寧華 王艷紅 武林娜 杜云

(1.移動應用創(chuàng)新與治理技術工業(yè)和信息化部重點實驗室，北京 100191；2.中國信息通信研究院泰爾終端實驗室，北京 100191)

0 引言

我國境內移動互聯(lián)網(wǎng)應用(Mobile Application，APP)上架總量已近350萬款，覆蓋經(jīng)濟社會生產(chǎn)生活管理各個方面。APP作為用戶數(shù)據(jù)收集的主要入口之一，違規(guī)收集個人信息、超范圍收集個人信息等問題日益嚴峻，對國家安全、人民利益、產(chǎn)業(yè)健康有序發(fā)展形成嚴重風險挑戰(zhàn)[1]。推動APP依據(jù)最小必要原則收集使用個人信息已成為當務之急。

1 個人信息保護面臨的挑戰(zhàn)

隨著AI、大數(shù)據(jù)等技術的廣泛應用，用戶個人信息的敏感性不斷提高、數(shù)據(jù)范圍不斷擴大，個人信息的數(shù)據(jù)價值得到全面提升，海量相互關聯(lián)的個人數(shù)據(jù)成為分析個人特征的基礎。與此同時，違規(guī)收集個人信息、超范圍收集個人信息成為普遍現(xiàn)象。然而，普通用戶難以察覺個人信息被違規(guī)收集，也缺乏控制的技術手段。

1.1 違規(guī)收集個人信息

APP收集個人信息應向用戶明示并征得用戶同意后進行[2]。盡管當前普遍采用通過隱私政策或用戶協(xié)議的方式向用戶一攬子告知，但仍存在未告知且未征得用戶同意違規(guī)收集IMEI、應用軟件列表、MAC地址等行為。還有的APP未向用戶告知且未經(jīng)用戶同意，利用Cookie等技術手段隱性采集用戶數(shù)據(jù)，生成設備身份標識等。

1.2 過度收集個人信息

APP在征得用戶同意或獲得系統(tǒng)授權后，應遵循合法、正當、必要的基本原則收集使用個人信息。開發(fā)者不應利用能力和信息的不對稱，違反與用戶的約定，或超出業(yè)務場景的合理需求，過度收集個人信息。然而，APP開發(fā)者通常是根據(jù)其市場地位、利潤及不良后果來決定收集使用個人信息的邊界。在獲得用戶的形式授權后，APP普遍存在過度收集個人信息的情況。如無合理業(yè)務場景時超范圍收集語音、圖片、通訊錄信息，超深度收集位置、圖片信息，超頻次收集設備識別碼、應用軟件列表信息等。這些收集行為與用戶意愿不符，普通用戶難以覺察和取證，而開發(fā)者也難以主動進行自我約束。

2 問題分析

APP違規(guī)收集、過度收集個人信息等問題通常伴隨著隱私政策冗長、強制“一攬子同意”、過度索取權限、濫用系統(tǒng)授權等現(xiàn)象。

2.1 告知內容冗長繁瑣且晦澀難懂

目前，APP提供者通常使用隱私政策或用戶協(xié)議等方式，告知APP收集使用個人信息的目的、方式和范圍。APP隱私政策長的接近2萬字，短的也有六七千字，平均字數(shù)在1.3萬左右，按照300 字/min/人的閱讀速度，讀完全文平均需要30 min以上。用戶反映普遍存在讀不完、找不到、看不懂等問題。面對市場化程度和規(guī)范程度都較低的APP，上萬的文字體量、層層嵌套的文件體系和章節(jié)架構、晦澀難懂的文字描述，使得隱私政策和用戶協(xié)議形同虛設，難以擔當告知用戶的責任。對于用戶來說，勾選接受隱私政策和用戶協(xié)議以安裝使用APP實屬無奈之舉。

