文/長(zhǎng)沙市公安局 劉勇兵 何海林

目前，各式各樣、五花八門的移動(dòng)互聯(lián)網(wǎng)應(yīng)用日漸成為人們生產(chǎn)生活中不可缺少的工具，APP在架數(shù)量和用戶規(guī)模持續(xù)擴(kuò)大，在APP帶給我們諸多便利的同時(shí)，也帶來(lái)了很大的個(gè)人信息安全隱患。從經(jīng)濟(jì)的角度來(lái)看，主要是因?yàn)閭€(gè)人信息在人工智能時(shí)代顯現(xiàn)出巨大的經(jīng)濟(jì)價(jià)值，個(gè)人信息安全也受到了前所未有的挑戰(zhàn)，存在信息處理者非法、不正當(dāng)，和過(guò)度收集、利用與擅自披露個(gè)人信息等問(wèn)題。加之我國(guó)個(gè)人信息保護(hù)法治體系不盡完善、技術(shù)保護(hù)存在瓶頸、個(gè)體安全意識(shí)仍然薄弱等原因，通過(guò)APP泄露個(gè)人信息和隱私、侵犯公民個(gè)人信息的犯罪行為屢見(jiàn)不鮮。因此，進(jìn)一步開發(fā)利用APP、科學(xué)有效保護(hù)個(gè)人信息，已成為社會(huì)各界廣泛關(guān)注的熱點(diǎn)問(wèn)題，加快推動(dòng)互聯(lián)網(wǎng)APP個(gè)人信息保護(hù)迫在眉睫。

一、APP個(gè)人信息安全問(wèn)題檢視

（一）APP自身個(gè)人信息安全問(wèn)題突出。《2020年中國(guó)手機(jī)APP隱私權(quán)限測(cè)評(píng)報(bào)告》數(shù)據(jù)顯示，APP默認(rèn)調(diào)用相機(jī)權(quán)限達(dá)97.0%、定位權(quán)限達(dá)95%、錄音權(quán)限達(dá)85%。雖然目前很多手機(jī)自帶安全軟件會(huì)提示權(quán)限及風(fēng)險(xiǎn)，但APP會(huì)采取不間斷提示、功能限制等手段，導(dǎo)致用戶不得不默許權(quán)限?？偟膩?lái)看，作為收集用戶數(shù)據(jù)的主要入口，APP主要存在六類常見(jiàn)的安全問(wèn)題：一是個(gè)人信息收集使用規(guī)則形同虛設(shè)，存在單方面強(qiáng)制性；二是強(qiáng)制、頻繁、過(guò)度索權(quán)成為普遍現(xiàn)象；三是私自、超頻、誘導(dǎo)、超范圍收集問(wèn)題突出；四是數(shù)據(jù)共享行為不規(guī)范、缺乏約束措施；五是APP內(nèi)無(wú)開啟、關(guān)閉個(gè)性化服務(wù)選項(xiàng)或在極其隱蔽位置，千方百計(jì)設(shè)置障礙；六是設(shè)置不合理障礙、賬號(hào)注銷難，存在強(qiáng)制使用現(xiàn)象。

（二）APP個(gè)人信息泄露滋養(yǎng)黑灰產(chǎn)業(yè)。個(gè)人信息的質(zhì)量是決定個(gè)人信息貨幣價(jià)值的一個(gè)重要因素，質(zhì)量越高的個(gè)人信息，其價(jià)值也就越高，越容易遭到泄露。目前，個(gè)人信息買賣已形成一條規(guī)模大、鏈條長(zhǎng)、利益大的產(chǎn)業(yè)鏈，囊括個(gè)人信息非法收集買賣上、中、下游全過(guò)程。從源頭上看，上游環(huán)節(jié)負(fù)責(zé)非法獲取并向第三方提供個(gè)人信息，主要依靠?jī)蓚€(gè)渠道：一是APP方面過(guò)度索取數(shù)據(jù)調(diào)用權(quán)限，任意共享給第三方，進(jìn)行信息販賣。二是在個(gè)人信息相對(duì)集中的租賃、賓館、倉(cāng)儲(chǔ)、物流等行業(yè)，發(fā)生信息“無(wú)故”泄露現(xiàn)象，一些企業(yè)內(nèi)部人員利用職務(wù)之便非法出售高價(jià)值信息。

