寧華 王艷紅 武林娜 杜云

(1.移動(dòng)應(yīng)用創(chuàng)新與治理技術(shù)工業(yè)和信息化部重點(diǎn)實(shí)驗(yàn)室，北京 100191；2.中國(guó)信息通信研究院泰爾終端實(shí)驗(yàn)室，北京 100191)

0 引言

我國(guó)境內(nèi)移動(dòng)互聯(lián)網(wǎng)應(yīng)用(Mobile Application，APP)上架總量已近350萬(wàn)款，覆蓋經(jīng)濟(jì)社會(huì)生產(chǎn)生活管理各個(gè)方面。APP作為用戶數(shù)據(jù)收集的主要入口之一，違規(guī)收集個(gè)人信息、超范圍收集個(gè)人信息等問(wèn)題日益嚴(yán)峻，對(duì)國(guó)家安全、人民利益、產(chǎn)業(yè)健康有序發(fā)展形成嚴(yán)重風(fēng)險(xiǎn)挑戰(zhàn)[1]。推動(dòng)APP依據(jù)最小必要原則收集使用個(gè)人信息已成為當(dāng)務(wù)之急。

1 個(gè)人信息保護(hù)面臨的挑戰(zhàn)

隨著AI、大數(shù)據(jù)等技術(shù)的廣泛應(yīng)用，用戶個(gè)人信息的敏感性不斷提高、數(shù)據(jù)范圍不斷擴(kuò)大，個(gè)人信息的數(shù)據(jù)價(jià)值得到全面提升，海量相互關(guān)聯(lián)的個(gè)人數(shù)據(jù)成為分析個(gè)人特征的基礎(chǔ)。與此同時(shí)，違規(guī)收集個(gè)人信息、超范圍收集個(gè)人信息成為普遍現(xiàn)象。然而，普通用戶難以察覺(jué)個(gè)人信息被違規(guī)收集，也缺乏控制的技術(shù)手段。

1.1 違規(guī)收集個(gè)人信息

APP收集個(gè)人信息應(yīng)向用戶明示并征得用戶同意后進(jìn)行[2]。盡管當(dāng)前普遍采用通過(guò)隱私政策或用戶協(xié)議的方式向用戶一攬子告知，但仍存在未告知且未征得用戶同意違規(guī)收集IMEI、應(yīng)用軟件列表、MAC地址等行為。還有的APP未向用戶告知且未經(jīng)用戶同意，利用Cookie等技術(shù)手段隱性采集用戶數(shù)據(jù)，生成設(shè)備身份標(biāo)識(shí)等。

1.2 過(guò)度收集個(gè)人信息

APP在征得用戶同意或獲得系統(tǒng)授權(quán)后，應(yīng)遵循合法、正當(dāng)、必要的基本原則收集使用個(gè)人信息。開發(fā)者不應(yīng)利用能力和信息的不對(duì)稱，違反與用戶的約定，或超出業(yè)務(wù)場(chǎng)景的合理需求，過(guò)度收集個(gè)人信息。然而，APP開發(fā)者通常是根據(jù)其市場(chǎng)地位、利潤(rùn)及不良后果來(lái)決定收集使用個(gè)人信息的邊界。在獲得用戶的形式授權(quán)后，APP普遍存在過(guò)度收集個(gè)人信息的情況。如無(wú)合理業(yè)務(wù)場(chǎng)景時(shí)超范圍收集語(yǔ)音、圖片、通訊錄信息，超深度收集位置、圖片信息，超頻次收集設(shè)備識(shí)別碼、應(yīng)用軟件列表信息等。這些收集行為與用戶意愿不符，普通用戶難以覺(jué)察和取證，而開發(fā)者也難以主動(dòng)進(jìn)行自我約束。

2 問(wèn)題分析

APP違規(guī)收集、過(guò)度收集個(gè)人信息等問(wèn)題通常伴隨著隱私政策冗長(zhǎng)、強(qiáng)制“一攬子同意”、過(guò)度索取權(quán)限、濫用系統(tǒng)授權(quán)等現(xiàn)象。

