江蘇下架11款違規APP 監管發力守護個人信息安全

交匯點訊 近日，“暢途汽車票”“易考必過”“火貓直播”等11款APP（手機軟件）被江蘇省通信管理局責令下架。今年2月，該局通報52款存在安全隱患及違法違規收集使用個人信息問題的APP，要求相關運營單位限期整改。“暢途汽車票”等11款，是這批APP中未如期完成整改的。

在許多人的手機都裝著十幾個、幾十個APP的年代，人們既享用APP帶來的便利，也不免擔心隱私暴露。如何織牢個人信息安全防護網，讓人們放心使用APP？

私自、超范圍收集是主要問題

新華日報·交匯點記者安裝一款網約車APP，點擊“打開”后，手機上立即跳出《服務協議及隱私政策》頁面。點開《用戶隱私政策》，記者看到該APP對收集哪些個人信息、收集原因、如何存儲和使用等予以說明。《用戶隱私政策》及《用戶服務協議》長達數十頁，記者須點擊“同意協議”才能繼續使用APP。這才是第一步，此后還有“位置信息”“設備信息”等多個授權環節，記者隻有點擊“同意”，才能使用這個APP。說實話，對於其是否違規收集個人信息，記者很難做出判斷。

省通信管理局網絡安全管理處副處長曹旭介紹，2019年12月國家網信辦、工信部等四部門聯合發布《APP違法違規收集使用個人信息行為認定方法》，明確“未公開收集使用規則”“未明示收集使用個人信息的目的、方式和范圍”等6類31種違法違規行為。該《辦法》為APP運營者設定收集使用個人信息的“紅線”，也為社會監督、職能部門監管提供指引。

2020年以來，省通信管理局委托第三方專業機構，依據上述《辦法》，檢測省內企業運營、用戶量大的500余款APP，先后通報4批114款“問題APP”。記者看到，一款家校互動類APP的檢測報告指出，該APP存在6個問題：沒有獨立的“隱私政策”，僅在“幫助”頁面顯示“隱私聲明”條款﹔在首次運行時未主動提示用戶閱讀隱私政策﹔在“隱私聲明”沒有逐一列出收集使用個人信息的目的、方式、范圍等﹔收集使用個人信息的目的、方式、范圍發生變化時，未以適當方式通知用戶﹔未明確撤回同意收集個人信息的途徑、方式﹔未建立並公布個人信息安全投訴、舉報渠道。

曹旭告訴記者，從APP檢測情況看，私自、超范圍收集個人信息是主要問題。用戶使用APP時，還會遇到不合理索取用戶權限的情況：不給權限不讓用，即APP索取與當前服務場景無關的權限，在用戶拒絕后，APP退出或關閉﹔頻繁申請權限，即APP在用戶明確拒絕權限申請后，頻繁申請開啟通訊錄、定位、短信等與當前服務場景無關的權限，對用戶形成騷擾﹔過度索取權限，即APP在用戶未使用相關功能時，提前申請開啟通訊錄等權限，或超出業務功能申請一些權限。APP不合理索取用戶權限，影響用戶體驗，也可能存在違規收集個人信息。

守牢“最小必要”等紅線

去年10月起實施的國家標准《信息安全技術 個人信息安全規范》明確，個人信息是“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息”，包括姓名、出生日期、身份証件號碼、個人生物識別信息、住址、通信通訊聯系方式、通信記錄和內容、賬號密碼、財產信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。其中，身份証件號碼、個人生物識別信息、通信記錄和內容等屬於個人敏感信息，一旦泄露、非法提供或濫用可能危害人身和財產安全。這一國家標准還寫明，個人信息安全基本原則包括“權責一致”“最小必要”“確保安全”等內容。

去年11月，電信終端產業協會發布《APP收集使用個人信息最小必要評估規范》，對移動互聯網行業收集使用用戶人臉、通訊錄、短信、位置、圖片等個人敏感信息進行規范。

今年2月下旬，全省APP個人信息保護監管會上，省通信管理局再次向APP運營企業、應用商店強調“紅線意識”。會上，省內12家重點APP運營企業代表簽訂《APP個人信息保護公開承諾書》。

