16類APP首迎規(guī)范監(jiān)管“隱私換便利”時(shí)代能否終結(jié)?

謝慧華

6月1日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布《網(wǎng)絡(luò)安全實(shí)踐指南——移動(dòng)互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范》（下稱《規(guī)范》），App超范圍收集、強(qiáng)制授權(quán)、過度索權(quán)等個(gè)人信息安全問題有望得到進(jìn)一步規(guī)范。《規(guī)范》依據(jù)個(gè)人信息收集最少夠用的原則以及不同種類App的業(yè)務(wù)范圍，對(duì)地圖導(dǎo)航、網(wǎng)上購物、餐飲外賣等16類App收集個(gè)人信息的范圍給出了參考。隨著《規(guī)范》的發(fā)布，移動(dòng)互聯(lián)網(wǎng)的隱私安全問題是否有望得以解決呢？

為App隱私安全立法勢在必行

App竊取用戶隱私一直是網(wǎng)絡(luò)安全的重災(zāi)區(qū)，隨便打開一款新安裝的App，啟動(dòng)界面就會(huì)接連跳出多項(xiàng)權(quán)限申請(qǐng)。要想進(jìn)一步使用App的功能，注冊時(shí)還必須一并同意其附帶的《隱私政策》。細(xì)讀這些條款，充斥著大量技術(shù)專用名詞，將收集隱私美其名為“保護(hù)隱私”，卻對(duì)收集后如何安全保存避而不談。不給權(quán)限，不同意《隱私政策》，就只能退出應(yīng)用界面。

2018年底，中國消費(fèi)者協(xié)會(huì)發(fā)布的《100款A(yù)pp個(gè)人信息收集與隱私政策測評(píng)報(bào)告》顯示，10類100款A(yù)pp中，多達(dá)91款A(yù)pp列出的權(quán)限存在涉嫌“越界”過度收集用戶個(gè)人信息的問題。特別是在有關(guān)隱私條款上，報(bào)告顯示當(dāng)前許多手機(jī)App存在諸如隱私條款籠統(tǒng)不清，不主動(dòng)向用戶展示或展示內(nèi)容晦澀冗長沒有為用戶提供訪問、更正、刪除個(gè)人信息的途徑，大量收集與所提供服務(wù)無直接關(guān)聯(lián)的個(gè)人信息等典型問題。

2019年1月25日，中央網(wǎng)信辦、工信部、公安部、市場監(jiān)管總局四部門聯(lián)合發(fā)布《關(guān)于開展App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理的公告》，決定自2019年1月至12月，在全國范圍組織開展App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理。App運(yùn)營者收集使用個(gè)人信息時(shí)，不得收集與所提供服務(wù)無關(guān)的個(gè)人信息，不得以默認(rèn)、捆綁、停止安裝使用等手段變相強(qiáng)迫用戶授權(quán)。為規(guī)范App收集、使用用戶信息特別是個(gè)人信息的行為，市場監(jiān)管總局、中央網(wǎng)信辦還從2019年3月起開展App安全認(rèn)證工作，并鼓勵(lì)搜索引擎、應(yīng)用商店等明確標(biāo)識(shí)并優(yōu)先推薦通過認(rèn)證的App。

《規(guī)范》明確界定16類基本業(yè)務(wù)功能

《規(guī)范》指出，移動(dòng)互聯(lián)網(wǎng)應(yīng)用個(gè)人信息收集活動(dòng)，主要依據(jù)《信息安全技術(shù)個(gè)人信息安全規(guī)范》的“個(gè)人信息安全基本原則”，遵循權(quán)責(zé)一致、目的明確、最少夠用、選擇同意、公開透明、確保安全六個(gè)原則。針對(duì)App的基本業(yè)務(wù)功能，明確界定了保障其正常運(yùn)行所需收集的個(gè)人信息，給出了每類業(yè)務(wù)功能相關(guān)的必要信息范圍。

同時(shí)，《規(guī)范》首次對(duì)《中華人民共和國網(wǎng)絡(luò)安全法》提出的“合法、正當(dāng)、必要”原則中的“必要原則”給出具體界定，將App“非越界”索取的信息分為了通用功能相關(guān)必要信息與基本業(yè)務(wù)功能相關(guān)必要信息兩類。其中，基本業(yè)務(wù)功能是指滿足個(gè)人信息主體選擇使用App的最主要需求和根本期待的業(yè)務(wù)或功能?！兑?guī)范》清晰界定了地圖導(dǎo)航、網(wǎng)絡(luò)約車、即時(shí)通訊社交、社區(qū)社交、網(wǎng)絡(luò)支付、新聞資訊、網(wǎng)上購物、短視頻、快遞配送、餐飲外賣、交通票務(wù)、婚戀相親、求職招聘、金融借貸、房產(chǎn)交易、汽車交易等16類基本業(yè)務(wù)功能相關(guān)的必要信息范圍。

