，李元忽然收到某应用商城的通知，他开发的APP被工信部发现问题，他需要去一个 站领取通知，按要求整改。当时，李元已回老家准备过年，手头没有公章，也不熟悉在线操作流程。工信部给他的私下整改机会这样流失。2月5日，工信部公开通 包括李元的APP在内的26款APP，它们存在违规调用麦克风、通讯录、相册等权限的问题，整改期限是2月10日前，心急的李元找到知情人士口头了解大概情况后，他尝试向检测系统提交了新的电子版本。

3月3日，工信部下发通知，对26款中，10款拒不整改的APP下架处理，李元的APP正是其中之一。显然，李元也未能把握住第二次整改机会，并受到重罚。截至3月15日，李元的APP在安卓系的应用商店及苹果应用商城仍未上架。同时，这10款APP目前均未在安卓系主流商城上架，但在苹果应用商城，有6款应用在架。

李元的APP作为中国市场数百万个APP之一，被工信部一再点名，似乎有点“倒霉”。近年来，智能手机的普及将用户带入“算法”时代，我国APP数量井喷。截至2019年初，我国市场上移动应用程序数量达449万款，但在增长的同时，许多APP厂商在获取用户权限方面显得无所顾忌。用户在下载使用一些APP时，提示需要获取地理位置，读取通信录、短信及相册，开启麦克风或摄像头等，已经变得很常见。同时，用户若不授权，一些APP会自动关闭，拒绝用户使用。尽管有些APP需要调取的权限在用户看来无明显获取必要。

面对隐私不“隐”，监管层面已经出手。2019年11月，工信部正式开展APP侵害用户权益专项整治活动。截至2021年1月26日，工信部已检测过62万款APP，责令2234款违规APP整改，公开通 500款，未按要求整改的APP被坚决下架，共132款。另外，在2020年，央视3.15晚会曝光手机软件插件（SDK）窃取用户隐私信息，并悄悄存储。2021年3月15日，工信部选择发声，新通 136款侵害用户权益APP，猎豹清理大师、讯飞配音等在列。

APP开发端的现状

3月3日被工信部点名下架的10款APP，包括橘兔语音、小智同学、声吧、纯纯语音、uni语音、WoFit、WiiWear、语声、暖心语音、KK键盘，大多具有语音功能。

对于为何被再次通 ，他表示，首次被通 时，临近2021年春节，公司忙着放假，团队工作效率低，对软件进行修改的时间显得紧张，另外，他提到，自己在对接上级部门相关负责人上也花费了一些时间。“不知道跟谁沟通”，因此延误了整改。

张乾认为，监管层面看重APP厂商对实际获取到哪些用户信息的明确展示，“类似于步骤流程，你必须把协议放在这里，像搭积木一样。”他说。

开发者隐私观念薄弱亦导致违规获取用户权限情形发生。

李元的APP是这10款被强制下架的APP中，另一款语音类产品，功能接近于小米旗下的“小爱同学”。

李元表示，他平时在某物联 公司工作，业余时间独自开发与运营这款APP。在他原先的观念中，自己获取的用户权限，属于APP本身功能运行所需要的，那么就不算“越界”收集。另外，软件用户规模小，又是初创企业，让他觉得离监管部门距离很远。“我都觉得，我的产品好像跟隐私挂不上钩。”他表示，最近才知道微信头像、手机型 信息等都属于用户个人信息，他违反了相关规定。

主管部门的监管要求

在诸多个人信息中，可能会给个人带来重大风险的信息属于个人敏感信息，通讯记录和内容、通讯录、好友列表、群组列表、行踪轨迹、 页浏览记录、精准定位信息等都属于“敏感信息”。而这些信息，如今广泛被多类APP收集的范围。

2019年11月起工信部开展的专项整治工作，重点针对违规收集个人信息，不合理索取用户权限、为用户注销账 设置障碍四个方面的八类问题开展规范整治工作。

八类问题具体指：私自收集个人信息、超范围收集个人信息、私自共享给第三方用户信息、强制用户使用定向推送功能、不给权限不让用、频繁申请权限、过度索取权限、为用户账 注销设置障碍等8类情况。

截至目前，工信部公开通 总12批名单，约800款。有媒体据前总11批数据统计，超过50%所涉问题为“违规收集用户个人信息”，“APP强制频繁过度索取权限”、“违规使用用户个人信息”各占20%左右。

