聚焦个人信息保护：App手别伸得太长了

　　原标题：App手别伸得太长了

　　来源：中国消费者报·中国消费网

　　记者：武晓莉

　　近日，国家互联网信息办公室发布了关于《常见类型移动互联网应用程序（App）必要个人信息范围》公开征求意见的通知。普遍存在的App超范围收集、强制收集用户个人信息以及用户拒绝同意就无法安装使用等话题再次进入公众视野。

　　当前，我国App在架数量已经超过350万款,成为千行百业的移动互联网入口，极大地方便了人民群众的工作生活。但与此同时，App侵害用户权益的事件时有发生，广大用户反应强烈，部分App多次整改后问题依然突出。不给开权限不让用、违规收集个人信息、App频繁自启动和关联启动、退出机制障碍重重等问题严重影响了移动互联网应用行业的健康发展。针对这些现状，工业和信息化部、网信办以及其他相关部门持续针对移动App，从政策体系、标准制定、专项行动、技术平台四方面建构起综合治理体系。同时，受中央网信办、工信部、公安部、市场监管总局委托，全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会还成立了App专项治理工作组，在标准制定、用户调研等方面做了一系列治理探索。

　　随着人们对App的依赖度越来越高，公众对App个人信息保护的呼声也越来越高。《中国消费者报》将从App必要信息最小边界原则以及App退出机制等方面进行深入报道。

　　每个使用智能手机的人可能都遇到过相似的问题：下载后，App就强制、频繁、过度索取权限，超范围收集个人信息，强制用户使用定向推送功能，欺骗误导用户下载App……

　　而从相关部门通报的App侵权情况来看，还有很多用户并未感知的隐性问题，如App违规收集个人信息、违规使用个人信息、应用分发平台上的App信息明示不到位、不授权无法使用App等。

　　《网络安全法》规定：个人信息收集必须遵循合法、正当、必要的原则。今年以来开展的各项整治行动，尤其是针对个人信息收集的“最小必要”原则，就是为了挡住App伸得太长的手，用标准化方式强化个人信息保护。

　　App个人信息保护难在哪儿

　　“App侵害用户权益是中央关心、群众关切、社会关注的焦点问题，关系到人民群众能否安心放心享受信息通信业发展带来的各项美好成果。”工业和信息化部副部长刘烈宏指出。

　　2019年以来，工信部连续两年开展专项行动。2020年7月，工信部发布《纵深推进App侵害用户权益专项整治通知》，重点聚焦App和SDK违规处理个人信息、设置障碍、频繁骚扰用户、欺骗误导用户以及应用分发平台落实责任不到位等问题。

　　据工信部信息通信管理局副局长鲁春丛介绍，截至2020年第三季度末，国内市场检测到的App数量超过350万款。截至目前，已完成44万款的技术检测工作，责令1336款违规App进行整改，公开通报377款整改不到位的App，下架94款拒不整改的App。

　　鲁春丛介绍说，App个人信息保护工作面临两方面挑战。

　　一是商业模式变革的挑战。我国互联网产业普遍采用前端免费、后端获利的模式，营利模式从在线广告向基于大数据的定向推送、精准营销转变。企业违规成本低，个人信息保护能力良莠不齐，为逐利违规侵害用户权益的情况时有发生，同时“灰黑产”也加速向违规收集使用甚至非法买卖个人信息聚集。

　　二是App版本迭代频繁的挑战。我国境内App上架总量已超过350万款，头部应用更新频繁，几乎每两周就会进行版本更新，中小应用层出不穷，新技术应用更具备在线迭代“热更新”功能，App总量在不断增加。庞大的App数量，丰富的应用场景，需要加大监督检查和技术检测力量。

　　部分头部企业推诿拖延且技术对抗

　　App治理工作组专家何延哲指出：“所谓必要个人信息，就是指保障App基本功能正常运行所必需的个人信息，缺少该信息，App无法提供基本功能服务。只要用户同意收集必要个人信息，App不得拒绝用户安装使用。”

