以法治之力破解APP強(qiáng)制索權(quán)頑疾

隨著移動(dòng)互聯(lián)網(wǎng)快速發(fā)展， 各類手機(jī)應(yīng)用程序（APP） 迅速普及， 在促進(jìn)經(jīng)濟(jì)社會(huì)發(fā)展、服務(wù)民生等方面發(fā)揮了重要作用。但APP 強(qiáng)制索取個(gè)人信息授權(quán)的問題也愈發(fā)突出：使用一款移動(dòng)教學(xué)軟件，卻被要求開通讀取照片功能；下載輸入法，卻要求獲取用戶的電話記錄……這不僅讓消費(fèi)者不勝其煩，也給個(gè)人信息保護(hù)帶來較大的挑戰(zhàn)。今年4月20日，國家計(jì)算機(jī)病毒應(yīng)急處理中心通報(bào)了67款違法違規(guī)收集使用個(gè)人信息的APP，其中有多款A(yù)PP涉及未經(jīng)同意收集信息或開通權(quán)限等強(qiáng)制索權(quán)問題。4月21日，工業(yè)和信息化部通報(bào)了今年首批存在侵害用戶權(quán)益行為的52 款A(yù)PP或軟件開發(fā)工具包（SDK），其中有15款涉及強(qiáng)制、頻繁、過度索取權(quán)限問題。APP強(qiáng)制索權(quán)問題已經(jīng)成為個(gè)人信息保護(hù)領(lǐng)域群眾反映強(qiáng)烈、亟待深化治理的頑疾。

APP強(qiáng)制索權(quán)是指APP在用戶未明確同意或已拒絕授權(quán)的情況下，以拒絕或限制用戶使用為手段，迫使用戶接受其索取個(gè)人信息授權(quán)的行為。其典型樣態(tài)包括：強(qiáng)制捆綁式索權(quán)，即在APP安裝和運(yùn)行時(shí)向用戶索取非當(dāng)前服務(wù)場景所必需的權(quán)限，若用戶拒絕則無法繼續(xù)使用；頻繁干擾式索權(quán)，即在用戶明確拒絕授權(quán)后，以頻繁彈窗等方式反復(fù)申請非當(dāng)前服務(wù)場景所必需的權(quán)限；過度無關(guān)式索權(quán)，即提前或超范圍申請與用戶當(dāng)前所用業(yè)務(wù)功能無關(guān)的權(quán)限，如通訊錄、定位等敏感權(quán)限。

我國高度重視APP個(gè)人信息保護(hù)領(lǐng)域工作， 針對APP 強(qiáng)制索權(quán)等問題不斷完善立法和加強(qiáng)執(zhí)法。網(wǎng)絡(luò)安全法確立了個(gè)人信息處理的知情同意和合法正當(dāng)必要原則。個(gè)人信息保護(hù)法進(jìn)一步規(guī)定“收集個(gè)人信息，應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍，不得過度收集個(gè)人信息”，“個(gè)人信息處理者不得以個(gè)人不同意處理其個(gè)人信息或者撤回同意為由，拒絕提供產(chǎn)品或者服務(wù)；處理個(gè)人信息屬于提供產(chǎn)品或者服務(wù)所必需的除外”?！毒W(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》進(jìn)一步明確，基于個(gè)人同意處理個(gè)人信息的，“收集個(gè)人信息為提供產(chǎn)品或者服務(wù)所必需，不得超范圍收集個(gè)人信息”，“不得在個(gè)人明確表示不同意處理其個(gè)人信息后，頻繁征求同意”。近年來，中央網(wǎng)信辦會(huì)同有關(guān)部門持續(xù)開展APP 違法違規(guī)收集使用個(gè)人信息的治理工作， 建立健全工作機(jī)制， 研究制定標(biāo)準(zhǔn)規(guī)范， 查處各類違法違規(guī)行為，加強(qiáng)正面典型示范引領(lǐng)，著力整治強(qiáng)制索權(quán)等突出問題，取得了積極成效。

