个人信息保护规范助力走出APP隐私安全困境

王超

2018年伊始，支付宝因年度账单事件被约谈，百度因旗下APP涉嫌侵犯隐私被起诉。以上两件事，体现了我国政府对个人隐私安全的重视，也客观反映出移动APP过度获取用户权限、隐私条款冗长晦涩、平台应用权责不清等乱象的广泛存在。2018年1月，《信息安全技术 个人信息安全规范》（简称《规范》）国家标准正式发布，及时填补了个人信息保护中诸多技术细节与实操领域规范的空白，被认为是走出APP个人隐私安全困境的一步好棋。应积极开展《规范》的宣贯，推动其认真全面实施。

移动APP的广泛应用 易引发新的隐私安全问题

APP获取非必要用户权限，过度收集用户的个人信息。APP需获取相应权限方能正常使用，但随着用户信息价值的日益提升，大量获取非必要用户权限，大肆索取用户信息已成为APP的“通行做法”。2018年1月，腾讯社会研究中心与DCCI互联网数据中心联合发布的《2017年度网络隐私安全及网络欺诈行为分析报告》显示，2017年下半年，98.5%的Android应用会获取用户手机隐私权，9%的 Android应用存在越界获取用户手机隐私权限的情况。2017年7月，江苏省消费者权益保护委员会对购买类、阅读类、支付类等领域27款APP的隐私安全调查显示，绝大多数APP在安装时申请了大量的手机权限，远远超出APP正常服务所必须获取的权限。如某天气类应用，需要收集用户的通讯录信息；某手电筒应用， 需要调用手机的位置信息等。百度“手机百度”“百度浏览器” 两款APP甚至在未取得用户同意的情况下，获取“监听电话、定位、读取短彩信、读取联系人、修改系统设置”等多种权限，且因企业拒不整改而被起诉。

APP隐私条款冗长晦涩，难以充分保障用户的知情权。APP隐私条款是数据控制者告知用户其个人信息收集和使用规则的惯常做法。长期以来，APP隐私条款一直存在冗长晦涩、难以理解的问题，告知用户的效果并不理想。2017年7月， 中央网信办、工信部等四部门启动个人信息保护提升行动之隐私条款专项工作，在对微信、支付宝等10款APP进行隐私条款评审时发现，隐私条款多数存在以下问题：隐私条款笼统不清，未明确说明收集使用个人信息的目的、方式、范围、保存期限和地点；不主动向用户展示隐私条款；隐私条款晦涩冗长；以默认勾选、“一揽子打包”授权等形式征求用户授权，未充分保障用户选择权等。

平台类APP和第三方应用共享用户个人信息，用户合法权益受到威胁。目前，支付宝、微信等平台类APP依托平台优势，吸引大量第三方应用入驻平台，围绕平台打造数字生态系统。作为个人信息收集的重要入口，第三方应用在获取用户个人信息过程中，存在不单独向个人信息主体征得同意、未经用户授权与平台类 APP 共享数据、超应用范围共享平台类 APP 数据等情况，2018年1月发生的支付宝年度账单事件，就是典型的例子。同时，第三方应用与平台类APP关于个人信息保护的权责关系尚无清晰界定，用户信息保护责任难以随着数据转移进行传导，一旦发生用户信息泄露事件，极易导致第三方应用与平台类 APP 互相推诿，使用户合法权益得不到保障。

《规范》是走出APP安全隐私困境的一步好棋

《规范》提出了目的明确、选择同意、最少够用原则，约束APP对个人信息的过度收集行为。《规范》要求，APP开展收集、使用等个人信息处理活动应具有合法、正当、必要、明确的个人信息处理目的，应向个人信息主体明示个人信息处理目的、方式、范围，并征求其授权同意，应根据处理目的仅处理所需的最少类型和数量的个人信息。《规范》还提出了区分核心功能和附加功能的要求，APP可对核心功能所需的信息进行必要收集，但必须保证用户能随时开启或者关闭附件功能收集信息的权限。

《規范》明确了公开透明原则，提出隐私条款的推荐描述方式。《规范》要求，APP开展收集、使用等个人信息处理活动，应以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等，并接受监督。《规范》还通过资料性附录的方式，提出了隐私条款中关于APP收集和使用个人敏感信息，以及共享、转让、公开披露个人信息等事项的推荐描述方式，在强化告知效果方面极具启示作用。《规范》强调了责权一致、确保安全的原则，界定了共同个人信息控制者的权责关系。《规范》高度重视个人信息控制的权责统一，要求个人信息控制者通过管理措施和技术手段，确保个人信息的保密性、完整性、可用性，并对个人信息主体合法权益造成的损害承担责任。 针对平台类APP和第三方应用共享用户个人信息的情况，《规范》要求个人信息控制者通过合同等形式与第三方共同确定应满足的个人信息安全要求，以及各自承担的责任和义务，并向个人信息主体明确告知。

《规范》实施面临的主要难点及对策建议

国家标准全面应用的社会环境尚未形成，应加强政策引导，提高各方的自觉性、主动性。政府部门对标准应用的政策引导不足，加之企业普遍重利益、轻安全， 尚未形成争相应用标准的社会环境。因此，要进一步发挥政府部门在标准实施中的推进作用，加快制《数据安全管理办法》，借鉴《规范》中相关内容，规范个人信息收集、存储、传输、处理等行为。对积极落实《规范》各项要求的企业， 在投融资、财税等方面给予一定的政策支持；对落实不积极、不到位的企业要进行约谈、通报。支持相关行业组织加强自律，鼓励企业和行业组织发起并遵守个人信息保护倡议，带头规范个人信息管理，带动行业个人信息保护水平的整体提升。

缺乏有效监管将导致标准实施打折扣，应切实加强数据安全监管工作。以网络安全标准为重要依据的监管活动数量少、力度弱，企业不遵守标准的成本损失普遍较低，导致标准实施打折扣。要围绕落实网络安全法，以《规范》为重要参考依据，持续强化数据安全监管，推动各行业提升个人信息保护水平。一方面，行业主管部门要结合实际，尽快启动数据安全专项治理行动，加强对企业收集、 存储、使用、交易等个人信息的监管，加大对侵犯个人信息违法犯罪行为的打击力度，整治行业数据收集、使用乱象。另一方面，国家网信部门要继续深入开展隐私条款专项工作，推动增强APP隐私条款的规范性、可读性。加强对评审APP产品的合规性技术检测，确保APP产品整改到位，切实维护用户合法权益。社会各界目前对标准的认知程度不够，应强化对标准的宣传培训和专业性解读。标准宣传的手段单一、专业性解读不足将严重影响网络安全从业者知标准、学标准、懂标准、用标准。要充分利用传统媒体和互联网等渠道，加强对《规范》的宣传报道。加快制定《规范》的解读、案例等配套文件，在全国范围内组织举行宣贯会，邀请《规范》编写者等熟悉标准的专家学者进行培训，推动应用部门、企业、科研院所等机构和人员在《规范》的学懂、弄通、做实上下功夫，引导政府、机构、企业等以《规范》里个人信息保护合规性要求为准绳，将个人信息保护各项措施落实到位。