2.1 告知內(nèi)容冗長(zhǎng)繁瑣且晦澀難懂

目前，APP提供者通常使用隱私政策或用戶協(xié)議等方式，告知APP收集使用個(gè)人信息的目的、方式和范圍。APP隱私政策長(zhǎng)的接近2萬(wàn)字，短的也有六七千字，平均字?jǐn)?shù)在1.3萬(wàn)左右，按照300 字/min/人的閱讀速度，讀完全文平均需要30 min以上。用戶反映普遍存在讀不完、找不到、看不懂等問(wèn)題。面對(duì)市場(chǎng)化程度和規(guī)范程度都較低的APP，上萬(wàn)的文字體量、層層嵌套的文件體系和章節(jié)架構(gòu)、晦澀難懂的文字描述，使得隱私政策和用戶協(xié)議形同虛設(shè)，難以擔(dān)當(dāng)告知用戶的責(zé)任。對(duì)于用戶來(lái)說(shuō)，勾選接受隱私政策和用戶協(xié)議以安裝使用APP實(shí)屬無(wú)奈之舉。

2.2 一攬子征得用戶同意

APP早期業(yè)務(wù)功能比較單一，通常在首次安裝使用時(shí)，一次性告知并征得用戶同意，同時(shí)索取系統(tǒng)權(quán)限。隨著互聯(lián)網(wǎng)業(yè)態(tài)的不斷豐富，APP的業(yè)務(wù)功能不斷增加，APP所收集使用的個(gè)人信息邊界不斷擴(kuò)大。當(dāng)前APP首次啟動(dòng)時(shí)，普遍采用彈窗方式，一攬子征得用戶的同意。用戶不同意將無(wú)法使用APP，或者僅能使用瀏覽模式。在一攬子同意的方式下，不區(qū)分首屏功能和其他業(yè)務(wù)功能、不區(qū)分必要信息和非必要信息。一方面對(duì)于多業(yè)務(wù)功能APP，用戶通常只能接受使用所有的業(yè)務(wù)功能，APP開發(fā)者只需增加告知條款，形式上具備相關(guān)的業(yè)務(wù)功能，就可以無(wú)所顧忌地收集各種信息；另一方面對(duì)于具備壟斷地位的APP，用戶別無(wú)選擇，只能同意所有信息被收集。在這種一攬子同意的模式下，用戶除了依靠系統(tǒng)權(quán)限給予開關(guān)選項(xiàng)的節(jié)制外，基本喪失了選擇“不”的權(quán)利。

2.3 權(quán)限濫用現(xiàn)象嚴(yán)重

在告知并征得用戶同意后，系統(tǒng)權(quán)限成為APP收集個(gè)人信息的關(guān)鍵管控手段[3]?，F(xiàn)有權(quán)限管控粒度過(guò)粗，權(quán)限申請(qǐng)目的告知不同步、權(quán)限行為記錄不完善等因素導(dǎo)致APP過(guò)度申請(qǐng)權(quán)限、濫用系統(tǒng)授予的權(quán)限。APP過(guò)度濫用權(quán)限表現(xiàn)在3個(gè)方面：一是無(wú)合理業(yè)務(wù)場(chǎng)景時(shí)，提前索取權(quán)限；二是有合理業(yè)務(wù)場(chǎng)景時(shí)，借機(jī)多索取權(quán)限；三是索取權(quán)限后，超范圍使用權(quán)限賦予功能。然而，權(quán)限過(guò)度濫用用戶易感知，評(píng)測(cè)時(shí)卻存在主觀判定難的情況。有必要制定APP權(quán)限最小化規(guī)范，引導(dǎo)APP開發(fā)者遵循合法正當(dāng)必要原則申請(qǐng)權(quán)限，清晰即時(shí)告知權(quán)限申請(qǐng)目的，運(yùn)行過(guò)程中最小化使用權(quán)限，事后自行留存權(quán)限行為記錄等。