盡管如此，APP 強(qiáng)制索權(quán)問題在實(shí)踐中仍然較為多發(fā)，甚至在某些領(lǐng)域呈愈演愈烈之勢。究其原因，主要在于以下方面。一是一些企業(yè)受利益驅(qū)動(dòng)，對個(gè)人信息保護(hù)未能予以足夠重視。為了利用用戶個(gè)人信息進(jìn)行精準(zhǔn)營銷、廣告推送甚至從事黑灰產(chǎn)而牟利，部分企業(yè)鋌而走險(xiǎn)，通過強(qiáng)制索權(quán)獲取和使用大量用戶數(shù)據(jù)。二是移動(dòng)互聯(lián)網(wǎng)APP 數(shù)量龐大，新形態(tài)新模式不斷涌現(xiàn)給治理帶來挑戰(zhàn)。近年來，小程序、快應(yīng)用、H5 頁面等新形態(tài)和SDK 等新技術(shù)的出現(xiàn)，以及智能體APP 強(qiáng)制調(diào)用手機(jī)系統(tǒng)無障礙權(quán)限等，導(dǎo)致治理強(qiáng)制索權(quán)更加困難。三是監(jiān)管能力和監(jiān)管方式在一定程度上滯后于治理需要。面對數(shù)量龐大和形態(tài)多樣的APP，監(jiān)管力量依然存在不足，“檢測—通報(bào)—處置”的監(jiān)管方式難以適應(yīng)APP頻繁迭代更新的特點(diǎn)，再加上處罰力度有限，違法成本不高，有的違法APP“換個(gè)馬甲”就能“死灰復(fù)燃”。

鑒于APP強(qiáng)制索權(quán)問題仍較為突出， 今年中央網(wǎng)信辦會(huì)同有關(guān)部門開展的2025 年個(gè)人信息保護(hù)系列專項(xiàng)行動(dòng)， 將APP和SDK無相關(guān)功能或未使用相關(guān)功能時(shí)調(diào)用非必要權(quán)限或收集非必要個(gè)人信息等強(qiáng)制索權(quán)問題作為治理的焦點(diǎn)問題。深化APP強(qiáng)制索權(quán)問題的治理， 應(yīng)該基于APP服務(wù)生態(tài)的特點(diǎn)，圍繞移動(dòng)互聯(lián)網(wǎng)APP 開發(fā)運(yùn)營、應(yīng)用分發(fā)、終端運(yùn)行的全鏈條完善治理舉措，協(xié)同共治破解這一頑疾。

加強(qiáng)監(jiān)管執(zhí)法， 加大違法處罰力度。一是堅(jiān)持全鏈條治理，強(qiáng)化重點(diǎn)環(huán)節(jié)監(jiān)管。聚焦開發(fā)運(yùn)營、應(yīng)用分發(fā)和終端運(yùn)行，細(xì)化對APP開發(fā)運(yùn)營者、APP分發(fā)平臺(tái)、APP第三方服務(wù)提供者、終端生產(chǎn)者等上下游主體監(jiān)管要求，通過檢測檢查等加強(qiáng)日常監(jiān)管。二是強(qiáng)化技術(shù)治理，加強(qiáng)監(jiān)管能力建設(shè)。面對APP 數(shù)量龐大、迭代更新快的監(jiān)管挑戰(zhàn)，切實(shí)提升APP監(jiān)測檢測、風(fēng)險(xiǎn)預(yù)警、溯源認(rèn)證、數(shù)據(jù)挖掘等技術(shù)能力。目前，工業(yè)和信息化部建成的APP檢測及認(rèn)證公共服務(wù)平臺(tái)就是很好的探索。三是加強(qiáng)協(xié)同治理，加大執(zhí)法處罰力度。加強(qiáng)有關(guān)主管部門的統(tǒng)籌協(xié)同，強(qiáng)化信息共享和執(zhí)法聯(lián)動(dòng)，形成監(jiān)管合力。健全約談提醒、責(zé)令整改、通報(bào)下架等長效機(jī)制，對“屢犯不改”的違法者要加大處罰力度，形成監(jiān)管威懾。

