App信息收集亂象

◎ 文 《法制日?qǐng)?bào)》記者 侯建斌

截至6月初，因存在違規(guī)違法收集個(gè)人信息等問(wèn)題，“社保掌上通”App遭下架已兩月有余。

讓不少人心有余悸的是，當(dāng)用戶(hù)使用這款A(yù)pp時(shí)，被默認(rèn)同意一份授權(quán)協(xié)議，如“您在此充分地、有效地、不可撤銷(xiāo)地、明示同意并授權(quán)我們使用您的社保賬戶(hù)密碼為您提供服務(wù)”，以及“在遵循本協(xié)議的條件下，對(duì)您的信息進(jìn)行采集、分析、處理和模擬您登錄人行征信、學(xué)信網(wǎng)、社保、公積金、運(yùn)營(yíng)商網(wǎng)站等獲取您的個(gè)人信息”等條款。

在互聯(lián)網(wǎng)消費(fèi)時(shí)代，類(lèi)似的情形并不鮮見(jiàn)。

如今，這一現(xiàn)狀有望得以扭轉(zhuǎn)。近日，由中央網(wǎng)信辦、工信部、公安部、市場(chǎng)監(jiān)管總局指導(dǎo)成立的App專(zhuān)項(xiàng)治理工作組，起草了《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》（征求意見(jiàn)稿）》（以下簡(jiǎn)稱(chēng)《認(rèn)定辦法》），“未經(jīng)同意收集使用個(gè)人信息行為”納入規(guī)制范圍。

中國(guó)信息安全研究院副院長(zhǎng)左曉棟告訴《法制日?qǐng)?bào)》記者，網(wǎng)絡(luò)安全法對(duì)保護(hù)個(gè)人信息的規(guī)定較為原則，盡管《個(gè)人信息安全規(guī)范》細(xì)化了法律的要求，但從實(shí)踐看，仍有大量App在打法律擦邊球。因此，及時(shí)出臺(tái)《認(rèn)定辦法》，明確違規(guī)App行為的具體認(rèn)定標(biāo)準(zhǔn)，有助于網(wǎng)絡(luò)安全法的相關(guān)要求真正落地并見(jiàn)實(shí)效。

過(guò)度收集亂象觸目驚心

據(jù)工信部統(tǒng)計(jì)，截至2017年底，我國(guó)三大運(yùn)營(yíng)商移動(dòng)電話用戶(hù)總數(shù)14.03億戶(hù)，移動(dòng)寬帶用戶(hù)（3G和4G用戶(hù)）總數(shù)11.01億戶(hù)，占移動(dòng)電話用戶(hù)的78.5%。

隨著網(wǎng)絡(luò)消費(fèi)時(shí)代的到來(lái)，一部手機(jī)即可享受各類(lèi)線上線下服務(wù)成為現(xiàn)實(shí)。

然而，消費(fèi)者在享受移動(dòng)互聯(lián)網(wǎng)帶來(lái)的便利時(shí)，個(gè)人隱私信息泄露、盜用、販賣(mài)事件屢屢發(fā)生。

最為典型莫過(guò)于華住酒店用戶(hù)信息被售賣(mài)事件，以及12306平臺(tái)旅客信息泄露事件等。

個(gè)人信息頻頻泄露的背后有哪些玄機(jī)？2018年8月29日，中國(guó)消費(fèi)者協(xié)會(huì)發(fā)布的《App個(gè)人信息泄露情況調(diào)查報(bào)告》（以下簡(jiǎn)稱(chēng)《報(bào)告》）給出了答案。

《報(bào)告》調(diào)查發(fā)現(xiàn)，超八成受訪者曾遭遇個(gè)人信息泄露。其中，經(jīng)營(yíng)者未經(jīng)授權(quán)收集個(gè)人信息和故意泄露信息是造成消費(fèi)者個(gè)人信息泄露的主要途徑。

統(tǒng)計(jì)顯示，個(gè)人信息泄露后遭遇推銷(xiāo)電話或短信騷擾的占86.5%，占比最高，接到詐騙電話的占75.0%，收到垃圾郵件的占63.4%。

