王超

2018年伊始，支付寶因年度賬單事件被約談，百度因旗下APP涉嫌侵犯隱私被起訴。以上兩件事，體現(xiàn)了我國政府對個人隱私安全的重視，也客觀反映出移動APP過度獲取用戶權(quán)限、隱私條款冗長晦澀、平臺應(yīng)用權(quán)責(zé)不清等亂象的廣泛存在。2018年1月，《信息安全技術(shù) 個人信息安全規(guī)范》（簡稱《規(guī)范》）國家標(biāo)準(zhǔn)正式發(fā)布，及時填補了個人信息保護(hù)中諸多技術(shù)細(xì)節(jié)與實操領(lǐng)域規(guī)范的空白，被認(rèn)為是走出APP個人隱私安全困境的一步好棋。應(yīng)積極開展《規(guī)范》的宣貫，推動其認(rèn)真全面實施。

移動APP的廣泛應(yīng)用 易引發(fā)新的隱私安全問題

APP獲取非必要用戶權(quán)限，過度收集用戶的個人信息。APP需獲取相應(yīng)權(quán)限方能正常使用，但隨著用戶信息價值的日益提升，大量獲取非必要用戶權(quán)限，大肆索取用戶信息已成為APP的“通行做法”。2018年1月，騰訊社會研究中心與DCCI互聯(lián)網(wǎng)數(shù)據(jù)中心聯(lián)合發(fā)布的《2017年度網(wǎng)絡(luò)隱私安全及網(wǎng)絡(luò)欺詐行為分析報告》顯示，2017年下半年，98.5%的Android應(yīng)用會獲取用戶手機隱私權(quán)，9%的 Android應(yīng)用存在越界獲取用戶手機隱私權(quán)限的情況。2017年7月，江蘇省消費者權(quán)益保護(hù)委員會對購買類、閱讀類、支付類等領(lǐng)域27款A(yù)PP的隱私安全調(diào)查顯示，絕大多數(shù)APP在安裝時申請了大量的手機權(quán)限，遠(yuǎn)遠(yuǎn)超出APP正常服務(wù)所必須獲取的權(quán)限。如某天氣類應(yīng)用，需要收集用戶的通訊錄信息；某手電筒應(yīng)用， 需要調(diào)用手機的位置信息等。百度“手機百度”“百度瀏覽器” 兩款A(yù)PP甚至在未取得用戶同意的情況下，獲取“監(jiān)聽電話、定位、讀取短彩信、讀取聯(lián)系人、修改系統(tǒng)設(shè)置”等多種權(quán)限，且因企業(yè)拒不整改而被起訴。

APP隱私條款冗長晦澀，難以充分保障用戶的知情權(quán)。APP隱私條款是數(shù)據(jù)控制者告知用戶其個人信息收集和使用規(guī)則的慣常做法。長期以來，APP隱私條款一直存在冗長晦澀、難以理解的問題，告知用戶的效果并不理想。2017年7月， 中央網(wǎng)信辦、工信部等四部門啟動個人信息保護(hù)提升行動之隱私條款專項工作，在對微信、支付寶等10款A(yù)PP進(jìn)行隱私條款評審時發(fā)現(xiàn)，隱私條款多數(shù)存在以下問題：隱私條款籠統(tǒng)不清，未明確說明收集使用個人信息的目的、方式、范圍、保存期限和地點；不主動向用戶展示隱私條款；隱私條款晦澀冗長；以默認(rèn)勾選、“一攬子打包”授權(quán)等形式征求用戶授權(quán)，未充分保障用戶選擇權(quán)等。

平臺類APP和第三方應(yīng)用共享用戶個人信息，用戶合法權(quán)益受到威脅。目前，支付寶、微信等平臺類APP依托平臺優(yōu)勢，吸引大量第三方應(yīng)用入駐平臺，圍繞平臺打造數(shù)字生態(tài)系統(tǒng)。作為個人信息收集的重要入口，第三方應(yīng)用在獲取用戶個人信息過程中，存在不單獨向個人信息主體征得同意、未經(jīng)用戶授權(quán)與平臺類 APP 共享數(shù)據(jù)、超應(yīng)用范圍共享平臺類 APP 數(shù)據(jù)等情況，2018年1月發(fā)生的支付寶年度賬單事件，就是典型的例子。同時，第三方應(yīng)用與平臺類APP關(guān)于個人信息保護(hù)的權(quán)責(zé)關(guān)系尚無清晰界定，用戶信息保護(hù)責(zé)任難以隨著數(shù)據(jù)轉(zhuǎn)移進(jìn)行傳導(dǎo)，一旦發(fā)生用戶信息泄露事件，極易導(dǎo)致第三方應(yīng)用與平臺類 APP 互相推諉，使用戶合法權(quán)益得不到保障。

《規(guī)范》是走出APP安全隱私困境的一步好棋

《規(guī)范》提出了目的明確、選擇同意、最少夠用原則，約束APP對個人信息的過度收集行為?！兑?guī)范》要求，APP開展收集、使用等個人信息處理活動應(yīng)具有合法、正當(dāng)、必要、明確的個人信息處理目的，應(yīng)向個人信息主體明示個人信息處理目的、方式、范圍，并征求其授權(quán)同意，應(yīng)根據(jù)處理目的僅處理所需的最少類型和數(shù)量的個人信息?！兑?guī)范》還提出了區(qū)分核心功能和附加功能的要求，APP可對核心功能所需的信息進(jìn)行必要收集，但必須保證用戶能隨時開啟或者關(guān)閉附件功能收集信息的權(quán)限。

