個(gè)人信息保護(hù)規(guī)范助力走出APP隱私安全困境

王超

2018年伊始，支付寶因年度賬單事件被約談，百度因旗下APP涉嫌侵犯隱私被起訴。以上兩件事，體現(xiàn)了我國(guó)政府對(duì)個(gè)人隱私安全的重視，也客觀反映出移動(dòng)APP過(guò)度獲取用戶權(quán)限、隱私條款冗長(zhǎng)晦澀、平臺(tái)應(yīng)用權(quán)責(zé)不清等亂象的廣泛存在。2018年1月，《信息安全技術(shù) 個(gè)人信息安全規(guī)范》（簡(jiǎn)稱《規(guī)范》）國(guó)家標(biāo)準(zhǔn)正式發(fā)布，及時(shí)填補(bǔ)了個(gè)人信息保護(hù)中諸多技術(shù)細(xì)節(jié)與實(shí)操領(lǐng)域規(guī)范的空白，被認(rèn)為是走出APP個(gè)人隱私安全困境的一步好棋。應(yīng)積極開(kāi)展《規(guī)范》的宣貫，推動(dòng)其認(rèn)真全面實(shí)施。

移動(dòng)APP的廣泛應(yīng)用 易引發(fā)新的隱私安全問(wèn)題

APP獲取非必要用戶權(quán)限，過(guò)度收集用戶的個(gè)人信息。APP需獲取相應(yīng)權(quán)限方能正常使用，但隨著用戶信息價(jià)值的日益提升，大量獲取非必要用戶權(quán)限，大肆索取用戶信息已成為APP的“通行做法”。2018年1月，騰訊社會(huì)研究中心與DCCI互聯(lián)網(wǎng)數(shù)據(jù)中心聯(lián)合發(fā)布的《2017年度網(wǎng)絡(luò)隱私安全及網(wǎng)絡(luò)欺詐行為分析報(bào)告》顯示，2017年下半年，98.5%的Android應(yīng)用會(huì)獲取用戶手機(jī)隱私權(quán)，9%的 Android應(yīng)用存在越界獲取用戶手機(jī)隱私權(quán)限的情況。2017年7月，江蘇省消費(fèi)者權(quán)益保護(hù)委員會(huì)對(duì)購(gòu)買類、閱讀類、支付類等領(lǐng)域27款A(yù)PP的隱私安全調(diào)查顯示，絕大多數(shù)APP在安裝時(shí)申請(qǐng)了大量的手機(jī)權(quán)限，遠(yuǎn)遠(yuǎn)超出APP正常服務(wù)所必須獲取的權(quán)限。如某天氣類應(yīng)用，需要收集用戶的通訊錄信息；某手電筒應(yīng)用， 需要調(diào)用手機(jī)的位置信息等。百度“手機(jī)百度”“百度瀏覽器” 兩款A(yù)PP甚至在未取得用戶同意的情況下，獲取“監(jiān)聽(tīng)電話、定位、讀取短彩信、讀取聯(lián)系人、修改系統(tǒng)設(shè)置”等多種權(quán)限，且因企業(yè)拒不整改而被起訴。

APP隱私條款冗長(zhǎng)晦澀，難以充分保障用戶的知情權(quán)。APP隱私條款是數(shù)據(jù)控制者告知用戶其個(gè)人信息收集和使用規(guī)則的慣常做法。長(zhǎng)期以來(lái)，APP隱私條款一直存在冗長(zhǎng)晦澀、難以理解的問(wèn)題，告知用戶的效果并不理想。2017年7月， 中央網(wǎng)信辦、工信部等四部門(mén)啟動(dòng)個(gè)人信息保護(hù)提升行動(dòng)之隱私條款專項(xiàng)工作，在對(duì)微信、支付寶等10款A(yù)PP進(jìn)行隱私條款評(píng)審時(shí)發(fā)現(xiàn)，隱私條款多數(shù)存在以下問(wèn)題：隱私條款籠統(tǒng)不清，未明確說(shuō)明收集使用個(gè)人信息的目的、方式、范圍、保存期限和地點(diǎn)；不主動(dòng)向用戶展示隱私條款；隱私條款晦澀冗長(zhǎng)；以默認(rèn)勾選、“一攬子打包”授權(quán)等形式征求用戶授權(quán)，未充分保障用戶選擇權(quán)等。