“個(gè)人安全意識(shí)薄弱和監(jiān)管不到位是手機(jī)App出現(xiàn)個(gè)人信息安全問(wèn)題的主要原因?！薄秷?bào)告》分析指出，一方面，消費(fèi)者與手機(jī)App服務(wù)提供商之間往往處于不對(duì)等的地位，只能同意或被迫同意格式條款和信息獲取權(quán)限；另一方面，消費(fèi)者雖有自我保護(hù)的意識(shí)，但不知如何更有效地保護(hù)自己，難以有效應(yīng)對(duì)。

三個(gè)月后，中消協(xié)發(fā)布的另一份報(bào)告更觸目驚心。2018年11月28日，中消協(xié)發(fā)布《100款A(yù)pp個(gè)人信息收集與隱私政策測(cè)評(píng)報(bào)告》，100款中多達(dá)91款存在過(guò)度收集用戶(hù)個(gè)人信息。

其中，有59款A(yù)pp涉嫌過(guò)度收集“位置信息”，有28 款A(yù)pp涉嫌過(guò)度收集“通信錄信息”，有23款A(yù)pp涉嫌過(guò)度收集“身份信息”，有22款A(yù)pp涉嫌過(guò)度收集“手機(jī)號(hào)碼”等。

治理過(guò)度收集步伐加快

面對(duì)愈演愈烈的個(gè)人信息過(guò)度收集亂象，官方動(dòng)作頻頻。

2017年，我國(guó)正式頒布《中華人民共和國(guó)網(wǎng)絡(luò)安全法》。網(wǎng)絡(luò)安全法一方面明確提出要求，網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開(kāi)收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。

為確保這一內(nèi)容落地，2017年12月29日，中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)正式發(fā)布GB/T 35273-2017《信息安全技術(shù)個(gè)人信息安全規(guī)范》（以下簡(jiǎn)稱(chēng)《個(gè)人信息安全規(guī)范》），這一規(guī)范已于2018年5月1日起實(shí)施。

專(zhuān)家認(rèn)為，《個(gè)人信息安全規(guī)范》以國(guó)家標(biāo)準(zhǔn)的形式，明確了個(gè)人信息的收集、保存、使用、共享的合規(guī)要求，為網(wǎng)絡(luò)運(yùn)營(yíng)者制定隱私政策及完善內(nèi)控提供了指引。

今年以來(lái)，國(guó)家治理App過(guò)度收集個(gè)人信息的步伐在加快。

1月初，中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場(chǎng)監(jiān)管總局發(fā)布《關(guān)于在全國(guó)范圍開(kāi)展App違法違規(guī)收集使用個(gè)人信息專(zhuān)項(xiàng)治理公告》（以下簡(jiǎn)稱(chēng)《公告》）。

根據(jù)《公告》要求，App運(yùn)營(yíng)者收集使用個(gè)人信息時(shí)要嚴(yán)格履行網(wǎng)絡(luò)安全法規(guī)定的責(zé)任義務(wù)，對(duì)獲取的個(gè)人信息安全負(fù)責(zé)，采取有效措施加強(qiáng)個(gè)人信息保護(hù)。不以默認(rèn)、捆綁、停止安裝使用等手段變相強(qiáng)迫用戶(hù)授權(quán)，不得違反法律法規(guī)和與用戶(hù)的約定收集使用個(gè)人信息。

3月15日，個(gè)人信息安全認(rèn)證工作邁出實(shí)質(zhì)性一步。市場(chǎng)監(jiān)管總局、中央網(wǎng)信辦聯(lián)合發(fā)文，決定開(kāi)展App安全認(rèn)證工作。按照相關(guān)要求，從事App安全認(rèn)證的認(rèn)證機(jī)構(gòu)為中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心，檢測(cè)機(jī)構(gòu)由認(rèn)證機(jī)構(gòu)根據(jù)認(rèn)證業(yè)務(wù)需要和技術(shù)能力確定 。

近日，App專(zhuān)項(xiàng)治理工作組就《認(rèn)定方法》公開(kāi)征求意見(jiàn)，意在為App運(yùn)營(yíng)者自查自糾提供指引，為App評(píng)估和處置提供參考。

北京師范大學(xué)互聯(lián)網(wǎng)發(fā)展研究院院長(zhǎng)助理、中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)研究中心秘書(shū)長(zhǎng)吳沈括教授告訴記者，《認(rèn)定方法》的出臺(tái)，將使得監(jiān)管部門(mén)可有針對(duì)性地對(duì)App違規(guī)行為予以治理，也為平衡技術(shù)發(fā)展與個(gè)人信息安全問(wèn)題提供了有效依據(jù)。