（三）“李鬼”APP泛濫威脅個(gè)人信息安全?！袄罟怼盇PP是指一些未通過(guò)國(guó)家APP監(jiān)測(cè)中心驗(yàn)證的非法軟件，目前由于行業(yè)監(jiān)管不力、技術(shù)手段匱乏、經(jīng)濟(jì)利益刺激，以及制作成本低、周期短等原因，各類非法APP軟件不斷滋生，特別是在網(wǎng)購(gòu)、網(wǎng)貸、交通等領(lǐng)域野蠻生長(zhǎng)?！袄罟怼盇PP與釣魚網(wǎng)站、虛假網(wǎng)頁(yè)如出一轍，故意混淆視聽(tīng)，通過(guò)發(fā)送短信、郵件推送等方式欺騙手段誘使用戶下載注冊(cè)，之后通過(guò)其他方式進(jìn)行聯(lián)合詐騙，竊取手機(jī)用戶移動(dòng)支付賬號(hào)密碼，或誘導(dǎo)用戶在線支付，又或是惡意扣除賬戶資金，還有的“李鬼”APP在用戶使用后留后門、掛木馬，遠(yuǎn)程控制并竊取用戶手機(jī)、互聯(lián)網(wǎng)賬戶中的個(gè)人信息資料，嚴(yán)重危害網(wǎng)絡(luò)安全、財(cái)產(chǎn)安全、公共秩序。

二、APP個(gè)人信息安全問(wèn)題產(chǎn)生的原因

（一）公民個(gè)人信息保護(hù)意識(shí)淡薄。個(gè)體的信息處理存在差異性, 源于個(gè)體的信息理解、信息取舍、信息利用的差異。目前，我國(guó)擁有全球最大的網(wǎng)民數(shù)量，超過(guò)10億人，但公民整體素質(zhì)偏低、相關(guān)知識(shí)匱乏，特別是對(duì)個(gè)人信息保護(hù)的理解和認(rèn)識(shí)不夠，主觀保護(hù)、主動(dòng)保護(hù)的意識(shí)淡薄，導(dǎo)致不法分子有可乘之機(jī)?！?020年中國(guó)手機(jī)APP隱私權(quán)限測(cè)評(píng)報(bào)告》數(shù)據(jù)顯示，從來(lái)不閱讀隱私政策的網(wǎng)民達(dá)14.6%，瀏覽但沒(méi)有仔細(xì)閱讀達(dá)48.7%。這反映了中國(guó)大部分手機(jī)用戶或多或少存在個(gè)人信息保護(hù)意識(shí)淡薄的問(wèn)題。公民保護(hù)個(gè)人信息的意識(shí)薄弱為不法分子套取、違法泄露以及提供信息創(chuàng)造了條件，客觀上導(dǎo)致APP個(gè)人信息泄露愈演愈烈，形成惡性循環(huán)。

（二）立法及執(zhí)法未形成強(qiáng)約束力。法律會(huì)影響到基于個(gè)人評(píng)估的信息價(jià)值評(píng)估結(jié)果與個(gè)人信息的使用價(jià)值，奠定了信息市場(chǎng)活動(dòng)的基礎(chǔ)，規(guī)定了市場(chǎng)發(fā)展的活動(dòng)范圍、基本方向以及根本目的，從而將個(gè)人信息的交易與開發(fā)利用合法化、規(guī)范化，并做好個(gè)人信息的保護(hù)工作，有助于降低個(gè)人信息利用風(fēng)險(xiǎn)。我國(guó)個(gè)人信息未形成清晰的法律保護(hù)模式，近年來(lái)，有關(guān)個(gè)人信息保護(hù)的法律法規(guī)陸續(xù)發(fā)布，但大都比較籠統(tǒng)，操作性不強(qiáng)。APP收集用戶信息“正當(dāng)、合法、必要”3個(gè)原則的界定存在爭(zhēng)議，發(fā)生侵權(quán)行為后的舉證難、處罰力度不足等，無(wú)法在法律高度形成強(qiáng)約束力、牢牢牽住個(gè)人信息安全保護(hù)的“牛鼻子”。