《規(guī)范》明確了公開透明原則，提出隱私條款的推薦描述方式。《規(guī)范》要求，APP開展收集、使用等個人信息處理活動，應(yīng)以明確、易懂和合理的方式公開處理個人信息的范圍、目的、規(guī)則等，并接受監(jiān)督?！兑?guī)范》還通過資料性附錄的方式，提出了隱私條款中關(guān)于APP收集和使用個人敏感信息，以及共享、轉(zhuǎn)讓、公開披露個人信息等事項的推薦描述方式，在強化告知效果方面極具啟示作用。《規(guī)范》強調(diào)了責(zé)權(quán)一致、確保安全的原則，界定了共同個人信息控制者的權(quán)責(zé)關(guān)系?！兑?guī)范》高度重視個人信息控制的權(quán)責(zé)統(tǒng)一，要求個人信息控制者通過管理措施和技術(shù)手段，確保個人信息的保密性、完整性、可用性，并對個人信息主體合法權(quán)益造成的損害承擔(dān)責(zé)任。 針對平臺類APP和第三方應(yīng)用共享用戶個人信息的情況，《規(guī)范》要求個人信息控制者通過合同等形式與第三方共同確定應(yīng)滿足的個人信息安全要求，以及各自承擔(dān)的責(zé)任和義務(wù)，并向個人信息主體明確告知。

《規(guī)范》實施面臨的主要難點及對策建議

國家標(biāo)準(zhǔn)全面應(yīng)用的社會環(huán)境尚未形成，應(yīng)加強政策引導(dǎo)，提高各方的自覺性、主動性。政府部門對標(biāo)準(zhǔn)應(yīng)用的政策引導(dǎo)不足，加之企業(yè)普遍重利益、輕安全， 尚未形成爭相應(yīng)用標(biāo)準(zhǔn)的社會環(huán)境。因此，要進(jìn)一步發(fā)揮政府部門在標(biāo)準(zhǔn)實施中的推進(jìn)作用，加快制《數(shù)據(jù)安全管理辦法》，借鑒《規(guī)范》中相關(guān)內(nèi)容，規(guī)范個人信息收集、存儲、傳輸、處理等行為。對積極落實《規(guī)范》各項要求的企業(yè)， 在投融資、財稅等方面給予一定的政策支持；對落實不積極、不到位的企業(yè)要進(jìn)行約談、通報。支持相關(guān)行業(yè)組織加強自律，鼓勵企業(yè)和行業(yè)組織發(fā)起并遵守個人信息保護(hù)倡議，帶頭規(guī)范個人信息管理，帶動行業(yè)個人信息保護(hù)水平的整體提升。

缺乏有效監(jiān)管將導(dǎo)致標(biāo)準(zhǔn)實施打折扣，應(yīng)切實加強數(shù)據(jù)安全監(jiān)管工作。以網(wǎng)絡(luò)安全標(biāo)準(zhǔn)為重要依據(jù)的監(jiān)管活動數(shù)量少、力度弱，企業(yè)不遵守標(biāo)準(zhǔn)的成本損失普遍較低，導(dǎo)致標(biāo)準(zhǔn)實施打折扣。要圍繞落實網(wǎng)絡(luò)安全法，以《規(guī)范》為重要參考依據(jù)，持續(xù)強化數(shù)據(jù)安全監(jiān)管，推動各行業(yè)提升個人信息保護(hù)水平。一方面，行業(yè)主管部門要結(jié)合實際，盡快啟動數(shù)據(jù)安全專項治理行動，加強對企業(yè)收集、 存儲、使用、交易等個人信息的監(jiān)管，加大對侵犯個人信息違法犯罪行為的打擊力度，整治行業(yè)數(shù)據(jù)收集、使用亂象。另一方面，國家網(wǎng)信部門要繼續(xù)深入開展隱私條款專項工作，推動增強APP隱私條款的規(guī)范性、可讀性。加強對評審APP產(chǎn)品的合規(guī)性技術(shù)檢測，確保APP產(chǎn)品整改到位，切實維護(hù)用戶合法權(quán)益。社會各界目前對標(biāo)準(zhǔn)的認(rèn)知程度不夠，應(yīng)強化對標(biāo)準(zhǔn)的宣傳培訓(xùn)和專業(yè)性解讀。標(biāo)準(zhǔn)宣傳的手段單一、專業(yè)性解讀不足將嚴(yán)重影響網(wǎng)絡(luò)安全從業(yè)者知標(biāo)準(zhǔn)、學(xué)標(biāo)準(zhǔn)、懂標(biāo)準(zhǔn)、用標(biāo)準(zhǔn)。要充分利用傳統(tǒng)媒體和互聯(lián)網(wǎng)等渠道，加強對《規(guī)范》的宣傳報道。加快制定《規(guī)范》的解讀、案例等配套文件，在全國范圍內(nèi)組織舉行宣貫會，邀請《規(guī)范》編寫者等熟悉標(biāo)準(zhǔn)的專家學(xué)者進(jìn)行培訓(xùn)，推動應(yīng)用部門、企業(yè)、科研院所等機構(gòu)和人員在《規(guī)范》的學(xué)懂、弄通、做實上下功夫，引導(dǎo)政府、機構(gòu)、企業(yè)等以《規(guī)范》里個人信息保護(hù)合規(guī)性要求為準(zhǔn)繩，將個人信息保護(hù)各項措施落實到位。