2.2 一攬子征得用戶同意

APP早期業(yè)務功能比較單一，通常在首次安裝使用時，一次性告知并征得用戶同意，同時索取系統(tǒng)權限。隨著互聯(lián)網(wǎng)業(yè)態(tài)的不斷豐富，APP的業(yè)務功能不斷增加，APP所收集使用的個人信息邊界不斷擴大。當前APP首次啟動時，普遍采用彈窗方式，一攬子征得用戶的同意。用戶不同意將無法使用APP，或者僅能使用瀏覽模式。在一攬子同意的方式下，不區(qū)分首屏功能和其他業(yè)務功能、不區(qū)分必要信息和非必要信息。一方面對于多業(yè)務功能APP，用戶通常只能接受使用所有的業(yè)務功能，APP開發(fā)者只需增加告知條款，形式上具備相關的業(yè)務功能，就可以無所顧忌地收集各種信息；另一方面對于具備壟斷地位的APP，用戶別無選擇，只能同意所有信息被收集。在這種一攬子同意的模式下，用戶除了依靠系統(tǒng)權限給予開關選項的節(jié)制外，基本喪失了選擇“不”的權利。

2.3 權限濫用現(xiàn)象嚴重

在告知并征得用戶同意后，系統(tǒng)權限成為APP收集個人信息的關鍵管控手段[3]?，F(xiàn)有權限管控粒度過粗，權限申請目的告知不同步、權限行為記錄不完善等因素導致APP過度申請權限、濫用系統(tǒng)授予的權限。APP過度濫用權限表現(xiàn)在3個方面：一是無合理業(yè)務場景時，提前索取權限；二是有合理業(yè)務場景時，借機多索取權限；三是索取權限后，超范圍使用權限賦予功能。然而，權限過度濫用用戶易感知，評測時卻存在主觀判定難的情況。有必要制定APP權限最小化規(guī)范，引導APP開發(fā)者遵循合法正當必要原則申請權限，清晰即時告知權限申請目的，運行過程中最小化使用權限，事后自行留存權限行為記錄等。

3 APP最小必要收集個人信息方案

APP收集使用個人信息，普遍包含告知、同意、權限索取、權限使用4個環(huán)環(huán)相扣、互相影響的關鍵方面[4]。為破解一攬子告知同意、過度濫用權限的難題，有必要拆分首屏和其他業(yè)務功能或服務，區(qū)分不同業(yè)務功能或服務的必要信息和非必要信息，優(yōu)化告知、同意、權限索取的時機和方式，規(guī)范權限使用最小化的操作范圍、數(shù)據(jù)范圍、收集頻次、收集深度等，進而提出APP最小必要收集個人信息方案。

3.1 最小必要基本原則

APP可根據(jù)業(yè)務功能或服務的不同，按照約定成俗的方式進行功能模塊劃分，功能模塊也可以繼續(xù)拆解成更小的模塊。在功能模塊下可進一步劃分為收集個人信息的業(yè)務場景，在某些業(yè)務場景下，信息采集需要得到操作系統(tǒng)的授權。以地圖導航類APP為例，典型的功能場景層次架構如圖1所示。可見，在首屏地圖頁面，盡管有當前位置和語音喚醒的場景，但位置和錄音信息對用戶來說均非必要，相關的權限申請用戶也可以拒絕；而在導航功能下，位置信息和位置權限均為必要。

圖1 地圖導航類APP的功能場景層次架構

通過對APP業(yè)務功能或服務，以及業(yè)務場景的解析，告知、同意、權限索取、權限使用可遵循以下最小必要基本原則。

(1)按照業(yè)務功能或服務進行分項告知。

(2)按照業(yè)務功能或服務分項征求用戶同意。

(3)用戶可拒絕業(yè)務功能的非必要信息。

(4)按照業(yè)務場景即時向系統(tǒng)索取權限。

(5)用戶可拒絕非業(yè)務場景所必要的權限。

3.2 告知

當APP出于提供產(chǎn)品或服務的目的收集使用個人信息時，應當在功能開啟前，告知收集使用個人信息的目的、方式和范圍，以及拒絕提供將帶來的影響，以便用戶進行適當?shù)倪x擇。

3.2.1 告知內容

告知內容應包含收集使用個人信息的目的、方式、范圍、內容、頻次、保護措施、公開、轉移、共享等相關內容，同時應明示用戶所擁有的各項權利，如查詢權、拒絕權、更正權和撤銷同意等[5-6]。告知內容應準確、清晰、完整、易懂，符合通用的語言習慣，通過顯著方式對重點條款進行突出呈現(xiàn)，同時應避免歧義，不得恐嚇威脅誘導用戶。當APP收集使用的內容、目的、方式、范圍發(fā)生變更時，應及時重新告知并顯著提示用戶。變更包括但不限于收集使用個人信息的內容增加、目的改變、方式變化等。