（三）部門和行業(yè)監(jiān)管存在漏洞。根據(jù)協(xié)同治理理論，多主體共同參與、主體多元化能夠?qū)崿F(xiàn)優(yōu)勢(shì)互補(bǔ)，提高治理效率。但是當(dāng)前政府部門、行業(yè)之間未能很好協(xié)同。首先，關(guān)于個(gè)人信息保護(hù)的整體規(guī)定還比較籠統(tǒng)，缺乏具體明確的實(shí)施細(xì)則和指導(dǎo)意見(jiàn)；其次，對(duì)于企業(yè)是否履行保護(hù)主體責(zé)任缺乏有效監(jiān)管和驗(yàn)證方式；最后，個(gè)人信息的出境機(jī)制尚未建立，具體實(shí)施細(xì)則、管理機(jī)構(gòu)還在制定中，相關(guān)管理機(jī)制還沒(méi)有系統(tǒng)建立。

（四）APP開發(fā)商及運(yùn)營(yíng)者缺乏自律和責(zé)任感。目前，企業(yè)在其經(jīng)營(yíng)活動(dòng)中必須考慮承擔(dān)更多的社會(huì)責(zé)任，除了利潤(rùn)，還需兼顧利益相關(guān)者利益。APP在運(yùn)行過(guò)程中不可避免地會(huì)搜集用戶個(gè)人信息，并對(duì)信息進(jìn)行處理，通過(guò)人工智能的算法對(duì)用戶進(jìn)行“量身定制”，正如有些學(xué)者所指說(shuō)：“在人工智能時(shí)代的照耀下，個(gè)人隱私幾乎無(wú)處可藏，這是人工智能與生俱來(lái)的‘原罪’”。目前APP收集、使用個(gè)人信息規(guī)則通常以隱私政策形式呈現(xiàn)。據(jù)中國(guó)消費(fèi)者協(xié)會(huì)調(diào)查結(jié)果顯示，大量APP未遵循知情同意和最小必要兩項(xiàng)個(gè)人信息保護(hù)基本原則，存在隱私政策缺失、甚至販賣收集的用戶個(gè)人信息等。這反映了APP開發(fā)商及運(yùn)營(yíng)者缺乏自律，企圖“蒙混過(guò)關(guān)”，有目的性地收集用戶個(gè)人信息，沒(méi)有做到真正意義上的公開透明，對(duì)于網(wǎng)絡(luò)空間公民隱私的保護(hù)缺乏責(zé)任感。

三、APP個(gè)人信息保護(hù)應(yīng)對(duì)策略

個(gè)人在使用APP的過(guò)程中，個(gè)人信息的記錄產(chǎn)生一定的數(shù)據(jù)并存儲(chǔ)于APP和互聯(lián)網(wǎng)之中。因此，個(gè)人信息安全問(wèn)題的實(shí)質(zhì)就是數(shù)據(jù)安全問(wèn)題。個(gè)人信息對(duì)于人工智能至關(guān)重要，這是由于其具有重要的生產(chǎn)價(jià)值，是數(shù)據(jù)產(chǎn)業(yè)新的生產(chǎn)要素。數(shù)據(jù)安全問(wèn)題的解決不是一蹴而就的，需要多方聯(lián)動(dòng)，多措并舉。