3 APP最小必要收集個(gè)人信息方案

APP收集使用個(gè)人信息，普遍包含告知、同意、權(quán)限索取、權(quán)限使用4個(gè)環(huán)環(huán)相扣、互相影響的關(guān)鍵方面[4]。為破解一攬子告知同意、過(guò)度濫用權(quán)限的難題，有必要拆分首屏和其他業(yè)務(wù)功能或服務(wù)，區(qū)分不同業(yè)務(wù)功能或服務(wù)的必要信息和非必要信息，優(yōu)化告知、同意、權(quán)限索取的時(shí)機(jī)和方式，規(guī)范權(quán)限使用最小化的操作范圍、數(shù)據(jù)范圍、收集頻次、收集深度等，進(jìn)而提出APP最小必要收集個(gè)人信息方案。

3.1 最小必要基本原則

APP可根據(jù)業(yè)務(wù)功能或服務(wù)的不同，按照約定成俗的方式進(jìn)行功能模塊劃分，功能模塊也可以繼續(xù)拆解成更小的模塊。在功能模塊下可進(jìn)一步劃分為收集個(gè)人信息的業(yè)務(wù)場(chǎng)景，在某些業(yè)務(wù)場(chǎng)景下，信息采集需要得到操作系統(tǒng)的授權(quán)。以地圖導(dǎo)航類APP為例，典型的功能場(chǎng)景層次架構(gòu)如圖1所示?？梢姡谑灼恋貓D頁(yè)面，盡管有當(dāng)前位置和語(yǔ)音喚醒的場(chǎng)景，但位置和錄音信息對(duì)用戶來(lái)說(shuō)均非必要，相關(guān)的權(quán)限申請(qǐng)用戶也可以拒絕；而在導(dǎo)航功能下，位置信息和位置權(quán)限均為必要。

圖1 地圖導(dǎo)航類APP的功能場(chǎng)景層次架構(gòu)

通過(guò)對(duì)APP業(yè)務(wù)功能或服務(wù)，以及業(yè)務(wù)場(chǎng)景的解析，告知、同意、權(quán)限索取、權(quán)限使用可遵循以下最小必要基本原則。

(1)按照業(yè)務(wù)功能或服務(wù)進(jìn)行分項(xiàng)告知。

(2)按照業(yè)務(wù)功能或服務(wù)分項(xiàng)征求用戶同意。

(3)用戶可拒絕業(yè)務(wù)功能的非必要信息。

(4)按照業(yè)務(wù)場(chǎng)景即時(shí)向系統(tǒng)索取權(quán)限。

(5)用戶可拒絕非業(yè)務(wù)場(chǎng)景所必要的權(quán)限。

3.2 告知

當(dāng)APP出于提供產(chǎn)品或服務(wù)的目的收集使用個(gè)人信息時(shí)，應(yīng)當(dāng)在功能開啟前，告知收集使用個(gè)人信息的目的、方式和范圍，以及拒絕提供將帶來(lái)的影響，以便用戶進(jìn)行適當(dāng)?shù)倪x擇。

3.2.1 告知內(nèi)容

告知內(nèi)容應(yīng)包含收集使用個(gè)人信息的目的、方式、范圍、內(nèi)容、頻次、保護(hù)措施、公開、轉(zhuǎn)移、共享等相關(guān)內(nèi)容，同時(shí)應(yīng)明示用戶所擁有的各項(xiàng)權(quán)利，如查詢權(quán)、拒絕權(quán)、更正權(quán)和撤銷同意等[5-6]。告知內(nèi)容應(yīng)準(zhǔn)確、清晰、完整、易懂，符合通用的語(yǔ)言習(xí)慣，通過(guò)顯著方式對(duì)重點(diǎn)條款進(jìn)行突出呈現(xiàn)，同時(shí)應(yīng)避免歧義，不得恐嚇威脅誘導(dǎo)用戶。當(dāng)APP收集使用的內(nèi)容、目的、方式、范圍發(fā)生變更時(shí)，應(yīng)及時(shí)重新告知并顯著提示用戶。變更包括但不限于收集使用個(gè)人信息的內(nèi)容增加、目的改變、方式變化等。

