王超

2018年伊始，支付寶因年度賬單事件被約談，百度因旗下APP涉嫌侵犯隱私被起訴。以上兩件事，體現(xiàn)了我國政府對個人隱私安全的重視，也客觀反映出移動APP過度獲取用戶權限、隱私條款冗長晦澀、平臺應用權責不清等亂象的廣泛存在。2018年1月，《信息安全技術 個人信息安全規(guī)范》（簡稱《規(guī)范》）國家標準正式發(fā)布，及時填補了個人信息保護中諸多技術細節(jié)與實操領域規(guī)范的空白，被認為是走出APP個人隱私安全困境的一步好棋。應積極開展《規(guī)范》的宣貫，推動其認真全面實施。

移動APP的廣泛應用 易引發(fā)新的隱私安全問題

APP獲取非必要用戶權限，過度收集用戶的個人信息。APP需獲取相應權限方能正常使用，但隨著用戶信息價值的日益提升，大量獲取非必要用戶權限，大肆索取用戶信息已成為APP的“通行做法”。2018年1月，騰訊社會研究中心與DCCI互聯(lián)網(wǎng)數(shù)據(jù)中心聯(lián)合發(fā)布的《2017年度網(wǎng)絡隱私安全及網(wǎng)絡欺詐行為分析報告》顯示，2017年下半年，98.5%的Android應用會獲取用戶手機隱私權，9%的 Android應用存在越界獲取用戶手機隱私權限的情況。2017年7月，江蘇省消費者權益保護委員會對購買類、閱讀類、支付類等領域27款APP的隱私安全調(diào)查顯示，絕大多數(shù)APP在安裝時申請了大量的手機權限，遠遠超出APP正常服務所必須獲取的權限。如某天氣類應用，需要收集用戶的通訊錄信息；某手電筒應用， 需要調(diào)用手機的位置信息等。百度“手機百度”“百度瀏覽器” 兩款APP甚至在未取得用戶同意的情況下，獲取“監(jiān)聽電話、定位、讀取短彩信、讀取聯(lián)系人、修改系統(tǒng)設置”等多種權限，且因企業(yè)拒不整改而被起訴。

APP隱私條款冗長晦澀，難以充分保障用戶的知情權。APP隱私條款是數(shù)據(jù)控制者告知用戶其個人信息收集和使用規(guī)則的慣常做法。長期以來，APP隱私條款一直存在冗長晦澀、難以理解的問題，告知用戶的效果并不理想。2017年7月， 中央網(wǎng)信辦、工信部等四部門啟動個人信息保護提升行動之隱私條款專項工作，在對微信、支付寶等10款APP進行隱私條款評審時發(fā)現(xiàn)，隱私條款多數(shù)存在以下問題：隱私條款籠統(tǒng)不清，未明確說明收集使用個人信息的目的、方式、范圍、保存期限和地點；不主動向用戶展示隱私條款；隱私條款晦澀冗長；以默認勾選、“一攬子打包”授權等形式征求用戶授權，未充分保障用戶選擇權等。

平臺類APP和第三方應用共享用戶個人信息，用戶合法權益受到威脅。目前，支付寶、微信等平臺類APP依托平臺優(yōu)勢，吸引大量第三方應用入駐平臺，圍繞平臺打造數(shù)字生態(tài)系統(tǒng)。作為個人信息收集的重要入口，第三方應用在獲取用戶個人信息過程中，存在不單獨向個人信息主體征得同意、未經(jīng)用戶授權與平臺類 APP 共享數(shù)據(jù)、超應用范圍共享平臺類 APP 數(shù)據(jù)等情況，2018年1月發(fā)生的支付寶年度賬單事件，就是典型的例子。同時，第三方應用與平臺類APP關于個人信息保護的權責關系尚無清晰界定，用戶信息保護責任難以隨著數(shù)據(jù)轉(zhuǎn)移進行傳導，一旦發(fā)生用戶信息泄露事件，極易導致第三方應用與平臺類 APP 互相推諉，使用戶合法權益得不到保障。

《規(guī)范》是走出APP安全隱私困境的一步好棋

《規(guī)范》提出了目的明確、選擇同意、最少夠用原則，約束APP對個人信息的過度收集行為?！兑?guī)范》要求，APP開展收集、使用等個人信息處理活動應具有合法、正當、必要、明確的個人信息處理目的，應向個人信息主體明示個人信息處理目的、方式、范圍，并征求其授權同意，應根據(jù)處理目的僅處理所需的最少類型和數(shù)量的個人信息?！兑?guī)范》還提出了區(qū)分核心功能和附加功能的要求，APP可對核心功能所需的信息進行必要收集，但必須保證用戶能隨時開啟或者關閉附件功能收集信息的權限。

