/彭训文

App在为日常生活提供方便的同时，也带来了用户个人信息泄露的问题。国家互联网信息办公室近日发布《数据安全管理办法（征求意见稿）》，将对包括App在内的泄露个人信息行为作出规范。

评论认为，数据安全管理办法出台后，将有益于保护个人信息安全。 东方IC/图

移动互联时代，使用智能手机并下载安装各类App（应用程序），成为方便日常生活的重要方式。不过，这些App在提供方便的同时，也可能“偷窃”手机号、通讯录、通话记录、短信记录等隐私信息。

2019年5月24日，在中央网信办、工信部、公安部、市场监管总局指导下，App专项治理工作组发布《百款常用App申请收集使用个人信息权限列表》。列表显示，在10大类26项个人信息相关权限中，平均每个App申请收集数目达10项。这些信息很容易落到不法分子手里，成为敲诈勒索等违法犯罪活动的工具。

5月28日，国家互联网信息办公室发布《数据安全管理办法（征求意见稿）》，对公众关注的个人信息安全问题作出回应。专家表示，办法将对“任性”的App立规矩，倒逼网络经营者加强对用户个人信息的保护。

App的“套路”，让用户很受伤

你有没有过这样的经历：刚在购物App上浏览完一些商品，随后另一个新闻资讯客户端就向你推送类似商品广告；刚在社交App上说想出去聚餐，稍后就收到一堆餐馆广告推荐；刚在购房App上浏览完毕，信用贷款电话就打了进来——如果有类似遭遇，那么你的隐私信息很可能已经泄露。

是谁动了我们的个人信息？就是你刚刚浏览过的App。App收集用户隐私信息，给用户带来很大影响。

一是给用户“画像”，帮助商家精准推送广告。所谓精准推送，就是App通过收集、分析用户上网浏览记录，结合用户定位和性别等身份信息，绘制成“用户肖像”，从而实现广告精准推送。信息收集方式多为强迫用户授权或默认勾选，否则无法使用该App。

为测试是否被“画像”，有记者下载并注册了一款社交App，并先后发布论文写作、信用贷款、儿童摄影等3条信息，此前记者并未在其他终端发布或检索过类似信息。约1个小时后，记者登录自己手机上其他几款新闻类App，赫然出现了和这3条信息相关的广告。

专家表示，这种广告被称为“程序化广告”。平台根据用户行为给其打上对应“标签”后，在后台以竞价或自动个性化方式为广告主做精准投放。按照规定，投放此类广告可事先不经用户明确授权，但应确保用户有拒绝权利。不过，大部分App目前并未设置相应关闭按钮，或者将按钮藏在多个操作步骤之后。

二是把用户信息视为“资产”，许进不许出，注销账号和删除个人信息难。很多用户发现，注册一个App账号只需一个手机号及其注册码，而想要注销一个账号往往很难，想清空个人信息更难。

网经社（由浙江互联网金融资产交易中心股份有限公司推出的互联网金融平台）电子商务研究中心法律权益部曾提供了一个用户投诉案例：李先生计划停用某共享单车，注销手机号。因为当初注册该App时使用了个人身份证号，担心信息泄露的李先生申请注销用户账号并解绑身份证。然而，该App客服人员要求他提供个人身份证照片及手持身份证照片。李先生认为这种行为具有强制获取个人敏感信息嫌疑，让人无法接受。

专家表示，App运营者不能过度收集用户信息。在收到用户请求时，App运营者应当在合理时间和代价范围内予以查询、更正、删除或注销账号。

三是泄露用户隐私信息，导致用户利益受损。用户信息泄露存在很多情况，比如App用户隐私信息数据库被黑客入侵、平台出现漏洞等导致信息泄露；比如App将用户信息“打包”出售或用户信息经公司“内鬼”窃取售卖，被不法分子利用等。

网经社电子商务研究中心法律权益部分析师姚建芳表示，目前接到的用户投诉案例集中在信息泄露方面，主要为购物类、金融服务类App，用户因此遭到恐吓、电信诈骗、资产被盗刷等损害。

北京盈科（杭州）律师事务所方超强律师表示，根据《网络交易管理办法》，电商平台在获取个人信息的同时有义务保护信息安全。但在现实中，对“平台存在漏洞导致信息泄露”缺乏相应判断标准，用户因此很难对平台进行追责。

哪些信息收集行为涉嫌“越界”

App专项治理工作组发布的《百款常用App申请收集使用个人信息权限列表》显示，餐饮外卖、地图导航、网上购物、短视频、金融借贷等近20类共100个App，基本都会收集用户26项个人信息中的某几项；超过9成App获取用户精准定位；金融借贷类、工具软件类App获取用户信息项目相对较多。