做出公開承諾的蘇寧控股集團，組建安全委員會，設立基於數據安全的規則、技術、監察、審計等4個獨立團隊，將個人信息保護納入APP產品設計、開發、集成、測試、發布的全流程。焦點科技股份有限公司產品設計中心總經理盧頤介紹，該公司運營的“中國制造網”APP有不少歐洲、北美地區的用戶，他與同事們過去感覺到歐盟、美國個人信息實行“強保護”，現在發現國內監管也更加嚴格。該公司依據歐盟2018年發布的《通用數據保護條例》（GDPR），以及電信終端產業協會的相關《規范》，加強APP用戶個人信息保護。該公司信息安全部李楚君說，APP如果存在違規收集個人信息的情況，應用商店在審查環節發現后，就會要求APP進行整改，與其被動整改，還不如主動合規。

東南大學法學院副教授陳道英說，有關APP監管的新聞報道或者政府通報增加，不能簡單認為侵犯隱私情況比原來嚴重。近年來，中國在個人信息保護方面的立法越來越完善，從2017年開始施行的《網絡安全法》借鑒學習歐盟、美國個人信息保護立法經驗，今年元旦起施行的《民法典》，對個人信息處理有更詳細的規定。目前，《個人信息保護法》草案已提請全國人大常委會審議。在這一法律頒布、實施后，國內個人信息保護方面的法律將形成一個完整體系。“大多數APP開發者都有強烈的合規意願，在有法可依的前提下，監管部門制定具體的規則，可有效指引APP開發者履行合規義務。”

加強監管，將保護落到實處

《中國互聯網絡發展狀況統計報告》顯示，截至2020年12月，在架APP已達345萬款。與開辦網站要備案不同，APP目前還處於“自然生長”階段，亟待加強事中事后監管。3月1日，工信部部長肖亞慶表示，今年繼續對手機APP進行專項整治，對拒不接受整治的APP堅決下架。

省通信管理局遴選一批技術支撐單位，預計今年可將檢測能力提升到10萬款，全年計劃開展不少於6次“問題APP”集中通報。該局去年4月上線“江蘇省移動應用（APP）安全管理平台”，已匯集近8.2萬款APP，涉及6683個APP開發者、482家應用商店。3月15日，記者看到該平台上，漏洞APP、違法違規APP、惡意APP實時顯示，監管部門可提示相關APP運營者及時整改，或迅速封堵。曹旭說，希望將該平台打造成面向普通用戶的可信APP集聚地，方便用戶在下載APP時查詢。

APP《隱私政策》長且復雜，普通用戶沒有耐心看完。陳道英表示，保護個人信息，一方面需要用戶提高保護意識，另一方面也要通過其他途徑進行，包括監管層面加強檢查力度，充分發揮技術力量，如為APP開發者、用戶提供檢查《隱私政策》是否合規的掃描工具。對於央視“3·15”晚會曝光的商戶安裝攝像頭“無感”收集人臉數據等情況，她認為，攝像頭、APP的運營者，一方面應規范生物識別信息的收集，落實知情同意規則，另一方面企業本身也需要完善信息安全管理制度。對於企業內部人員泄漏消費者隱私的行為，應追究法律責任。

“用戶一旦遇到APP侵權問題，可撥打12321維權。”曹旭提醒，用戶不要隨意點開短信中的鏈接、網頁廣告中的鏈接下載APP﹔在安裝使用過程中，對APP提醒開啟的權限，要仔細審查是否屬於敏感權限，如短信讀取、通訊錄讀取、定位等權限，定期關閉不必要的應用通知和開機自啟動權限﹔在手機端安裝被廣泛信賴的安全軟件，及時更新安全軟件的病毒庫，並定期進行手機安全檢測。

新華日報·交匯點記者徐冠英 劉春