3.2.2 告知時(shí)機(jī)

告知時(shí)機(jī)應(yīng)滿足事前就近原則，在用戶作出實(shí)質(zhì)性動(dòng)作前，給予相應(yīng)的告知。在用戶決定選擇下載前，在APP下載界面顯著位置告知應(yīng)用的名稱、包名、版本號(hào)、安裝包大小、開發(fā)者、發(fā)布更新日期、權(quán)限列表及用途，收集使用個(gè)人信息的內(nèi)容、目的、方式和范圍，以及關(guān)鍵個(gè)人信息列表等，以保障用戶選擇下載前的知情權(quán)。在用戶初次使用APP或注冊(cè)使用賬號(hào)的場(chǎng)景下，向用戶提供完整的個(gè)人信息收集使用規(guī)則鏈接，前臺(tái)展示首屏業(yè)務(wù)功能關(guān)鍵個(gè)人信息收集使用列表，保障用戶使用APP前的知情權(quán)。當(dāng)啟用APP首屏功能外的業(yè)務(wù)功能或服務(wù)場(chǎng)景時(shí)，分項(xiàng)告知該功能或服務(wù)收集使用個(gè)人信息詳情。當(dāng)收集使用個(gè)人信息的內(nèi)容、目的、方式、范圍發(fā)生變更時(shí)，或者用戶撤回授權(quán)后重新使用前，需重新告知。

3.2.3 告知方式

根據(jù)APP所提供業(yè)務(wù)功能和服務(wù)的不同，APP可分別制定獨(dú)立的告知內(nèi)容，當(dāng)啟用某功能或服務(wù)時(shí)，分項(xiàng)告知該業(yè)務(wù)功能或服務(wù)所收集使用的個(gè)人信息。并區(qū)分該功能或服務(wù)所收集的必要信息和非必要信息。為易于用戶感知與理解，告知方式可多種多樣，可采用文字、彈窗、動(dòng)畫、短片、互動(dòng)等創(chuàng)新的告知形式。同時(shí)，APP應(yīng)提供可供用戶隨時(shí)查看的個(gè)人信息收集使用規(guī)則入口。

3.3 同意

用戶應(yīng)對(duì)APP所收集使用的個(gè)人信息具有知情權(quán)與選擇權(quán)。APP需征得用戶同意后方可收集和使用個(gè)人信息。用戶是否同意應(yīng)滿足自主性原則，不以欺騙、誤導(dǎo)、強(qiáng)迫等非法手段征得用戶同意。在用戶做出明確的確認(rèn)行為之前，APP不進(jìn)行處理個(gè)人信息的相關(guān)操作。

3.3.1 分項(xiàng)同意

APP按照業(yè)務(wù)功能或服務(wù)分項(xiàng)征求用戶同意，并明確區(qū)分業(yè)務(wù)功能或服務(wù)的必要信息和非必要信息。在首次啟用指定業(yè)務(wù)功能或服務(wù)時(shí)，可征得用戶對(duì)收集必要信息和非必要個(gè)人信息的授權(quán)同意。用戶選擇不同意收集業(yè)務(wù)功能或服務(wù)的必要信息，APP可以拒絕提供相關(guān)業(yè)務(wù)功能或服務(wù)。若用戶選擇不同意收集業(yè)務(wù)功能或服務(wù)的非必要信息，APP不能拒絕提供相關(guān)業(yè)務(wù)功能或服務(wù)。

3.3.2 單項(xiàng)同意

APP在調(diào)用敏感權(quán)限或收集敏感信息時(shí)，應(yīng)通過(guò)彈窗或交互界面等方式，單項(xiàng)即時(shí)性告知并征得用戶的明確同意。一次性收集的，應(yīng)清晰說(shuō)明收集敏感信息的目的、范圍、深度等；多次收集的，還需說(shuō)明收集的頻次。