3.2.2 告知時機

告知時機應滿足事前就近原則，在用戶作出實質性動作前，給予相應的告知。在用戶決定選擇下載前，在APP下載界面顯著位置告知應用的名稱、包名、版本號、安裝包大小、開發(fā)者、發(fā)布更新日期、權限列表及用途，收集使用個人信息的內容、目的、方式和范圍，以及關鍵個人信息列表等，以保障用戶選擇下載前的知情權。在用戶初次使用APP或注冊使用賬號的場景下，向用戶提供完整的個人信息收集使用規(guī)則鏈接，前臺展示首屏業(yè)務功能關鍵個人信息收集使用列表，保障用戶使用APP前的知情權。當啟用APP首屏功能外的業(yè)務功能或服務場景時，分項告知該功能或服務收集使用個人信息詳情。當收集使用個人信息的內容、目的、方式、范圍發(fā)生變更時，或者用戶撤回授權后重新使用前，需重新告知。

3.2.3 告知方式

根據(jù)APP所提供業(yè)務功能和服務的不同，APP可分別制定獨立的告知內容，當啟用某功能或服務時，分項告知該業(yè)務功能或服務所收集使用的個人信息。并區(qū)分該功能或服務所收集的必要信息和非必要信息。為易于用戶感知與理解，告知方式可多種多樣，可采用文字、彈窗、動畫、短片、互動等創(chuàng)新的告知形式。同時，APP應提供可供用戶隨時查看的個人信息收集使用規(guī)則入口。

3.3 同意

用戶應對APP所收集使用的個人信息具有知情權與選擇權。APP需征得用戶同意后方可收集和使用個人信息。用戶是否同意應滿足自主性原則，不以欺騙、誤導、強迫等非法手段征得用戶同意。在用戶做出明確的確認行為之前，APP不進行處理個人信息的相關操作。

3.3.1 分項同意

APP按照業(yè)務功能或服務分項征求用戶同意，并明確區(qū)分業(yè)務功能或服務的必要信息和非必要信息。在首次啟用指定業(yè)務功能或服務時，可征得用戶對收集必要信息和非必要個人信息的授權同意。用戶選擇不同意收集業(yè)務功能或服務的必要信息，APP可以拒絕提供相關業(yè)務功能或服務。若用戶選擇不同意收集業(yè)務功能或服務的非必要信息，APP不能拒絕提供相關業(yè)務功能或服務。

3.3.2 單項同意

APP在調用敏感權限或收集敏感信息時，應通過彈窗或交互界面等方式，單項即時性告知并征得用戶的明確同意。一次性收集的，應清晰說明收集敏感信息的目的、范圍、深度等；多次收集的，還需說明收集的頻次。

3.3.3 撤銷同意

在征得用戶同意時，APP應告知撤銷同意的渠道和方式，并且不應為撤銷同意設置障礙。用戶撤銷同意后，APP不應再繼續(xù)收集和處理個人信息，且應保證撤回某項同意后不影響用戶其他業(yè)務功能的正常使用[1]。

3.3.4 再次同意

APP收集使用個人信息超出同意范圍的，應再次告知并征求用戶的同意。APP收集使用的個人信息范圍將用于個性化推薦、精準營銷等目的之外的場景，需再次征求用戶的單項同意，并應提供隨時撤銷同意的機制[1]。

3.4 權限索取

權限是為保護用戶的個人信息，終端操作系統(tǒng)對于應用訪問敏感用戶數(shù)據(jù)或使用特定系統(tǒng)功能的限制與約束。權限的申請應遵循合法正當必要原則，做到即時索取權限，細粒度索取權限，且優(yōu)先采用系統(tǒng)自身功能。APP應明確告知拒絕授權的后果，若用戶拒絕非必要權限的授權，不應影響業(yè)務功能的使用[1]。

3.4.1 即時索權

APP索取權限要遵循即時原則，僅在發(fā)生相關業(yè)務場景時即時申請權限。不應申請與業(yè)務場景無關的權限，不能過早索權，不能一攬子索權，不使用的權限要及時清理。如在主屏頁面，不能索取非主屏功能相關的權限。