（一）加強(qiáng)APP個(gè)人信息保護(hù)立法建設(shè)與執(zhí)法力度。1.依法治國(guó)是我國(guó)治國(guó)理政的基本方式，也是推動(dòng)互聯(lián)網(wǎng)信息治理的根本保障。首先，相關(guān)部門需要在《個(gè)人信息保護(hù)法》的基礎(chǔ)上，聚焦APP領(lǐng)域突出問(wèn)題，進(jìn)一步加強(qiáng)司法解釋，提高法律法規(guī)的針對(duì)性和具體操作性；其次，需要進(jìn)一步明確合法、正當(dāng)、誠(chéng)信三大原則，加大欺騙、誤導(dǎo)等方式處理個(gè)人信息的處罰力度；最后，明確法案面向的主體及相關(guān)權(quán)責(zé)，又實(shí)行監(jiān)督與問(wèn)責(zé)并重的行政監(jiān)管機(jī)制與法定認(rèn)證標(biāo)準(zhǔn)?？偟膩?lái)說(shuō)，就是通過(guò)強(qiáng)化立法建設(shè)，打造一個(gè)以法律為龍頭，法規(guī)、規(guī)章、規(guī)范性文件等為充分的完整APP個(gè)人信息保護(hù)法律體系。2.良法更要善治。政府有關(guān)部門進(jìn)一步加大行業(yè)監(jiān)管力度，特別是持續(xù)強(qiáng)化執(zhí)法力度，確保法律法規(guī)的強(qiáng)制力、引導(dǎo)力落到實(shí)處。一是在高位上建立APP個(gè)人信息保護(hù)聯(lián)席會(huì)、工作領(lǐng)導(dǎo)小組等機(jī)構(gòu)，明確由網(wǎng)信、網(wǎng)安部門牽頭指導(dǎo)，市場(chǎng)監(jiān)管、工信、公安等部門協(xié)調(diào)配合，統(tǒng)籌推進(jìn)。二是進(jìn)一步建立完善的APP個(gè)人信息監(jiān)管管理機(jī)制，明確各部門職責(zé)任務(wù)，細(xì)化違規(guī)APP處置流程和措施，進(jìn)一步提升監(jiān)管的規(guī)范性和透明度。三是加強(qiáng)日常監(jiān)督檢查力度。采取多部門聯(lián)合檢查，強(qiáng)化技術(shù)手段支撐加大對(duì)APP開發(fā)商和運(yùn)營(yíng)主題的監(jiān)督檢查頻次，發(fā)現(xiàn)侵權(quán)問(wèn)題及時(shí)推送，限期整改。

（二）推動(dòng)行政力量與社會(huì)力量共同治理。協(xié)同治理是為推動(dòng)社會(huì)問(wèn)題的合理解決，政府、企業(yè)及公眾等多元主體發(fā)揮自身優(yōu)勢(shì)，建立跨部門協(xié)同合作關(guān)系的一種制度安排。在APP個(gè)人信息保護(hù)執(zhí)法層面，網(wǎng)信部門、工信部門、公安機(jī)關(guān)構(gòu)成了行政監(jiān)管主要力量，隨著APP個(gè)人信息安全治理工作的不斷深入，目前已取得巨大的工作成效。但是，筆者認(rèn)為，行政監(jiān)管單方面治理仍然顯得力量單薄，且在治理中存在監(jiān)管資源消耗問(wèn)題，需要進(jìn)一步整合、優(yōu)化治理力量。一方面，推動(dòng)監(jiān)管執(zhí)法統(tǒng)一化。監(jiān)管執(zhí)法統(tǒng)一化需要進(jìn)一步發(fā)揮網(wǎng)信部門統(tǒng)籌協(xié)調(diào)作用，統(tǒng)一和細(xì)化各行政監(jiān)管部門合規(guī)標(biāo)準(zhǔn)，統(tǒng)一監(jiān)管步調(diào)，合理分配監(jiān)管力量；另一方面，推動(dòng)合規(guī)治理社會(huì)化。一是以分發(fā)平臺(tái)作為APP合法合規(guī)問(wèn)題治理的第一層屏障，行政監(jiān)管部門指導(dǎo)、督促APP分發(fā)平臺(tái)落實(shí)主體責(zé)任；二是鼓勵(lì)社會(huì)企業(yè)研發(fā)自動(dòng)化、智能化監(jiān)管技術(shù)手段，以技術(shù)革新促使合規(guī)治理全面鋪開，通過(guò)調(diào)動(dòng)社會(huì)面力量促使開發(fā)企業(yè)進(jìn)行合規(guī)治理。

