郭庆平：规范手机APP对个人信息的收集

随着移动互联网及移动终端的发展，移动互联网应用程序（下称“APP”）已介入移动终端用户生活的方方面面，随之而来的问题是APP违规收集用户个人信息，特别是终端资源数据。APP违规收集用户个人信息侵犯了消费者的权益，也给消费者的个人信息保护带来了挑战，具体表现在以下几方面。 APP收集个人信息情况极为普遍。目前APP违规收集用户个人信息，侵犯消费者权益的现象比较普遍。2018年1月17日，腾讯社会研究中心与互联网数据中心联合发布报告称，对1129款APP获取用户隐私权限情况进行的隐私安全测试结果显示，852个安桌手机APP中有98.5%都要获取用户隐私权限，其中通信社区、影音娱乐类APP更是100%需获取手机隐私权限。APP出于正常使用产品的目的，收集相应的用户个人信息是必要的。然而，APP往往会超出业务服务目的和业务必需的范围，获取不必要的隐私权限，过度收集用户个人信息。APP超过业务必需限度获取用户个人信息主要通过以下三种方式：一是APP经营者倚仗市场优势地位，以功能使用为条件，变相强制获取用户同意收集、使用个人信息的授权；二是在用户协议中使用概括性授权或告知条款，模糊化处理用户同意的个人信息收集和使用授权范围；三是采取默认开启部分权限的方式，获取超出APP基本功能范围的个人信息。 APP实名制成为APP收集个人信息的“令箭”和“帮凶”。网络实名制是加强网络安全管理、促进网络健康的必要条件。《网络安全法》明确规定了网络运营者为用户提供信息发布、即时通信等服务时，应当要求用户提供真实身份信息。国家网信办制定的《移动互联网应用程序信息服务管理规定》《互联网用户账号名称管理规定》《互联网直播服务管理规定》均明确要求要按照“后台实名、前台自愿”的原则，对用户进行真实身份信息认证。但在现有技术条件下，只要在用户网络接入、域名注册和用户入网时进行身份真实性核验，通过技术手段即可以定位到真实用户。在现实中，对APP、互联网用户账号等广泛实行实名制，反而成为服务商扩大收集与服务无关的个人信息的“令箭”和“帮凶”，会造成个人信息泛滥和个人网络生活透明化，为个人信息安全甚至是国家安全埋下隐患。 APP违规收集个人信息侵犯公民个人权利。首先，超过业务必需限度收集个人信息这个行为本身就已侵犯了个人权利。根据《网络安全法》第四十一条的规定，网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息。但实践中，部分APP违规收集个人信息，侵犯个人权利。例如，不经同意自动获取定位信息，侵犯消费者选择权，越界访问手机识别码、手机联系人、获取手机号、读取短信记录等，侵犯消费者个人隐私，部分记账理财APP的界面引导客户输入银行卡号和密码，侵犯消费者的隐私权。其次，收集个人信息后使用不当，侵犯了个人权利。APP利用越界获取的用户隐私权限，私自发送短信、拨打电话、骚扰式营销，既侵犯了消费者的财产安全权，也严重干扰了个人生活安宁。最后，收集个人信息后非法泄露，侵犯了个人权利。有互联网安全专家称，目前八成的网络欺诈场景都来自移动端，移动网络隐私泄露的主要渠道之一就是手机APP泄露。泄露个人信息，不仅侵犯消费者个人隐私，而且个人信息若被不法分子恶意利用，更会导致财产损失及生命安全威胁。 APP领域个人信息保护存在不足。首先，相关立法规定过于原则，缺乏可操作性。《网络安全法》确立了个人信息保护的基本框架，但是仍然有许多具体制度需要进一步细化和明确，特别是关于管理体制等重大问题没有得到解决。2018年5月1日将正式实施的国家标准《信息安全技术个人信息安全规范》明确了七条个人信息安全基本原则，但由于该标准为推荐性国家标准，并无强制执行力，且参与制定该标准的部分专家也认为该标准后续还要根据国家立法来进行相应调整，在许多争议比较大的问题上并不是一步到位的技术规范。其次，个人信息保护执法难，执法效果不理想。执法难主要体现在三方面：一是保护程度界定难，难以准确区别正当或非法使用个人信息；二是信息泄露取证难，难以确定个人信息发生泄露的环节；三是行政处罚的标准难以量化，个人信息违规收集多少条，或非法获利多少应当受到行政处罚，目前没有明确规定。执法难导致APP经营者在收集用户个人信息过程中，相关规定形同虚设。再次，举报难、投诉难、立案难现象比较普遍。目前我国的个人信息保护并没有专职行政机关负责，造成了“投诉无门”的现状，宽松的执法环境与互联网极快的发展速度，造成了APP违规收集个人信息的野蛮发展局面。最后，APP行业自律有待加强。此前行业标准的缺失，容易导致市场竞争的无序，2018年《信息安全技术个人信息安全规范》的实施将及时补位，为当前的市场主体行为作出规范指引，但作为推荐性国家标准，在实践中究竟能起多大的自律约束作用尚未可知。同时，目前APP行业并未成立相关的行业自律组织，自律规定也未出台，个人信息保护基本只能依靠企业的自我约束。 针对上述问题，提出以下几条建议。一是取消APP实名制的要求。鉴于入网实名制已经能够保证国安等部门基于保护网络和公共安全的需要对APP用户真实身份进行追溯，建议取消APP实名制要求，并明确规定APP不得以进行实名认证作为提供服务的前提条件。二是从立法上明确个人信息采集必须严格坚持合法必要原则。为防止网络运营商过度收集个人信息，立法应明确APP只能在必要和最小需求的范围内收集信息，并在限制范围内使用。同时，参考国际经验，进一步明确网络运营者不得以用户未提供业务必需以外的个人信息为由，拒绝提供服务。三是借助大数据加强事前监管，加大行政执法力度。监管部门应借助大数据对APP进行监测，符合条件的提前执法介入，并加大处罚力度，以便能够及时执法，使消费者的个人信息保护切实落地，更好地维护消费者的合法权益。四是畅通举报渠道，建立黑名单和市场禁入机制。监管部门应为消费者提供畅通、便捷的举报渠道，作为事后监管的重要手段，对于APP违规经营者应实行黑名单和禁入机制，并将APP违规经营者黑名单在信用中国网站平台进行公示，对于严重违规的APP实行禁入机制。五是加强APP行业自律约束。推行行业标准规范，赋予用户自主选择权，针对最小需要以外的权限或信息获取，为消费者提供选择权。引导成立行业自律组织，加强行业自律管理，督促APP运营商规范个人信息收集。六是增强APP用户的隐私保护意识。通过公益宣传等形式，引导APP用户从正规渠道下载手机应用，远离越界获取隐私的APP。