3.3.3 撤銷同意

在征得用戶同意時(shí)，APP應(yīng)告知撤銷同意的渠道和方式，并且不應(yīng)為撤銷同意設(shè)置障礙。用戶撤銷同意后，APP不應(yīng)再繼續(xù)收集和處理個(gè)人信息，且應(yīng)保證撤回某項(xiàng)同意后不影響用戶其他業(yè)務(wù)功能的正常使用[1]。

3.3.4 再次同意

APP收集使用個(gè)人信息超出同意范圍的，應(yīng)再次告知并征求用戶的同意。APP收集使用的個(gè)人信息范圍將用于個(gè)性化推薦、精準(zhǔn)營(yíng)銷等目的之外的場(chǎng)景，需再次征求用戶的單項(xiàng)同意，并應(yīng)提供隨時(shí)撤銷同意的機(jī)制[1]。

3.4 權(quán)限索取

權(quán)限是為保護(hù)用戶的個(gè)人信息，終端操作系統(tǒng)對(duì)于應(yīng)用訪問(wèn)敏感用戶數(shù)據(jù)或使用特定系統(tǒng)功能的限制與約束。權(quán)限的申請(qǐng)應(yīng)遵循合法正當(dāng)必要原則，做到即時(shí)索取權(quán)限，細(xì)粒度索取權(quán)限，且優(yōu)先采用系統(tǒng)自身功能。APP應(yīng)明確告知拒絕授權(quán)的后果，若用戶拒絕非必要權(quán)限的授權(quán)，不應(yīng)影響業(yè)務(wù)功能的使用[1]。

3.4.1 即時(shí)索權(quán)

APP索取權(quán)限要遵循即時(shí)原則，僅在發(fā)生相關(guān)業(yè)務(wù)場(chǎng)景時(shí)即時(shí)申請(qǐng)權(quán)限。不應(yīng)申請(qǐng)與業(yè)務(wù)場(chǎng)景無(wú)關(guān)的權(quán)限，不能過(guò)早索權(quán)，不能一攬子索權(quán)，不使用的權(quán)限要及時(shí)清理。如在主屏頁(yè)面，不能索取非主屏功能相關(guān)的權(quán)限。

3.4.2 細(xì)粒度索權(quán)

與業(yè)務(wù)無(wú)關(guān)權(quán)限的授予會(huì)導(dǎo)致權(quán)限的濫用，增大應(yīng)用攻擊面，引入用戶敏感數(shù)據(jù)泄露風(fēng)險(xiǎn)[1]。APP應(yīng)根據(jù)業(yè)務(wù)場(chǎng)景的需求，最小粒度的索取系統(tǒng)權(quán)限。如對(duì)于“存儲(chǔ)”“通訊錄”等權(quán)限，按照最小必要原則索取讀、寫、刪等權(quán)限；對(duì)于“位置”權(quán)限，根據(jù)業(yè)務(wù)場(chǎng)景需求，按照最小必要原則索取粗略位置或精準(zhǔn)位置。

3.4.3 優(yōu)先采用系統(tǒng)功能

APP應(yīng)優(yōu)先采用終端提供的功能實(shí)現(xiàn)，避免過(guò)度調(diào)用敏感權(quán)限。例如Android系統(tǒng)為APP分配私有的文件目錄和數(shù)據(jù)存儲(chǔ)空間，在無(wú)合理理由下，APP無(wú)需額外申請(qǐng)存儲(chǔ)權(quán)限[1]。

3.5 權(quán)限使用

APP在征得用戶同意和獲得用戶授權(quán)后，便獲取了訪問(wèn)系統(tǒng)特定功能或用戶敏感數(shù)據(jù)的權(quán)利。鑒于終端權(quán)限管控的粒度較粗，APP在獲得授權(quán)后應(yīng)遵循合理正當(dāng)必要原則，使用系統(tǒng)賦予的權(quán)利，最小化調(diào)用系統(tǒng)提供的功能，最小化訪問(wèn)系統(tǒng)提供的用戶敏感數(shù)據(jù)，對(duì)于未明確告知操作范圍、數(shù)據(jù)范圍、收集頻次和收集深度的授權(quán)，若無(wú)合理業(yè)務(wù)場(chǎng)景，默認(rèn)未獲得用戶授權(quán)同意。

