APP手別伸得太長了

編者按 近日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布了關(guān)于《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序（APP）必要個人信息范圍》公開征求意見的通知。普遍存在的APP超范圍收集、強制收集用戶個人信息以及用戶拒絕同意就無法安裝使用等話題再次進入公眾視野。

當前，我國APP在架數(shù)量已經(jīng)超過350萬款,成為千行百業(yè)的移動互聯(lián)網(wǎng)入口，極大地方便了人民群眾的工作生活。但與此同時，APP侵害用戶權(quán)益的事件時有發(fā)生，廣大用戶反應(yīng)強烈，部分APP多次整改后問題依然突出。不給開權(quán)限不讓用、違規(guī)收集個人信息、APP頻繁自啟動和關(guān)聯(lián)啟動、退出機制障礙重重等問題嚴重影響了移動互聯(lián)網(wǎng)應(yīng)用行業(yè)的健康發(fā)展。針對這些現(xiàn)狀，工業(yè)和信息化部、網(wǎng)信辦以及其他相關(guān)部門持續(xù)針對移動APP，從政策體系、標準制定、專項行動、技術(shù)平臺四方面建構(gòu)起綜合治理體系。同時，受中央網(wǎng)信辦、工信部、公安部、市場監(jiān)管總局委托，全國信息安全標準化技術(shù)委員會、中國消費者協(xié)會、中國互聯(lián)網(wǎng)協(xié)會、中國網(wǎng)絡(luò)空間安全協(xié)會還成立了APP專項治理工作組，在標準制定、用戶調(diào)研等方面做了一系列治理探索。

隨著人們對APP的依賴度越來越高，公眾對APP個人信息保護的呼聲也越來越高。本報將從APP必要信息最小邊界原則以及APP退出機制等方面進行深入報道。

每個使用智能手機的人可能都遇到過相似的問題：下載后，APP就強制、頻繁、過度索取權(quán)限，超范圍收集個人信息，強制用戶使用定向推送功能，欺騙誤導(dǎo)用戶下載APP……

而從相關(guān)部門通報的APP侵權(quán)情況來看，還有很多用戶并未感知的隱性問題，如APP違規(guī)收集個人信息、違規(guī)使用個人信息、應(yīng)用分發(fā)平臺上的APP信息明示不到位、不授權(quán)無法使用APP等?！毒W(wǎng)絡(luò)安全法》規(guī)定：個人信息收集必須遵循合法、正當、必要的原則。今年以來開展的各項整治行動，尤其是針對個人信息收集的“最小必要”原則，就是為了擋住APP伸得太長的手，用標準化方式強化個人信息保護。

APP個人信息保護難在哪兒

“APP侵害用戶權(quán)益是中央關(guān)心、群眾關(guān)切、社會關(guān)注的焦點問題，關(guān)系到人民群眾能否安心放心享受信息通信業(yè)發(fā)展帶來的各項美好成果。”工業(yè)和信息化部副部長劉烈宏指出。

2019年以來，工信部連續(xù)兩年開展專項行動。2020年7月，工信部發(fā)布《縱深推進APP侵害用戶權(quán)益專項整治通知》，重點聚焦APP和SDK違規(guī)處理個人信息、設(shè)置障礙、頻繁騷擾用戶、欺騙誤導(dǎo)用戶以及應(yīng)用分發(fā)平臺落實責任不到位等問題。

據(jù)工信部信息通信管理局副局長魯春叢介紹，截至2020年第三季度末，國內(nèi)市場檢測到的APP數(shù)量超過350萬款。截至目前，已完成44萬款的技術(shù)檢測工作，責令1336款違規(guī)APP進行整改，公開通報377款整改不到位的APP，下架94款拒不整改的APP。

魯春叢介紹說，APP個人信息保護工作面臨兩方面挑戰(zhàn)。一是商業(yè)模式變革的挑戰(zhàn)。我國互聯(lián)網(wǎng)產(chǎn)業(yè)普遍采用前端免費、后端獲利的模式，營利模式從在線廣告向基于大數(shù)據(jù)的定向推送、精準營銷轉(zhuǎn)變。企業(yè)違規(guī)成本低，個人信息保護能力良莠不齊，為逐利違規(guī)侵害用戶權(quán)益的情況時有發(fā)生，同時“灰黑產(chǎn)”也加速向違規(guī)收集使用甚至非法買賣個人信息聚集。二是APP版本迭代頻繁的挑戰(zhàn)。我國境內(nèi)APP上架總量已超過350萬款，頭部應(yīng)用更新頻繁，幾乎每兩周就會進行版本更新，中小應(yīng)用層出不窮，新技術(shù)應(yīng)用更具備在線迭代“熱更新”功能，APP總量在不斷增加。龐大的APP數(shù)量，豐富的應(yīng)用場景，需要加大監(jiān)督檢查和技術(shù)檢測力量。

部分頭部企業(yè)推諉拖延且技術(shù)對抗

APP治理工作組專家何延哲指出：“所謂必要個人信息，就是指保障APP基本功能正常運行所必需的個人信息，缺少該信息，APP無法提供基本功能服務(wù)。只要用戶同意收集必要個人信息，APP不得拒絕用戶安裝使用。”

