滌蕩App 不正之風(fēng)

南方周末評論員

日前，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布《網(wǎng)絡(luò)安全實(shí)踐指南——移動互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范》。其最大的特色是，依據(jù)個(gè)人信息最少夠用原則，以基本業(yè)務(wù)功能劃分了16類App，給出了與每類業(yè)務(wù)功能相關(guān)的必要信息范圍，即一旦缺少會導(dǎo)致基本功能無法實(shí)現(xiàn)或無法正常運(yùn)行的信息。這是對行業(yè)不正之風(fēng)動真格，有望極大改善個(gè)人信息與隱私保護(hù)。

想必不少人遇見過這樣的情況：隨便一款A(yù)pp，都敢向用戶索要訪問通訊錄、讀取短信與讀取通話記錄的權(quán)限；某些熱門App，店大欺客，你不給它想要的個(gè)人信息就安裝或使用不了，而這些信息與其業(yè)務(wù)功能一毛錢關(guān)系都沒有。尤其是適用安卓機(jī)的各類App，超范圍收集、強(qiáng)制授權(quán)與過度索取等是一個(gè)值得關(guān)切的現(xiàn)象。

在上述規(guī)范通過后，有媒體在2019年6月10-17日使用安卓系統(tǒng)華為手機(jī)進(jìn)行測試，發(fā)現(xiàn)在被測試的50款A(yù)pp中，仍有24款A(yù)pp索取權(quán)限超出規(guī)范。

2016年網(wǎng)絡(luò)安全法第41條規(guī)定：網(wǎng)絡(luò)運(yùn)營者收集、使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則……并經(jīng)被收集者同意；不得收集與其提供的服務(wù)無關(guān)的個(gè)人信息。第64條規(guī)定的罰則包括沒收違法所得、罰款等，情節(jié)嚴(yán)重的，可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照。

這一法律對App不法運(yùn)營者有所震懾。不過，何謂“必要”，或者何謂“最少夠用”，仍有待一個(gè)獨(dú)立第三方來進(jìn)行清晰界定。

上述規(guī)范解決了這個(gè)問題。首先，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會是官方機(jī)構(gòu)，成員包括中央網(wǎng)信辦、工信部與公安部等部門的官員與專業(yè)人士。其次，規(guī)范界定的基本業(yè)務(wù)功能必要信息，很清晰很具體，不厭其煩。例如，地圖導(dǎo)航類僅為位置信息；新聞資訊類、短視頻類App只能獲取用戶關(guān)注的賬號信息，但自媒體用戶需要實(shí)名認(rèn)證；即時(shí)通訊社交類，應(yīng)允許用戶手動添加好友，金融借貸類，應(yīng)允許用戶手動輸入兩位緊急聯(lián)系人信息，都不應(yīng)強(qiáng)制讀取用戶的通訊錄。

上述規(guī)范既適用于App提供者“規(guī)范個(gè)人信息搜集行為”，也適用于“主管監(jiān)管部門、第三方評估機(jī)構(gòu)等對于個(gè)人信息收集行為進(jìn)行監(jiān)督、管理和評估”，可能還會影響網(wǎng)絡(luò)完全法對個(gè)人信息搜集行為合法與非法邊界的認(rèn)定，即會影響監(jiān)管與司法實(shí)踐。所以必將對App業(yè)態(tài)產(chǎn)生積極影響。

當(dāng)然，哪怕僅就App而言，個(gè)人信息保護(hù)也是一個(gè)系統(tǒng)工程。讓個(gè)人信息最少夠用原則成為可操作性的規(guī)范，只是其中的一個(gè)方面。保障被搜集的個(gè)人信息不被過度使用、非法使用與倒賣，保障個(gè)人信息“被遺忘權(quán)”等等，也都不可或缺。