新規(guī)有望彌補(bǔ)治理短板

記者注意到，《認(rèn)定方法》將App違法違規(guī)收集使用個(gè)人信息共分為7種情形：沒(méi)有公開(kāi)收集使用規(guī)則；沒(méi)有明示收集使用個(gè)人信息的目的、方式和范圍；未經(jīng)同意收集使用個(gè)人信息；違反必要性原則收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人信息；未經(jīng)同意向他人提供個(gè)人信息；未按法律規(guī)定提供刪除或更正個(gè)人信息功能；侵犯未成年人在網(wǎng)絡(luò)空間合法權(quán)益，均出現(xiàn)在意見(jiàn)稿內(nèi)。

針對(duì)上述7種情形，意見(jiàn)稿進(jìn)一步將App沒(méi)有隱私政策、用戶(hù)協(xié)議情形，進(jìn)入App主功能界面后，多于4次點(diǎn)擊、滑動(dòng)才能訪問(wèn)到隱私政策，在App安裝、使用等過(guò)程中均未通過(guò)彈窗、鏈接等方式提示用戶(hù)閱讀隱私政策等納入違法違規(guī)行為。

“可以說(shuō)，認(rèn)定辦法對(duì)App隱私政策的規(guī)定非常細(xì)致?！绷顓巧蚶ㄐ牢康氖?，認(rèn)定辦法對(duì)隱私政策的內(nèi)容設(shè)定、訪問(wèn)形式等都做了明確要求，這意味著隱私政策不再是徒有其表的虛設(shè)，用戶(hù)對(duì)App中的收集行為更加明確，利于增強(qiáng)其對(duì)網(wǎng)絡(luò)空間的信心。

記者注意到，征求意見(jiàn)稿還提出其他一些違法違規(guī)情形，如App收集使用信息的目的違反合法、正當(dāng)、必要原則，僅僅以改善程序功能、提高用戶(hù)體驗(yàn)、定向推送等為目的收集用戶(hù)個(gè)人信息；在申請(qǐng)可收集個(gè)人信息的權(quán)限時(shí)，未告知收集使用的目的，如在申請(qǐng)調(diào)閱通信錄時(shí)沒(méi)有說(shuō)明原因等；每次要求用戶(hù)提供個(gè)人敏感信息時(shí)，如身份證號(hào)、銀行卡號(hào)等，未同步實(shí)時(shí)說(shuō)明原因等。

“認(rèn)定辦法出臺(tái)后，在一定意義上，將彌補(bǔ)對(duì)App治理的短板?！痹趨巧蚶磥?lái)，盡管我國(guó)個(gè)人信息管理體系以及技術(shù)標(biāo)準(zhǔn)等逐漸完備，但對(duì)于App違法違規(guī)收集個(gè)人信息的行為并未有專(zhuān)項(xiàng)規(guī)定予以規(guī)制，而認(rèn)定辦法著重加強(qiáng)了對(duì)App的管制，一定程度上也有利于該行業(yè)的有序健康發(fā)展。

中國(guó)社科院國(guó)家文化安全與意識(shí)形態(tài)建設(shè)研究中心副主任兼秘書(shū)長(zhǎng)朱繼東告訴記者，對(duì)有關(guān)部門(mén)而言，對(duì)認(rèn)定某個(gè)App是否構(gòu)成非法收集個(gè)人信息行為，有了科學(xué)依據(jù)；對(duì)廣大App用戶(hù)而言，可以清晰了解App是否在違規(guī)收集個(gè)人信息，可以有針對(duì)性地利用這些維護(hù)自己的權(quán)益，同時(shí)向有關(guān)部門(mén)舉報(bào)。

“個(gè)別App會(huì)鉆法律的空子，比如用戶(hù)如果不同意隱私政策，則拒絕正常使用，逼迫用戶(hù)同意不合理的隱私政策，而且難以留存證據(jù)。”朱繼東坦言，僅僅依靠認(rèn)定辦法，還難以對(duì)個(gè)人信息保護(hù)問(wèn)題進(jìn)行周延性保護(hù)，后續(xù)需要將辦法上升到法律層面，嚴(yán)厲打擊違規(guī)App的非法收集行為。