平臺(tái)類APP和第三方應(yīng)用共享用戶個(gè)人信息，用戶合法權(quán)益受到威脅。目前，支付寶、微信等平臺(tái)類APP依托平臺(tái)優(yōu)勢(shì)，吸引大量第三方應(yīng)用入駐平臺(tái)，圍繞平臺(tái)打造數(shù)字生態(tài)系統(tǒng)。作為個(gè)人信息收集的重要入口，第三方應(yīng)用在獲取用戶個(gè)人信息過(guò)程中，存在不單獨(dú)向個(gè)人信息主體征得同意、未經(jīng)用戶授權(quán)與平臺(tái)類 APP 共享數(shù)據(jù)、超應(yīng)用范圍共享平臺(tái)類 APP 數(shù)據(jù)等情況，2018年1月發(fā)生的支付寶年度賬單事件，就是典型的例子。同時(shí)，第三方應(yīng)用與平臺(tái)類APP關(guān)于個(gè)人信息保護(hù)的權(quán)責(zé)關(guān)系尚無(wú)清晰界定，用戶信息保護(hù)責(zé)任難以隨著數(shù)據(jù)轉(zhuǎn)移進(jìn)行傳導(dǎo)，一旦發(fā)生用戶信息泄露事件，極易導(dǎo)致第三方應(yīng)用與平臺(tái)類 APP 互相推諉，使用戶合法權(quán)益得不到保障。

《規(guī)范》是走出APP安全隱私困境的一步好棋

《規(guī)范》提出了目的明確、選擇同意、最少夠用原則，約束APP對(duì)個(gè)人信息的過(guò)度收集行為?！兑?guī)范》要求，APP開(kāi)展收集、使用等個(gè)人信息處理活動(dòng)應(yīng)具有合法、正當(dāng)、必要、明確的個(gè)人信息處理目的，應(yīng)向個(gè)人信息主體明示個(gè)人信息處理目的、方式、范圍，并征求其授權(quán)同意，應(yīng)根據(jù)處理目的僅處理所需的最少類型和數(shù)量的個(gè)人信息?！兑?guī)范》還提出了區(qū)分核心功能和附加功能的要求，APP可對(duì)核心功能所需的信息進(jìn)行必要收集，但必須保證用戶能隨時(shí)開(kāi)啟或者關(guān)閉附件功能收集信息的權(quán)限。

《規(guī)范》明確了公開(kāi)透明原則，提出隱私條款的推薦描述方式。《規(guī)范》要求，APP開(kāi)展收集、使用等個(gè)人信息處理活動(dòng)，應(yīng)以明確、易懂和合理的方式公開(kāi)處理個(gè)人信息的范圍、目的、規(guī)則等，并接受監(jiān)督。《規(guī)范》還通過(guò)資料性附錄的方式，提出了隱私條款中關(guān)于APP收集和使用個(gè)人敏感信息，以及共享、轉(zhuǎn)讓、公開(kāi)披露個(gè)人信息等事項(xiàng)的推薦描述方式，在強(qiáng)化告知效果方面極具啟示作用?！兑?guī)范》強(qiáng)調(diào)了責(zé)權(quán)一致、確保安全的原則，界定了共同個(gè)人信息控制者的權(quán)責(zé)關(guān)系。《規(guī)范》高度重視個(gè)人信息控制的權(quán)責(zé)統(tǒng)一，要求個(gè)人信息控制者通過(guò)管理措施和技術(shù)手段，確保個(gè)人信息的保密性、完整性、可用性，并對(duì)個(gè)人信息主體合法權(quán)益造成的損害承擔(dān)責(zé)任。 針對(duì)平臺(tái)類APP和第三方應(yīng)用共享用戶個(gè)人信息的情況，《規(guī)范》要求個(gè)人信息控制者通過(guò)合同等形式與第三方共同確定應(yīng)滿足的個(gè)人信息安全要求，以及各自承擔(dān)的責(zé)任和義務(wù)，并向個(gè)人信息主體明確告知。