《規(guī)范》明確了公開透明原則，提出隱私條款的推薦描述方式。《規(guī)范》要求，APP開展收集、使用等個人信息處理活動，應以明確、易懂和合理的方式公開處理個人信息的范圍、目的、規(guī)則等，并接受監(jiān)督?！兑?guī)范》還通過資料性附錄的方式，提出了隱私條款中關于APP收集和使用個人敏感信息，以及共享、轉(zhuǎn)讓、公開披露個人信息等事項的推薦描述方式，在強化告知效果方面極具啟示作用?！兑?guī)范》強調(diào)了責權一致、確保安全的原則，界定了共同個人信息控制者的權責關系?！兑?guī)范》高度重視個人信息控制的權責統(tǒng)一，要求個人信息控制者通過管理措施和技術手段，確保個人信息的保密性、完整性、可用性，并對個人信息主體合法權益造成的損害承擔責任。 針對平臺類APP和第三方應用共享用戶個人信息的情況，《規(guī)范》要求個人信息控制者通過合同等形式與第三方共同確定應滿足的個人信息安全要求，以及各自承擔的責任和義務，并向個人信息主體明確告知。

《規(guī)范》實施面臨的主要難點及對策建議

國家標準全面應用的社會環(huán)境尚未形成，應加強政策引導，提高各方的自覺性、主動性。政府部門對標準應用的政策引導不足，加之企業(yè)普遍重利益、輕安全， 尚未形成爭相應用標準的社會環(huán)境。因此，要進一步發(fā)揮政府部門在標準實施中的推進作用，加快制《數(shù)據(jù)安全管理辦法》，借鑒《規(guī)范》中相關內(nèi)容，規(guī)范個人信息收集、存儲、傳輸、處理等行為。對積極落實《規(guī)范》各項要求的企業(yè)， 在投融資、財稅等方面給予一定的政策支持；對落實不積極、不到位的企業(yè)要進行約談、通報。支持相關行業(yè)組織加強自律，鼓勵企業(yè)和行業(yè)組織發(fā)起并遵守個人信息保護倡議，帶頭規(guī)范個人信息管理，帶動行業(yè)個人信息保護水平的整體提升。

缺乏有效監(jiān)管將導致標準實施打折扣，應切實加強數(shù)據(jù)安全監(jiān)管工作。以網(wǎng)絡安全標準為重要依據(jù)的監(jiān)管活動數(shù)量少、力度弱，企業(yè)不遵守標準的成本損失普遍較低，導致標準實施打折扣。要圍繞落實網(wǎng)絡安全法，以《規(guī)范》為重要參考依據(jù)，持續(xù)強化數(shù)據(jù)安全監(jiān)管，推動各行業(yè)提升個人信息保護水平。一方面，行業(yè)主管部門要結(jié)合實際，盡快啟動數(shù)據(jù)安全專項治理行動，加強對企業(yè)收集、 存儲、使用、交易等個人信息的監(jiān)管，加大對侵犯個人信息違法犯罪行為的打擊力度，整治行業(yè)數(shù)據(jù)收集、使用亂象。另一方面，國家網(wǎng)信部門要繼續(xù)深入開展隱私條款專項工作，推動增強APP隱私條款的規(guī)范性、可讀性。加強對評審APP產(chǎn)品的合規(guī)性技術檢測，確保APP產(chǎn)品整改到位，切實維護用戶合法權益。社會各界目前對標準的認知程度不夠，應強化對標準的宣傳培訓和專業(yè)性解讀。標準宣傳的手段單一、專業(yè)性解讀不足將嚴重影響網(wǎng)絡安全從業(yè)者知標準、學標準、懂標準、用標準。要充分利用傳統(tǒng)媒體和互聯(lián)網(wǎng)等渠道，加強對《規(guī)范》的宣傳報道。加快制定《規(guī)范》的解讀、案例等配套文件，在全國范圍內(nèi)組織舉行宣貫會，邀請《規(guī)范》編寫者等熟悉標準的專家學者進行培訓，推動應用部門、企業(yè)、科研院所等機構(gòu)和人員在《規(guī)范》的學懂、弄通、做實上下功夫，引導政府、機構(gòu)、企業(yè)等以《規(guī)范》里個人信息保護合規(guī)性要求為準繩，將個人信息保護各項措施落實到位。