據(jù)了解，專項行動期間，工信部對市場上八大主流分發(fā)平臺華為、小米、OPPO、vivo、百度、應(yīng)用寶、360、豌豆莢等上架的APP進行了抽測。存在的主要問題是主體責任缺位、信息明示不到位、誘導(dǎo)用戶下載等。今年8月26日，工信部通報了部分APP審核把關(guān)不嚴、存在問題較多、移動應(yīng)用分發(fā)平臺管理主體責任缺位等問題。

劉烈宏指出，前期APP個人信息保護工作推進中，有部分問題沒得到徹底解決，一些企業(yè)在整改過程中存在推諉、阻撓、故意拖延的現(xiàn)象。

“部分頭部APP在個人信息保護整改上存在思想漠視、僥幸心理、技術(shù)對抗等問題。”魯春叢說，“最大的問題是有的企業(yè)找不到管理層，管理層互相推諉，有120家企業(yè)的APP問題反復(fù)出現(xiàn)過兩次以上。”

強化個人信息保護須標準先行

“強化個人信息保護，必須標準先行。只有標準化，才能實現(xiàn)監(jiān)管檢測的自動化、智能化。”劉烈宏說。為此，工信部制定了《APP用戶權(quán)益保護測評規(guī)范》10項標準。對于消費者特別關(guān)心的“最小必要化”等收集使用用戶個人信息原則，也制定了《APP收集使用個人信息最小必要評估規(guī)范》等11項系列標準，涉及通信錄、錄音、人臉、位置、圖片、軟件列表、設(shè)備、錄像等信息收集使用規(guī)范等。

據(jù)電信終端產(chǎn)業(yè)協(xié)會秘書長謝毅介紹，上述標準性文件已經(jīng)正式發(fā)布，標準將適用于移動互聯(lián)網(wǎng)應(yīng)用提供者規(guī)范個人信息收集活動，也適用于監(jiān)管部門、第三方評估機構(gòu)等組織對移動互聯(lián)網(wǎng)應(yīng)用收集個人信息行為進行監(jiān)督、管理和評估。

“應(yīng)加快制定出臺相關(guān)標準，將APP個人信息保護要求轉(zhuǎn)化為APP開發(fā)者、運營者可理解、可執(zhí)行的具體要求。”中國信息通信研究院泰爾終端實驗室主任魏然說。

據(jù)魏然介紹，該系列標準按照信息分類，明確不同場景下個人信息收集使用的“最小必要”原則。例如，《APP收集使用個人信息最小必要評估規(guī)范位置信息》中明確，電商購物類APP在基于位置展示商品信息時，不需收集精準位置信息?！禔PP收集使用個人信息最小必要評估規(guī)范人臉信息》中明確，圖像美化、圖像合成、圖像聚類、皮膚檢測、情感分析等場景下的人臉信息處理僅應(yīng)在本地完成，不應(yīng)傳輸至遠程服務(wù)器，且人臉信息不應(yīng)用于身份認證。

魏然指出，企業(yè)可對照“最小必要”系列標準要求，設(shè)計開發(fā)符合“最小必要”原則的APP產(chǎn)品。測評機構(gòu)也可依據(jù)該標準開展“最小必要”符合性評估。

何為“最小必要”消費者說了算

為進一步驗證APP相關(guān)38種常見服務(wù)類型的“最小必要”個人信息范圍標準內(nèi)容合理性，保障標準在評估APP等方面實施的效果，APP專項治理工作組聯(lián)合全國信安標委秘書處對每批（3-5類）服務(wù)類型收集的最小必要信息范圍，以投票形式進行了社會調(diào)研。“這種用戶可以直接參與的征求意見方式比較新穎。”何延哲說。國家標準的出臺都需要征求意見，但以前征求意見的方式比較死板，就是把全文發(fā)出來，然后大家去提意見。這次的征求方式比較專業(yè)，又因為是個人信息收集的基本規(guī)范，老百姓很關(guān)心，而且也不是特別難懂。因此，為了讓消費者能夠直接表達對收集個人信息最小必要性的態(tài)度，就做了這樣一個類似調(diào)研的征求意見的工作。在此基礎(chǔ)上制定的標準，有利于充分尊重用戶的選擇權(quán)。

何延哲指出，從涵蓋內(nèi)容上來看是比較廣泛全面的，能夠代表與普通用戶息息相關(guān)的絕大部分APP的類型。用戶也可以通過這次調(diào)研了解相關(guān)部門的管理思路，從用戶層面真正厘清必要和非必要，并以此為依據(jù)，給用戶一個自由選擇的權(quán)利。然后再去判斷什么是過度數(shù)據(jù)、什么是強制索要。“這就相當于劃了一條線。”他說，“后續(xù)可能會向比較強制性的方向進一步演化，以達到更好的效果。標準落實之后，用戶的選擇權(quán)會得到一個大幅度的提高。”（中國消費者報記者 武曉莉）