《規(guī)范》實(shí)施面臨的主要難點(diǎn)及對(duì)策建議

國(guó)家標(biāo)準(zhǔn)全面應(yīng)用的社會(huì)環(huán)境尚未形成，應(yīng)加強(qiáng)政策引導(dǎo)，提高各方的自覺(jué)性、主動(dòng)性。政府部門(mén)對(duì)標(biāo)準(zhǔn)應(yīng)用的政策引導(dǎo)不足，加之企業(yè)普遍重利益、輕安全， 尚未形成爭(zhēng)相應(yīng)用標(biāo)準(zhǔn)的社會(huì)環(huán)境。因此，要進(jìn)一步發(fā)揮政府部門(mén)在標(biāo)準(zhǔn)實(shí)施中的推進(jìn)作用，加快制《數(shù)據(jù)安全管理辦法》，借鑒《規(guī)范》中相關(guān)內(nèi)容，規(guī)范個(gè)人信息收集、存儲(chǔ)、傳輸、處理等行為。對(duì)積極落實(shí)《規(guī)范》各項(xiàng)要求的企業(yè)， 在投融資、財(cái)稅等方面給予一定的政策支持；對(duì)落實(shí)不積極、不到位的企業(yè)要進(jìn)行約談、通報(bào)。支持相關(guān)行業(yè)組織加強(qiáng)自律，鼓勵(lì)企業(yè)和行業(yè)組織發(fā)起并遵守個(gè)人信息保護(hù)倡議，帶頭規(guī)范個(gè)人信息管理，帶動(dòng)行業(yè)個(gè)人信息保護(hù)水平的整體提升。

缺乏有效監(jiān)管將導(dǎo)致標(biāo)準(zhǔn)實(shí)施打折扣，應(yīng)切實(shí)加強(qiáng)數(shù)據(jù)安全監(jiān)管工作。以網(wǎng)絡(luò)安全標(biāo)準(zhǔn)為重要依據(jù)的監(jiān)管活動(dòng)數(shù)量少、力度弱，企業(yè)不遵守標(biāo)準(zhǔn)的成本損失普遍較低，導(dǎo)致標(biāo)準(zhǔn)實(shí)施打折扣。要圍繞落實(shí)網(wǎng)絡(luò)安全法，以《規(guī)范》為重要參考依據(jù)，持續(xù)強(qiáng)化數(shù)據(jù)安全監(jiān)管，推動(dòng)各行業(yè)提升個(gè)人信息保護(hù)水平。一方面，行業(yè)主管部門(mén)要結(jié)合實(shí)際，盡快啟動(dòng)數(shù)據(jù)安全專項(xiàng)治理行動(dòng)，加強(qiáng)對(duì)企業(yè)收集、 存儲(chǔ)、使用、交易等個(gè)人信息的監(jiān)管，加大對(duì)侵犯?jìng)€(gè)人信息違法犯罪行為的打擊力度，整治行業(yè)數(shù)據(jù)收集、使用亂象。另一方面，國(guó)家網(wǎng)信部門(mén)要繼續(xù)深入開(kāi)展隱私條款專項(xiàng)工作，推動(dòng)增強(qiáng)APP隱私條款的規(guī)范性、可讀性。加強(qiáng)對(duì)評(píng)審APP產(chǎn)品的合規(guī)性技術(shù)檢測(cè)，確保APP產(chǎn)品整改到位，切實(shí)維護(hù)用戶合法權(quán)益。社會(huì)各界目前對(duì)標(biāo)準(zhǔn)的認(rèn)知程度不夠，應(yīng)強(qiáng)化對(duì)標(biāo)準(zhǔn)的宣傳培訓(xùn)和專業(yè)性解讀。標(biāo)準(zhǔn)宣傳的手段單一、專業(yè)性解讀不足將嚴(yán)重影響網(wǎng)絡(luò)安全從業(yè)者知標(biāo)準(zhǔn)、學(xué)標(biāo)準(zhǔn)、懂標(biāo)準(zhǔn)、用標(biāo)準(zhǔn)。要充分利用傳統(tǒng)媒體和互聯(lián)網(wǎng)等渠道，加強(qiáng)對(duì)《規(guī)范》的宣傳報(bào)道。加快制定《規(guī)范》的解讀、案例等配套文件，在全國(guó)范圍內(nèi)組織舉行宣貫會(huì)，邀請(qǐng)《規(guī)范》編寫(xiě)者等熟悉標(biāo)準(zhǔn)的專家學(xué)者進(jìn)行培訓(xùn)，推動(dòng)應(yīng)用部門(mén)、企業(yè)、科研院所等機(jī)構(gòu)和人員在《規(guī)范》的學(xué)懂、弄通、做實(shí)上下功夫，引導(dǎo)政府、機(jī)構(gòu)、企業(yè)等以《規(guī)范》里個(gè)人信息保護(hù)合規(guī)性要求為準(zhǔn)繩，將個(gè)人信息保護(hù)各項(xiàng)措施落實(shí)到位。