（三）推進(jìn)APP生態(tài)鏈各責(zé)任主體履行法定義務(wù)。APP個(gè)人信息保護(hù)是一項(xiàng)系統(tǒng)工程，除需管住APP開發(fā)運(yùn)營(yíng)者之外，還需規(guī)范APP第三方服務(wù)提供者、移動(dòng)智能終端生產(chǎn)企業(yè)和網(wǎng)絡(luò)接入服務(wù)提供者，只有群防群治，才能真正解決問(wèn)題。具體包括以下幾個(gè)主體的責(zé)任：1.開發(fā)運(yùn)營(yíng)者的責(zé)任。APP開發(fā)者應(yīng)貫徹隱私設(shè)計(jì)原則，以顯著、清晰的方式定期向用戶呈現(xiàn)APP的個(gè)人信息收集使用情況；單獨(dú)告知個(gè)人敏感信息處理行為；詳盡披露個(gè)人信息的接收方；管理并對(duì)接入的第三方承擔(dān)連帶責(zé)任；尊重和平等保護(hù)用戶合法權(quán)益；給予用戶自主選擇業(yè)務(wù)功能的權(quán)利；不得欺騙強(qiáng)制誤導(dǎo)用戶啟動(dòng)APP；保障APP網(wǎng)絡(luò)和數(shù)據(jù)安全。2.第三方服務(wù)主體的責(zé)任。制定并公開個(gè)人信息處理規(guī)則；如實(shí)告知開發(fā)運(yùn)營(yíng)者個(gè)人信息處理活動(dòng)；不得未經(jīng)授權(quán)共享轉(zhuǎn)讓個(gè)人信息；不得私自調(diào)用權(quán)限；保障個(gè)人信息安全。3.網(wǎng)絡(luò)接入服務(wù)提供者的責(zé)任。驗(yàn)證并登記真實(shí)身份；按照監(jiān)管部門要求，依法對(duì)違規(guī)APP采取停止接入等必要措施，阻止其繼續(xù)違規(guī)侵害用戶個(gè)人信息和其他合法權(quán)益。

（四）進(jìn)一步加強(qiáng)技術(shù)手段研發(fā)力度，更好進(jìn)行線上自動(dòng)化監(jiān)管。為保護(hù)個(gè)人信息安全，APP的設(shè)計(jì)需要將隱私保護(hù)算法嵌入產(chǎn)品的研發(fā)和應(yīng)用的全過(guò)程。“保護(hù)隱私設(shè)計(jì)蘊(yùn)含七大基本原則：1.隱私保護(hù)是主動(dòng)的而非被動(dòng)的，是預(yù)防性的而非補(bǔ)救性的；2.隱私保護(hù)是默認(rèn)設(shè)置，即在默認(rèn)情況下使用最高可能的隱私保護(hù)設(shè)置；3.將隱私保護(hù)嵌入設(shè)計(jì)中；4.隱私保護(hù)效果具有正效應(yīng)而非零和效應(yīng)；5.隱私保護(hù)貫穿在全生命周期，是全程保護(hù)，而非僅在某幾個(gè)時(shí)間點(diǎn)保護(hù)；6.隱私保護(hù)具有可見(jiàn)性、透明性和開放性；7.以用戶為中心，尊重用戶隱私。加強(qiáng)APP個(gè)人信息保護(hù)，技術(shù)支撐是原動(dòng)力。因此，國(guó)家有關(guān)部門要組織行業(yè)優(yōu)勢(shì)力量，運(yùn)用人工智能、大數(shù)據(jù)等技術(shù)，進(jìn)一步推進(jìn)“全國(guó)APP技術(shù)檢測(cè)平臺(tái)”建設(shè)，盡快形成覆蓋能力，同時(shí)積極提升監(jiān)測(cè)智能化、標(biāo)準(zhǔn)化水平，更好實(shí)現(xiàn)線上自動(dòng)化監(jiān)管。要聯(lián)合科研院所、龍頭企業(yè)，進(jìn)一步探索推進(jìn)密碼技術(shù)服務(wù)APP個(gè)人信息保護(hù)策略，通過(guò)證書認(rèn)證、加密傳輸、存儲(chǔ)加密等方式，確保用戶信息傳輸、使用安全。完善各類應(yīng)用商店自檢技術(shù)建設(shè)，統(tǒng)一檢測(cè)標(biāo)準(zhǔn)，并同步建立違規(guī)不良APP或企業(yè)黑名單，對(duì)于不良APP或相關(guān)企業(yè)禁止其上架。