夯實(shí)主體責(zé)任，健全內(nèi)部合規(guī)管理。有關(guān)主體應(yīng)當(dāng)嚴(yán)格落實(shí)保護(hù)用戶個(gè)人信息的法定要求，切實(shí)遵循知情同意和合法正當(dāng)必要原則。對于APP 開發(fā)運(yùn)營者來說，一是不得以任何理由強(qiáng)制索取用戶授權(quán)，不得因用戶不同意提供非必要個(gè)人信息而拒絕用戶使用其基本功能服務(wù)；二是健全內(nèi)部合規(guī)管理機(jī)制，明確個(gè)人信息保護(hù)負(fù)責(zé)人，將法定要求落實(shí)到APP 研發(fā)、推廣和運(yùn)營各環(huán)節(jié)，按照《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》定期進(jìn)行合規(guī)審計(jì)，不斷提高合規(guī)水平。對于SDK 服務(wù)提供者來說，應(yīng)根據(jù)不同應(yīng)用場景或用途，明確SDK 功能和對應(yīng)的個(gè)人信息收集范圍，不得一攬子過度收集個(gè)人信息，并通過向APP 開發(fā)運(yùn)營者提供個(gè)人信息收集的配置選項(xiàng)和合規(guī)使用指南，促進(jìn)SDK合規(guī)使用。

強(qiáng)化平臺(tái)責(zé)任，完善應(yīng)用分發(fā)管理。應(yīng)用商店等分發(fā)平臺(tái)是連接APP開發(fā)運(yùn)營者與用戶之間的橋梁，應(yīng)發(fā)揮好“守門人”作用?！兑苿?dòng)互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》已要求APP分發(fā)平臺(tái)建立完善上架審核、日常管理、應(yīng)急處置等管理措施，發(fā)現(xiàn)在架APP違法違規(guī)收集使用個(gè)人信息的，不得為其提供服務(wù)。未來應(yīng)進(jìn)一步探索監(jiān)管部門與分發(fā)平臺(tái)的協(xié)作治理機(jī)制：一是明確APP上架審核需要提交和公示的信息， 比如APP需要獲取的用戶終端權(quán)限及用途、個(gè)人信息處理規(guī)則等，分發(fā)平臺(tái)經(jīng)形式審查發(fā)現(xiàn)有強(qiáng)制索權(quán)等問題的，應(yīng)不予上架；二是在監(jiān)管部門支持下，分發(fā)平臺(tái)對監(jiān)管抽檢發(fā)現(xiàn)的問題APP 及時(shí)提示風(fēng)險(xiǎn)或下架，利用監(jiān)管檢測平臺(tái)對擬上架APP或投訴較多的在架APP 進(jìn)行技術(shù)抽檢，發(fā)現(xiàn)有強(qiáng)制索權(quán)等問題，應(yīng)停止提供服務(wù)并及時(shí)通報(bào)監(jiān)管部門。

增強(qiáng)終端防護(hù)，提升用戶防范意識(shí)。智能手機(jī)等終端是APP安裝運(yùn)行的載體，應(yīng)該增強(qiáng)終端的防護(hù)能力，切實(shí)保障用戶的知情權(quán)和自主選擇權(quán)。一是強(qiáng)化終端系統(tǒng)對APP 權(quán)限調(diào)用行為的記錄和提醒，為用戶查詢和管理權(quán)限調(diào)用提供技術(shù)支撐。系統(tǒng)應(yīng)明確提示通訊錄、定位、短信、麥克風(fēng)、相機(jī)、剪切板等敏感權(quán)限的使用狀態(tài)，保障用戶實(shí)時(shí)準(zhǔn)確了解APP個(gè)人信息收集狀態(tài)，及時(shí)發(fā)現(xiàn)和處置強(qiáng)制索權(quán)問題。二是加強(qiáng)宣傳教育，切實(shí)提升用戶防范意識(shí)。通過媒體、線下宣講等各種渠道，廣泛宣傳APP 個(gè)人信息保護(hù)知識(shí)，增強(qiáng)用戶對違法違規(guī)APP 的辨別能力和防范能力，引導(dǎo)用戶主動(dòng)謹(jǐn)慎管理APP 授權(quán)，在發(fā)現(xiàn)違法違規(guī)APP時(shí)及時(shí)通過12321等渠道進(jìn)行舉報(bào)和維權(quán)，促成APP 強(qiáng)制索權(quán)全民共治的良好局面。

（摘自6 月11 日《學(xué)習(xí)時(shí)報(bào)》）

本欄編輯 何欣 趙婷宇