其中，地圖導(dǎo)航類應(yīng)用的基本業(yè)務(wù)功能必要信息僅為位置信息，包括精準(zhǔn)定位信息和行蹤軌跡;短視頻類應(yīng)用只能獲取用戶關(guān)注的賬號(hào)信息但自媒體用戶則需要提供姓名、證件和證件號(hào)碼等用于實(shí)名認(rèn)證的信息，大大縮小了獲取范圍。針對(duì)目前較多App讀取用戶通訊錄的要求，《規(guī)范》也給出了明確的范圍限制。比如針對(duì)金融借貸類應(yīng)用，《規(guī)范》要求應(yīng)允許用戶手動(dòng)輸入兩位緊急聯(lián)系人信息;即時(shí)通訊社交應(yīng)用應(yīng)該允許用戶手動(dòng)添加好友，而不應(yīng)強(qiáng)制讀取用戶的手機(jī)通訊錄。

《規(guī)范》中還指出，瀏覽、搜索、點(diǎn)擊等操作記錄通常是非必要信息，收集時(shí)應(yīng)告知用戶并征得其同意;保存和使用個(gè)人上網(wǎng)記錄時(shí)，對(duì)個(gè)人信息進(jìn)行去標(biāo)識(shí)化處理;使用個(gè)人上網(wǎng)記錄用于分析用戶畫像進(jìn)行個(gè)性化展示和推薦時(shí)，告知用戶使用目的，并提供用戶退出定向推送模式選項(xiàng)。以新聞資訊類應(yīng)用為例，存在聚合類新聞應(yīng)用需收集用戶的瀏覽操作記錄。根據(jù)《規(guī)范》，該業(yè)務(wù)功能應(yīng)告知用戶并征得其同意，如果用戶拒絕，App應(yīng)提供讓其退出定向推送模式的渠道。

《規(guī)范》之外，我們還能做什么？

需要注意的是，《規(guī)范》并沒有限定App完全不能超出必要性范疇收集信息但是必須得有充分的理由，或者額外的規(guī)定，比如國家的法律法規(guī)或行業(yè)管理要求等等，并且允許用戶自主選擇同意。這給了App可乘之機(jī)。根據(jù)《規(guī)范》，“求職招聘”類App可以索取的必要信息包括用戶注冊的手機(jī)號(hào)碼、賬號(hào)信息、求職者基本信息、教育信息和工作經(jīng)歷信息等。但在截稿前，我們在正規(guī)應(yīng)用商店下載的《智聯(lián)招聘》，依然需要讀取應(yīng)用列表、位置、通訊錄等與上述可索取信息并不相干的權(quán)限，且并未提示為何開啟這些權(quán)限。對(duì)于位置信息，我們還能理解為推薦附近的工作機(jī)會(huì)，但通訊錄和應(yīng)用列表完全與求職招聘業(yè)務(wù)無關(guān)。與之對(duì)比同屬于“求職招聘”類《BOSS直聘》與《前程無憂》只開啟了位置信息。由此可見，除了法律方面的不斷完善，企業(yè)加強(qiáng)自律，從源頭上減少被泄露的信息量，作為使用者的用戶依然需要加強(qiáng)自我防范意識(shí)。

在使用手機(jī)的過程中，我們應(yīng)當(dāng)積極管理手機(jī)隱私權(quán)限，在安裝軟件時(shí)就將有些涉及隱私信息但又不必要的權(quán)限關(guān)閉;選擇正規(guī)的下載渠道，安裝過程中認(rèn)真閱讀App要求的訪問權(quán)限和隱私條例;提高自我隱私安全保護(hù)意識(shí)，不要輕易授權(quán)密碼記錄等核心隱私數(shù)據(jù)。

“隱私換便利”并不會(huì)隨著《規(guī)范》的出臺(tái)而終結(jié)，但我們應(yīng)該明白：針對(duì)功能的必要隱私可以犧牲，但非必要隱私萬萬不可泄露。