3.4.2 細粒度索權

與業(yè)務無關權限的授予會導致權限的濫用，增大應用攻擊面，引入用戶敏感數(shù)據(jù)泄露風險[1]。APP應根據(jù)業(yè)務場景的需求，最小粒度的索取系統(tǒng)權限。如對于“存儲”“通訊錄”等權限，按照最小必要原則索取讀、寫、刪等權限；對于“位置”權限，根據(jù)業(yè)務場景需求，按照最小必要原則索取粗略位置或精準位置。

3.4.3 優(yōu)先采用系統(tǒng)功能

APP應優(yōu)先采用終端提供的功能實現(xiàn)，避免過度調用敏感權限。例如Android系統(tǒng)為APP分配私有的文件目錄和數(shù)據(jù)存儲空間，在無合理理由下，APP無需額外申請存儲權限[1]。

3.5 權限使用

APP在征得用戶同意和獲得用戶授權后，便獲取了訪問系統(tǒng)特定功能或用戶敏感數(shù)據(jù)的權利。鑒于終端權限管控的粒度較粗，APP在獲得授權后應遵循合理正當必要原則，使用系統(tǒng)賦予的權利，最小化調用系統(tǒng)提供的功能，最小化訪問系統(tǒng)提供的用戶敏感數(shù)據(jù)，對于未明確告知操作范圍、數(shù)據(jù)范圍、收集頻次和收集深度的授權，若無合理業(yè)務場景，默認未獲得用戶授權同意。

3.5.1 最小化操作范圍

APP應告知敏感權限和敏感數(shù)據(jù)的操作范圍是否包括讀、寫、刪等。若系統(tǒng)未提供較細粒度的讀寫刪等子權限，APP不能超出業(yè)務場景的需求，超范圍訪問數(shù)據(jù)或者使用系統(tǒng)功能。如使用“短信驗證碼”功能，APP僅可使用短信讀取權限，不得超范圍使用短信刪除權限，惡意刪除、改寫短信驗證碼信息等。

3.5.2 最小化數(shù)據(jù)范圍

APP應告知敏感數(shù)據(jù)的收集范圍，對于訪問用戶敏感數(shù)據(jù)的權限，若系統(tǒng)未提供數(shù)據(jù)訪問范圍限制，APP不能超出業(yè)務場景的需求，超范圍訪問用戶數(shù)據(jù)。如使用選擇通訊錄指定聯(lián)系人，APP不能超范圍訪問通訊錄信息，在用戶不知情的情況下收集整個通訊錄信息。又如客服場景選擇上傳圖片，APP不能超范圍訪問圖片信息、在用戶不知情的情況下收集其他圖片的信息等。

3.5.3 最小化收集頻次

APP應告知敏感數(shù)據(jù)的收集頻次，若用戶未說明收集頻次，且系統(tǒng)未提供訪問頻次的管控機制，敏感數(shù)據(jù)的收集和敏感權限的使用不能超出業(yè)務場景的合理需求。如“應用軟件列表”未聲明收集頻次，默認在用戶同意后一次性收集；外賣類軟件獲得“位置”授權后，APP只應在用戶使用定位功能時讀取位置信息。

3.5.4 最小化收集深度

對于“位置”“錄音”“圖片”等敏感數(shù)據(jù)，APP應告知收集的精度和深度。如天氣類業(yè)務場景，若APP未聲明收集深度，默認索取粗略定位信息；對于語音助手類業(yè)務場景，若APP未聲明，默認不采集聲紋信息；對于圖片類業(yè)務場景，若APP未聲明，默認不收集位置等附加信息。

4 結束語

隨著移動互聯(lián)網(wǎng)的迅猛發(fā)展，用戶個人信息的敏感性不斷提高，APP違法違規(guī)收集個人信息成為用戶關注的焦點。其中APP違反最小必要原則收集使用個人信息成為當前個人信息保護工作面臨的主要挑戰(zhàn)，本文研究分析了違規(guī)收集、超范圍收集個人信息的原因，列出了APP最小必要基本原則，提出了分項告知和單獨同意機制，設計了權限索取、數(shù)據(jù)收集的最小化規(guī)范，給出了APP收集使用個人信息最小必要方案，旨在為深入開展APP治理，推動APP產(chǎn)業(yè)健康有序發(fā)展提供技術支撐。