3.5.1 最小化操作范圍

APP應(yīng)告知敏感權(quán)限和敏感數(shù)據(jù)的操作范圍是否包括讀、寫、刪等。若系統(tǒng)未提供較細(xì)粒度的讀寫刪等子權(quán)限，APP不能超出業(yè)務(wù)場(chǎng)景的需求，超范圍訪問(wèn)數(shù)據(jù)或者使用系統(tǒng)功能。如使用“短信驗(yàn)證碼”功能，APP僅可使用短信讀取權(quán)限，不得超范圍使用短信刪除權(quán)限，惡意刪除、改寫短信驗(yàn)證碼信息等。

3.5.2 最小化數(shù)據(jù)范圍

APP應(yīng)告知敏感數(shù)據(jù)的收集范圍，對(duì)于訪問(wèn)用戶敏感數(shù)據(jù)的權(quán)限，若系統(tǒng)未提供數(shù)據(jù)訪問(wèn)范圍限制，APP不能超出業(yè)務(wù)場(chǎng)景的需求，超范圍訪問(wèn)用戶數(shù)據(jù)。如使用選擇通訊錄指定聯(lián)系人，APP不能超范圍訪問(wèn)通訊錄信息，在用戶不知情的情況下收集整個(gè)通訊錄信息。又如客服場(chǎng)景選擇上傳圖片，APP不能超范圍訪問(wèn)圖片信息、在用戶不知情的情況下收集其他圖片的信息等。

3.5.3 最小化收集頻次

APP應(yīng)告知敏感數(shù)據(jù)的收集頻次，若用戶未說(shuō)明收集頻次，且系統(tǒng)未提供訪問(wèn)頻次的管控機(jī)制，敏感數(shù)據(jù)的收集和敏感權(quán)限的使用不能超出業(yè)務(wù)場(chǎng)景的合理需求。如“應(yīng)用軟件列表”未聲明收集頻次，默認(rèn)在用戶同意后一次性收集；外賣類軟件獲得“位置”授權(quán)后，APP只應(yīng)在用戶使用定位功能時(shí)讀取位置信息。

3.5.4 最小化收集深度

對(duì)于“位置”“錄音”“圖片”等敏感數(shù)據(jù)，APP應(yīng)告知收集的精度和深度。如天氣類業(yè)務(wù)場(chǎng)景，若APP未聲明收集深度，默認(rèn)索取粗略定位信息；對(duì)于語(yǔ)音助手類業(yè)務(wù)場(chǎng)景，若APP未聲明，默認(rèn)不采集聲紋信息；對(duì)于圖片類業(yè)務(wù)場(chǎng)景，若APP未聲明，默認(rèn)不收集位置等附加信息。

4 結(jié)束語(yǔ)

隨著移動(dòng)互聯(lián)網(wǎng)的迅猛發(fā)展，用戶個(gè)人信息的敏感性不斷提高，APP違法違規(guī)收集個(gè)人信息成為用戶關(guān)注的焦點(diǎn)。其中APP違反最小必要原則收集使用個(gè)人信息成為當(dāng)前個(gè)人信息保護(hù)工作面臨的主要挑戰(zhàn)，本文研究分析了違規(guī)收集、超范圍收集個(gè)人信息的原因，列出了APP最小必要基本原則，提出了分項(xiàng)告知和單獨(dú)同意機(jī)制，設(shè)計(jì)了權(quán)限索取、數(shù)據(jù)收集的最小化規(guī)范，給出了APP收集使用個(gè)人信息最小必要方案，旨在為深入開展APP治理，推動(dòng)APP產(chǎn)業(yè)健康有序發(fā)展提供技術(shù)支撐。