　　据了解，专项行动期间，工信部对市场上八大主流分发平台华为、小米、OPPO、vivo、百度、应用宝、360、豌豆荚等上架的App进行了抽测。存在的主要问题是主体责任缺位、信息明示不到位、诱导用户下载等。今年8月26日，工信部通报了部分App审核把关不严、存在问题较多、移动应用分发平台管理主体责任缺位等问题。

　　刘烈宏指出，前期App个人信息保护工作推进中，有部分问题没得到彻底解决，一些企业在整改过程中存在推诿、阻挠、故意拖延的现象。

　　“部分头部App在个人信息保护整改上存在思想漠视、侥幸心理、技术对抗等问题。”鲁春丛说，“最大的问题是有的企业找不到管理层，管理层互相推诿，有120家企业的App问题反复出现过两次以上。”

　　强化个人信息保护须标准先行

　　“强化个人信息保护，必须标准先行。只有标准化，才能实现监管检测的自动化、智能化。”刘烈宏说。为此，工信部制定了《App用户权益保护测评规范》10项标准。对于消费者特别关心的“最小必要化”等收集使用用户个人信息原则，也制定了《App收集使用个人信息最小必要评估规范》等11项系列标准，涉及通信录、录音、人脸、位置、图片、软件列表、设备、录像等信息收集使用规范等。

　　据电信终端产业协会秘书长谢毅介绍，上述标准性文件已经正式发布，标准将适用于移动互联网应用提供者规范个人信息收集活动，也适用于监管部门、第三方评估机构等组织对移动互联网应用收集个人信息行为进行监督、管理和评估。

　　“应加快制定出台相关标准，将App个人信息保护要求转化为App开发者、运营者可理解、可执行的具体要求。”中国信息通信研究院泰尔终端实验室主任魏然说。

　　据魏然介绍，该系列标准按照信息分类，明确不同场景下个人信息收集使用的“最小必要”原则。例如，《App收集使用个人信息最小必要评估规范位置信息》中明确，电商购物类App在基于位置展示商品信息时，不需收集精准位置信息。《App收集使用个人信息最小必要评估规范人脸信息》中明确，图像美化、图像合成、图像聚类、皮肤检测、情感分析等场景下的人脸信息处理仅应在本地完成，不应传输至远程服务器，且人脸信息不应用于身份认证。

　　魏然指出，企业可对照“最小必要”系列标准要求，设计开发符合“最小必要”原则的App产品。测评机构也可依据该标准开展“最小必要”符合性评估。

　　何为“最小必要”消费者说了算

　　为进一步验证App相关38种常见服务类型的“最小必要”个人信息范围标准内容合理性，保障标准在评估App等方面实施的效果，App专项治理工作组联合全国信安标委秘书处对每批（3-5类）服务类型收集的最小必要信息范围，以投票形式进行了社会调研。

　　“这种用户可以直接参与的征求意见方式比较新颖。”何延哲说。国家标准的出台都需要征求意见，但以前征求意见的方式比较死板，就是把全文发出来，然后大家去提意见。这次的征求方式比较专业，又因为是个人信息收集的基本规范，老百姓很关心，而且也不是特别难懂。因此，为了让消费者能够直接表达对收集个人信息最小必要性的态度，就做了这样一个类似调研的征求意见的工作。在此基础上制定的标准，有利于充分尊重用户的选择权。

　　何延哲指出，从涵盖内容上来看是比较广泛全面的，能够代表与普通用户息息相关的绝大部分App的类型。用户也可以通过这次调研了解相关部门的管理思路，从用户层面真正厘清必要和非必要，并以此为依据，给用户一个自由选择的权利。然后再去判断什么是过度数据、什么是强制索要。“这就相当于划了一条线。”他说，“后续可能会向比较强制性的方向进一步演化，以达到更好的效果。标准落实之后，用户的选择权会得到一个大幅度的提高。”