（五）堅(jiān)持重拳打擊與強(qiáng)化自我保護(hù)并重。APP個(gè)人信息保護(hù)，必須堅(jiān)持重拳打擊、合理引導(dǎo)、個(gè)人防護(hù)，才能更好地保護(hù)用戶權(quán)益。在APP個(gè)人信息保護(hù)合規(guī)監(jiān)管方面，監(jiān)管部門采取行政檢查和行政處罰兩種執(zhí)法手段。自2019年起，各主要監(jiān)管部門整治力度持續(xù)提升、整治范圍不斷擴(kuò)大，單獨(dú)或聯(lián)合開展多個(gè)專項(xiàng)整治行動(dòng)，查處了違規(guī)APP千余款。因此，持續(xù)保持高壓態(tài)勢(shì)，持續(xù)重拳打擊違規(guī)APP，是當(dāng)前保護(hù)個(gè)人信息隱私的重要手段之一。要充分發(fā)揮社會(huì)各界力量，共同營(yíng)造APP個(gè)人隱私保護(hù)的良好氛圍。一方面，相關(guān)行業(yè)協(xié)會(huì)要進(jìn)一步加強(qiáng)行業(yè)自律與內(nèi)部懲處機(jī)制建設(shè)。對(duì)于違規(guī)企業(yè)，在政府處罰基礎(chǔ)上，再進(jìn)行行業(yè)內(nèi)處罰，讓違規(guī)APP母公司、上游企業(yè)無(wú)法立足；另一方面，要進(jìn)一步發(fā)揮第三方監(jiān)管機(jī)構(gòu)作用，加大對(duì)企業(yè)日常監(jiān)督管理的力度，向社會(huì)定期發(fā)布監(jiān)管報(bào)告、安全報(bào)告。要探索引入APP上架前、運(yùn)維中第三方機(jī)構(gòu)安全認(rèn)證制度，探索將APP個(gè)人信息控制權(quán)、個(gè)人敏感信息第三方代管制度，實(shí)現(xiàn)互相監(jiān)督、互相約束。

對(duì)于用戶個(gè)體來(lái)說(shuō)，一定要樹立個(gè)人信息保護(hù)意識(shí)，提升個(gè)人信息安全素養(yǎng)。在日常生產(chǎn)生活過(guò)程注意避免個(gè)人信息泄露，應(yīng)當(dāng)熟悉法律賦予的知情權(quán)、同意權(quán)、刪除權(quán)等權(quán)利，在碰到不法侵害時(shí)應(yīng)及時(shí)拿起法律武器保障自身合法權(quán)益。在日常應(yīng)用中要注意以下幾點(diǎn)：一是堅(jiān)持從專門軟件市場(chǎng)、正規(guī)官方等安全渠道下載和使用APP產(chǎn)品，筑牢意識(shí)屏障；二是要注意選用安全合規(guī)的APP產(chǎn)品和服務(wù)；三是認(rèn)真閱讀隱私政策，分析和判斷APP處理個(gè)人信息是否滿足合法、正當(dāng)、必要原則；四是關(guān)閉非必要權(quán)限，及時(shí)關(guān)閉無(wú)關(guān)聯(lián)權(quán)限；五是注冊(cè)登錄時(shí)謹(jǐn)慎提交個(gè)人信息；六是謹(jǐn)慎提供信息進(jìn)行身份核驗(yàn)；七是謹(jǐn)慎向第三方頁(yè)面提供個(gè)人信息；八是不再使用的APP解綁、注銷后，再刪除APP。