工業和信息化部對侵害用戶權益行為的手機應用軟件進行通報，這是今年以來的第三批通報名單。截至目前，工業和信息化部已對今年檢查出的存在問題的89款App進行了通報。《法治日報》記者註意到，“私自收集個人信息”“私自共享給第三方”“過度索取權限”等是這次通報的主要問題。

同日，工業和信息化部發布《關於開展縱深推進App侵害用戶權益專項整治行動的通知》，專項整治時間為通知印發之日至2020年12月10日。重點整治App、SDK未告知用戶收集個人信息的目的、方式、範圍且未經用戶同意，私自收集用戶個人信息的行為。

近年來，通報App違規現象並不少見，涉及軟件數量日益增多，側面暴露了我國公民個人信息保護的短板和難題。

應用軟件越界索權

私自共享缺乏監督

在互聯網時代，大數據在提供便利的同時也帶來了隱私被洩露的潛在危險。身份證號碼、手機號碼、購買記錄、行車路線等個人信息都在數據庫裡一覽無餘。“大數據殺熟”“大數據二次販賣”等現像也層出不窮。

消費記錄被購物App分析，出行住宿被旅行App掌握，行車線路也被導航App知道得一清二楚……在互聯網大數據面前，普通用戶幾乎是“裸體”的，而一旦這些數據被洩露，後果不堪設想。更為嚴重的是，一些手機App從一開始的信息採集就是過度的。

2019年年初，中央網信辦、工業和信息化部、公安部、市場監管總局對外發布《關於開展App違法違規收集使用個人信息專項治理的公告》，中國消費者協會、中國互聯網協會等聯合成立App專項治理工作組，對用戶數量大、與民眾生活密切相關的App的隱私政策和個人信息收集使用情況進行評估。

然而，在專項治理的攻勢下，App過度採集個人信息的問題並未得到遏制。

2019年7月16日，上述App專項治理工作組發布通知，稱有40款App在個人信息收集方面存在問題，且未公開有效聯繫方式。工作組敦促這40款App的運營者30日內完成整改，並向工作組提交整改報告。這份通知顯示，Wi-Fi萬能鑰匙、同花順、墨跡天氣、安居客、糗事百科、起點讀書等常見的App，都在需要整改的名單之中。

據了解，一般來說，App的安裝和使用只能對一些必要的權限徵求使用人的同意。在使用安卓系統的手機中，有以下幾個權限最常被調取，其一是“讀取已安裝應用列表”，藉此可以了解和分析用戶的使用習慣；其二是“讀取本機識別碼”，主要用來確定用戶的身份；其三是“讀取位置信息”，通過獲取位置，蒐集用戶的活動範圍，例如導航類軟件就必須調取這一權限。

然而，在現實生活中，許多App普遍存在越界索權現象，比如視頻類App要求讀取運動數據、資訊類App要求開啟相機和麥克風錄音權限等。

更為嚴重的是，洩露的信息從一般信息向生物識別信息蔓延。近期，360安全大腦監測到，在金融類移動軟件中，存在一批具有隱秘拍照行為的軟件，以提供借貸服務之名，悄無聲息地進行隱私非法收集行為。據360安全大腦監測數據顯示，截至今年6月中旬，共發現9款軟件，捕獲90個樣本。相比以往，這9款軟件“偷盜”手段略有不同，除了非法收集用戶敏感通訊數據外，還會嘗試對用戶面部圖像進行靜默偷拍與上傳。

除偷拍用戶面部圖像外，這類借貸軟件“掃蕩式”地採集用戶的各種敏感通訊與網絡數據，包括用戶短信、通話記錄、通訊錄、接入網絡等，進行非法收集與明文傳輸。

中國傳媒大學人類命運共同體研究院副院長王四新告訴《法治日報》記者，App超範圍收集個人信息、私自共享給第三方的行為屢禁不止的主要原因是，App在收集使用和向第三方傳輸私人信息的整個流程缺乏有效監督。

“從個人來講，用戶完全沒有知覺，所以沒有辦法進行維權，只能被動地依靠執法機關或者監管機關。此外，這種行為可以獲得多層次的利益回報，再加上企業內部管理不嚴導致目前這種情況比較嚴重。”王四新說。

處罰手段比較有限

違法成本普遍偏低

《法治日報》記者調查發現，今年以來，違法App的種類在發生變化。從國家計算機病毒應急處理中心下架的App來看，今年上半年，直播、社交、外賣、醫療、在線教育等App涉嫌侵犯個人隱私占到很大比重。

儘管App洩露個人信息日益嚴重，但《法治日報》記者梳理髮現，目前對這些App還是以行政處罰為主。《App違法違規收集使用個人信息專項治理報告（2019）》顯示，目前相關部門對App違法行為採取的懲罰措施主要有整改、通報、下架、罰款、查處、行政約談等。

在業內人士看來，責令整改、罰款等處罰措施往往對一些違規App不能產生觸動，“這次錯了，下次還敢上榜單”的現像比比皆是。

工業和信息化部每曝出一批問題App名單，也會給相關App規定整改期限，如對於7月24日公佈的App名單，工信部要求在7月30日之前完成整改。

“違法成本低，監管難度大成為當下監管App違規行為的主要難題。”中國傳媒大學文化產業管理學院法律系主任鄭寧告訴《法治日報》記者，“工業和信息化部如果僅依據相關部門規章進行處罰，只能予以警告和處以一定數額的罰款（通常是3萬元以下），這種處罰力度對違反者而言成本很低。”