2021年2月5日，工信部副部长刘烈宏谈及当前用户反映强烈的热点问题，包括“麦克风权限滥用”“未经用户同意擅自读写相册”“过度索取通讯录”“隐藏个推关闭选项”等。刘烈宏表示，将高效推进全国APP技术检测平台建设，形成全年检测180万款的覆盖能力。

“最小必要原则”落地难

不过，直到2019年，APP收集个人信息才算迎来一份相对细致的指导文件。

2019年6月1日，全国信息安全标准化技术委员会秘书处编制发布《 络安全实践指南——移动互联 应用基本业务功能必要信息规范（V1.0）》。

该规范针对“移动互联 应用中存在的超范围收集、强制授权、过度索取等个人信息安全问题”，尝试给出移动互联 应用收集个人信息的6项原则，包括“目的明确原则”“最少够用原则”“选择同意原则”“确保安全原则”等。并将移动应用分为16类基本业务功能，并分别设置了必要的信息收集范围，即保障移动互联 应用基本业务功能正常运行所需的个人信息。如， 络支付应用需要手机 码和账 信息、身份信息等6项个人信息；地图导航类应用的必要信息仅1项，即用户位置信息。

2020年1月20日，该委员会又发布关于国家标准《信息安全技术 移动互联 应用程序（App）收集个人信息基本规范》征求意见稿，将移动应用常用服务类型从16种扩至30种，新增如“输入法”“电子图书”“问诊挂 ”“婚恋相亲”等细分应用。

据悉，工信部正在起草《移动互联 应用程序个人信息保护管理暂行规定》，该文件将明确知情同意和最小必要两项个人信息保护基本原则。刘烈宏近日指出，将加快文件出台进程。

隐私政策，有时也有“打幌子”之嫌。

韩争光谈及当前存在的“过度收集”情形：根据“我们”的观察分析，移动应用在过度收集个人隐私信息时有很多种情况，比较常见的过度收集个人隐私信息的情况包括：

其一，收集与业务完全无关的个人隐私信息，如一个壁纸应用，收集地理位置、通讯录等这些个人信息，与其业务没有任何关系，不存在收集的合理性。

其二，虽然业务需要，但APP收集个人隐私信息时未遵循最小必要原则，如一些应用中有提供“分享给联系人好友”相关的业务，可以给通讯录中的某个联系人发消息，此时应仅获取选中的联系人信息，而非收集整个通讯录内容。

其三，在用户不知情、未授权的情况下收集个人信息，如APP在后台运行时收集位置信息等。

另外，韩争光表示，过度收集，还包括高频采集、频繁索权、不给权限不让用等情况。“APP违规收集使用个人信息的现象经过一段时间的治理后，有所改善，但目前仍普遍存在。”韩争光表示。

数据被滥用之殇

据他介绍，APP厂商一般会把用户信息进行脱敏，描绘用户“画像”，并打上一些标签，比如“女、22岁、北京白领”，广告商根据这些标签来精确推送广告。“这个已经是公开的事实了。”该人士说，厂商一般会对广告的商业行为给出说法：脱敏的数据不属于用户数据。

张延来认为，企业超范围收集个人信息，目的还是希望掌握更多数据资源。数据资源具有高价值，在不同数据当中，能够指向个人身份的个人信息数据更具价值。此外，个人信息的集合又可以衍生为数据产品，企业可以拓展业务。

韩争光亦表示：“个人信息属于数据资产，依靠这些数据资产，结合所需的算法，可以很大程度上支撑产品研发和运营，个人信息种类越多、量越大，可能给企业带来直接或间接收益越大，所以很多企业会通过多种渠道收集大量的不同种类的个人信息。”

通讯录被读取，会产生哪些价值？韩争光表示：“有些企业会通过收集的通讯录好友的关联关系，向你发一些营销短信推荐他们的应用以增加用户量，有些企业会根据用户的浏览或购物喜好推荐相关的产品和服务来获利。”

实际上，当用户在谈及对APP获取隐私信息的介意时，一定程度上，是在谈及个人数据万一被厂商泄露，或被厂商出于商业目的而滥用之后，对个人造成不可控影响的担忧。韩争光表示，企业在收集个人信息后，在存储、使用、流转等过程中，如果对个人信息的管理措施和技术保护手段不足，可能会造成数据泄漏的风险。

另外，韩争光提到，普通用户在一些APP上注册登录后，经常会收到一些营销垃圾短信，或者收到一些骚扰电话，可能是由于个人信息被滥用、非法倒卖等原因导致。

（文中李元、张乾为化名）

【等深线】

欢迎提供新闻线索

E-mail：haocheng@cbnet.com.cn

电话：010-88890008