加大對(duì)違規(guī)App打擊力度

始于今年1月的App違法違規(guī)收集使用個(gè)人信息專(zhuān)項(xiàng)治理已有四月有余，在推進(jìn)此項(xiàng)專(zhuān)項(xiàng)治理中是否還存在一些短板？

吳沈括對(duì)專(zhuān)項(xiàng)治理中開(kāi)展自愿性App個(gè)人信息安全認(rèn)證的內(nèi)容給予了更多關(guān)注。他認(rèn)為，自愿性App個(gè)人信息安全認(rèn)證實(shí)際效果有待驗(yàn)證。對(duì)大部分App服務(wù)提供者而言，在尚未確定該行為的最大利益時(shí)，主動(dòng)實(shí)行安全認(rèn)證積極性并不高。

為此，吳沈括建議，采取鼓勵(lì)措施以及實(shí)際利益等提高服務(wù)提供者的積極性。

前不久，App違法違規(guī)收集個(gè)人信息專(zhuān)項(xiàng)治理工作組通報(bào)稱(chēng)，App收集使用個(gè)人信息評(píng)估工作取得階段性進(jìn)展。

今年3月份，四部門(mén)聯(lián)合工作組開(kāi)通微信公眾號(hào)“App個(gè)人信息舉報(bào)”和舉報(bào)專(zhuān)用郵箱，便于用戶(hù)舉報(bào)App違法違規(guī)收集使用個(gè)人信息行為。

截至4月16日，工作組共收到舉報(bào)信息超過(guò)3480條，其中實(shí)名舉報(bào)1040余條，涉及1300余款A(yù)pp。被舉報(bào)App主要集中在金融借貸、網(wǎng)上購(gòu)物、短視頻與直播、即時(shí)通信等領(lǐng)域。

此外，工作組還針對(duì)30款用戶(hù)量大、問(wèn)題嚴(yán)重的App向其運(yùn)營(yíng)者發(fā)送了整改通知，要求App運(yùn)營(yíng)者認(rèn)真整改、舉一反三，及時(shí)糾正個(gè)人信息收集使用方面存在的問(wèn)題。

在左曉棟看來(lái)，這種整改效果不容樂(lè)觀?！皩?zhuān)項(xiàng)治理開(kāi)展后，有些App確實(shí)按照要求進(jìn)行了整改，隱私政策也做了重新修訂，但違法違規(guī)收集個(gè)人信息方式更加隱蔽?！?/p>

左曉棟舉例說(shuō)，按照要求，App需要明示收集使用個(gè)人信息的目的、方式和范圍，許多App把使用范圍擴(kuò)大至公司及關(guān)聯(lián)企業(yè)，究竟哪些屬于關(guān)聯(lián)企業(yè)，往往沒(méi)有明示。依照現(xiàn)有規(guī)定，又很難界定其是否違規(guī)。

中國(guó)網(wǎng)信網(wǎng)發(fā)布數(shù)據(jù)顯示，去年12月到今年4月中旬，國(guó)家網(wǎng)信辦會(huì)同有關(guān)部門(mén)關(guān)停下架違法違規(guī)App3.3萬(wàn)款，攔截惡意網(wǎng)站鏈接234萬(wàn)余個(gè)，清理社交平臺(tái)低俗不良信息2474萬(wàn)余條、封禁違規(guī)賬號(hào)364萬(wàn)余個(gè)。

朱繼東認(rèn)為，成績(jī)有目共睹，但要看到專(zhuān)項(xiàng)治理工作仍存在一些難點(diǎn)。比如在打擊App違規(guī)收集行為中，經(jīng)常出現(xiàn)依據(jù)比較模糊或是難以找到相應(yīng)的法律依據(jù)，甚至是無(wú)法可依情形，對(duì)非法收集個(gè)人信息的相關(guān)規(guī)定有待進(jìn)一步細(xì)化。

對(duì)此，朱繼東建議：一要加快立法進(jìn)度，立法層面加大對(duì)違規(guī)App的打擊力度；二要常態(tài)化公布App違規(guī)收集個(gè)人信息的典型案例，對(duì)其他企業(yè)起到警示作用；三要站在維護(hù)國(guó)家網(wǎng)絡(luò)安全的高度，推進(jìn)網(wǎng)絡(luò)安全建設(shè)，重視對(duì)App非法收集個(gè)人信息的治理。