上海交通大學數據法律研究中心執行主任何淵認為，目前相關部門對於違法違規收集個人信息的處罰手段有限，主要依靠企業自律，或是監管部門採取限期整改、約談和下架等方式。這也就意味著沒有鋒利的“牙齒”能震懾這類行為。

除了違法成本低的問題外，監管部門還面臨企業用戶雙方需求難以平衡的困境。

有媒體報導稱，企業收集用戶隱私信息可以用來作為用戶畫像，便於發送廣告，合理的廣告訴求應該予以理解，“一些小微企業的收入來源就是App中的廣告，如果採用’一刀切’的方式完全禁止發廣告，一些App就無法生存。但從用戶的直觀角度考慮，用戶有可能認為自己的隱私信息遭到了竊取。此時監管部門需要綜合考慮用戶與企業雙方的需求”。

有監管層人士介紹說，目前查到一些App存在侵權問題時，他們會直接與App運營企業聯繫要求對方進行整改，對於比較容易整改的問題，如App註銷難等，企業可以很快出台註銷方式，用戶也能簡單地發現這一改變，因此關於註銷難的整改容易推進；但私自收集個人信息的問題就較為複雜，如一些App出於使用目的不得不收集必要的個人信息，此時如何判斷什麼屬於“私自收集”往往較麻煩，這可能是App通報名單中“私自收集個人信息”問題始終存在的原因之一。

北京師範大學法學院教授劉德良告訴《法治日報》記者：“企業收集用戶隱私信息可以用來作為用戶畫像，可以更精準地為用戶提供服務。另外，合理收集個人信息，也便於精準地發送廣告來維持企業生產，這種合理的訴求應該予以理解。”

但是，劉德良認為，個人信息和個人隱私要作區分，互聯網搜索信息偏向等數據屬於正常的個人信息片段，企業收集這類信息後只要不進行電話騷擾，合理推送廣告和產品推薦並不屬於隱私侵犯。

如何平衡兩者的需求關係，鄭寧的意見是：“個人信息兼具個人利益和公共利益，監管部門應該平衡用戶的個人信息權益以及企業的創新發展。隨著網絡技術進步和數字經濟的發展，收集使用個人信息的手段和方式日益多樣化、複雜化，通過立法、行政執法和司法加強個人信息保護是非常必要的，但是在大數據、人工智能時代，信息只有在合理流動和使用中才能發揮其價值。”

努力平衡各方需求

監管亟須落到實處

去年年底，國家互聯網信息辦公室、工業和信息化部等四部門印發《App違法違規收集使用個人信息行為認定方法》，對於如何界定App明確告知收集使用個人信息等行為作出了詳細的解釋。App專項治理工作組有關專家曾對該認定方法進行解讀，未明示收集使用個人信息的目的、方式和範圍的情況包括，未逐一列出App(包括委託的第三方或嵌入的第三方代碼、插件)收集使用個人信息的目的、方式、範圍等。

App專項治理工作組有關專家解讀稱，App和App中嵌入代碼的第三方收集使用個人信息，都需要採取適當方式通知用戶。“我們曾使用檢測工具檢測到一款App中嵌入了54個SDK，這麼多SDK有沒有個人信息洩露的風險，這些都要提。目前有一些App在整改後做得很到位，有些專門列出了SDK的列表，甚至把第三方共享的接收方都列出來了，如果把明示工作做到這個程度，相信用戶也會提升對App的信任度。”

《法治日報》記者註意到，在立法層面，《網絡安全實踐指南——移動互聯網應用基本業務功能必要信息規範》《App違法違規收集使用個人信息行為認定方法》先後出台，明確了未公開收集使用規則；未明示收集使用個人信息的目的、方式和範圍等6項認定準則，包含31種場景。

當下，我國關於個人信息安全的法律在不斷完善和細化，但監管如何落到實處是當下更值得考慮的問題。

對此，鄭寧建議，監管的完善需要從以下幾個方面進行：第一，互聯網平台應加強對App上架環節的事前審核；第二，建立健全投訴舉報製度，進行相應回應；第三，加大對違法違規App的懲處力度；第四，運用新型監管方式，如信用記錄監管；第五，運用大數據、人工智能等技術進行監管。

“在互聯網時代，任何問題都不能採取’一刀切’的方式，要採取靈活變動的監管辦法。”在王四新看來，要想將監管措施落到實處，需要有更多懂技術、懂業務的專家型人才補充到監管的隊伍裡。在目前這類人才難以滿足監管要求的情況下，可以發揮不同領域的技術人才的作用，同時調動廣大網民的積極性。

“此外，要平衡App開發者或者服務提供者與廣大用戶之間的關係，要求平台履行責任，例如上線時加強審核把關，上線運營過程中增加透明度。同時也要為消費者維護權益降低難度，提供更多便利，讓消費者通過自主的維權活動來保障自身利益。這樣既可將監管落到實處，又能減少監管費用。”王四新說。

王四新認為，App開發者和用戶之間的權利義務關係模式，是隨著相關變量的不斷變化而變化的。從監管的角度來講，就是平衡合理使用與保護隱私權的問題，一方面要保護消費者的合法權益，保證他們的隱私不被過度開發或非法利用，另外一方面也要確保App的開發者能夠有效利用他們提供服務過程中採集的數據，讓這些數據發揮更大的作用。

不過，鄭寧也提出：“如果過度強調個人信息保護，會給互聯網企業造成過重的負擔，不利於產業創新和信息自由流動。”