需要说明的是，App不是不能收集用户个人信息，但不能“越界”、过度，不能强制、超范围索要权限。

App目前收集的个人信息里，哪些属于不宜收集的隐私信息？

中国消费者协会此前发布的《100款App个人信息收集与隐私政策测评报告》显示，多达91款App列出的权限涉嫌“越界”过度收集用户个人信息。其中，用户位置信息、通讯录信息、手机号码等个人信息是被过度收集或使用的主要内容。此外，用户照片、财产信息、生物识别信息、工作信息、交易账号信息、交易记录、上网浏览记录、教育信息、车辆信息以及短信信息等均存在被过度使用或收集的现象。

不过，对于企业收集这些隐私信息是否属于“越界”行为，也有不同声音。

腾讯社会研究中心和DCCI互联网数据中心2019年1月发布的《2018年度网络隐私及网络欺诈行为研究分析报告》显示，安卓端“越界”获取用户隐私权限的App正在逐渐减少，到2018年下半年，仅有2%的App存在“越界”行为。该报告认为，判断App是否“越界”获取隐私权限的标准是App向用户提供的功能是否必须用到相应权限。也就是说，如果确属App功能需要，且经用户授权同意，那么，App相关收集行为就不算“越界”。

各种各样的App应用程序，既方便了生活，也带来了个人信息泄露的可能。东方IC/图

中国社科院信息化研究中心秘书长姜奇平表示，App索权是否“越界”，应以用户是否需要而非企业是否需要为界。他说：“很多收集的数据并不是App自己需要的，有些甚至打着倒卖的坏主意，这对消费者个人隐私、信息安全来说是很大隐患和伤害。”

用户黏性不是企业违规的“底气”

为切实保护个人信息，解决包括因App过度索权造成的用户信息安全等问题，5月28日，国家互联网信息办公室发布《数据安全管理办法（征求意见稿）》，对公众关注的诸多问题进行了回应。

比如，对于规范个人敏感信息收集方式，办法规定，网络运营者以经营为目的收集重要数据或个人敏感信息的，应向所在地网信部门备案。

为约束定向精准推送广告，办法规定，网络运营者应当以明显方式标明“定推”字样；针对App强迫授权或默认勾选等，办法规定，网络运营者不得以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息；针对用户注销账号和删除个人信息难、小程序泄露用户信息后平台责任问题等，办法也进行了明确规定。违规者根据情节轻重，将面临关闭网站、吊销相关业务许可证或吊销营业执照等处罚；构成犯罪的，依法追究刑事责任。

由App专项治理工作组起草的《App违法违规收集使用个人信息行为认定方法（征求意见稿）》也在5月26日结束了意见反馈。这份认定方法对App运营商7种违规收集使用个人信息情形进行了规定，被认为是判定App是否“越界”的重要标准。

“把信息采集主导权、选择权交给消费者，是信息服务的原则性问题。为了收集信息采取胁迫或者误导行为，都是坚决不能被允许的。”姜奇平认为，App治理此前长期收效不大，根本上说是因为一些经营者处理不好社会责任和商业利益的关系。“这不是简单的技术问题，甚至不完全是产业问题，是企业态度问题，现在提升到一定高度来解决很有必要。”

随着相关规定落地，更严格的监管措施势必会对众多App运营商产生影响。相对来说，很多大型互联网企业因为在用户隐私保护方面投入较早、公众监督更多，受到冲击较小。一些中小型App运营商则在个人信息保护方面问题较为突出。

这也意味着，相关以算法推荐为主要机制的App，对接入的第三方应用监管不力不到位的平台，存在强制授权、过度索权、超范围收集个人信息的App运营商将面临整改命运，严重违规的将被清理出市场。

北京亿达（上海）律师事务所律师董毅智表示，多年来，用户基于对App服务的信任而建立起的黏性，如今却成为某些App进行差别定价、数据反复买卖的“底气”，这亟须警惕。同时，这些发布的规定也对同行业、跨行业之间企业联手利用用户个人信息划出了“红线”。

据了解，相关政府部门将建立App个人信息安全认证制度，由具备资质的认证机构依据国家标准对App收集、存储、处理、使用个人信息等行为进行评价，对符合要求的产品颁发证书和标识；同时鼓励搜索引擎和应用商店优先推荐认证App。

相关监管是否会束缚技术创新呢？姜奇平认为，这个问题需要具体分析。他说，对App的治理涉及市场治理、社会治理、政府监管等多个层次，是一个综合问题。在市场配置资源失灵、行业自律不佳等情形下，完善相关法律法规、开展专项整治就极为必要。

“当然，如何平衡好保护与开发利用的关系，这是衡量互联网相关立法和监管质量的重要标准。比较好的做法是既不影响企业技术创新，又能够制止相关歪门邪道行为。这需要各方汇集足够智慧、形成治理合力。”姜奇平说。■