淺談移動互聯(lián)網(wǎng)應(yīng)用個人信息保護

文/長沙市公安局 劉勇兵 何海林

目前，各式各樣、五花八門的移動互聯(lián)網(wǎng)應(yīng)用日漸成為人們生產(chǎn)生活中不可缺少的工具，APP在架數(shù)量和用戶規(guī)模持續(xù)擴大，在APP帶給我們諸多便利的同時，也帶來了很大的個人信息安全隱患。從經(jīng)濟的角度來看，主要是因為個人信息在人工智能時代顯現(xiàn)出巨大的經(jīng)濟價值，個人信息安全也受到了前所未有的挑戰(zhàn)，存在信息處理者非法、不正當，和過度收集、利用與擅自披露個人信息等問題。加之我國個人信息保護法治體系不盡完善、技術(shù)保護存在瓶頸、個體安全意識仍然薄弱等原因，通過APP泄露個人信息和隱私、侵犯公民個人信息的犯罪行為屢見不鮮。因此，進一步開發(fā)利用APP、科學(xué)有效保護個人信息，已成為社會各界廣泛關(guān)注的熱點問題，加快推動互聯(lián)網(wǎng)APP個人信息保護迫在眉睫。

一、APP個人信息安全問題檢視

（一）APP自身個人信息安全問題突出?！?020年中國手機APP隱私權(quán)限測評報告》數(shù)據(jù)顯示，APP默認調(diào)用相機權(quán)限達97.0%、定位權(quán)限達95%、錄音權(quán)限達85%。雖然目前很多手機自帶安全軟件會提示權(quán)限及風(fēng)險，但APP會采取不間斷提示、功能限制等手段，導(dǎo)致用戶不得不默許權(quán)限?？偟膩砜?，作為收集用戶數(shù)據(jù)的主要入口，APP主要存在六類常見的安全問題：一是個人信息收集使用規(guī)則形同虛設(shè)，存在單方面強制性；二是強制、頻繁、過度索權(quán)成為普遍現(xiàn)象；三是私自、超頻、誘導(dǎo)、超范圍收集問題突出；四是數(shù)據(jù)共享行為不規(guī)范、缺乏約束措施；五是APP內(nèi)無開啟、關(guān)閉個性化服務(wù)選項或在極其隱蔽位置，千方百計設(shè)置障礙；六是設(shè)置不合理障礙、賬號注銷難，存在強制使用現(xiàn)象。

（二）APP個人信息泄露滋養(yǎng)黑灰產(chǎn)業(yè)。個人信息的質(zhì)量是決定個人信息貨幣價值的一個重要因素，質(zhì)量越高的個人信息，其價值也就越高，越容易遭到泄露。目前，個人信息買賣已形成一條規(guī)模大、鏈條長、利益大的產(chǎn)業(yè)鏈，囊括個人信息非法收集買賣上、中、下游全過程。從源頭上看，上游環(huán)節(jié)負責非法獲取并向第三方提供個人信息，主要依靠兩個渠道：一是APP方面過度索取數(shù)據(jù)調(diào)用權(quán)限，任意共享給第三方，進行信息販賣。二是在個人信息相對集中的租賃、賓館、倉儲、物流等行業(yè)，發(fā)生信息“無故”泄露現(xiàn)象，一些企業(yè)內(nèi)部人員利用職務(wù)之便非法出售高價值信息。

（三）“李鬼”APP泛濫威脅個人信息安全?！袄罟怼盇PP是指一些未通過國家APP監(jiān)測中心驗證的非法軟件，目前由于行業(yè)監(jiān)管不力、技術(shù)手段匱乏、經(jīng)濟利益刺激，以及制作成本低、周期短等原因，各類非法APP軟件不斷滋生，特別是在網(wǎng)購、網(wǎng)貸、交通等領(lǐng)域野蠻生長?！袄罟怼盇PP與釣魚網(wǎng)站、虛假網(wǎng)頁如出一轍，故意混淆視聽，通過發(fā)送短信、郵件推送等方式欺騙手段誘使用戶下載注冊，之后通過其他方式進行聯(lián)合詐騙，竊取手機用戶移動支付賬號密碼，或誘導(dǎo)用戶在線支付，又或是惡意扣除賬戶資金，還有的“李鬼”APP在用戶使用后留后門、掛木馬，遠程控制并竊取用戶手機、互聯(lián)網(wǎng)賬戶中的個人信息資料，嚴重危害網(wǎng)絡(luò)安全、財產(chǎn)安全、公共秩序。

二、APP個人信息安全問題產(chǎn)生的原因

（一）公民個人信息保護意識淡薄。個體的信息處理存在差異性, 源于個體的信息理解、信息取舍、信息利用的差異。目前，我國擁有全球最大的網(wǎng)民數(shù)量，超過10億人，但公民整體素質(zhì)偏低、相關(guān)知識匱乏，特別是對個人信息保護的理解和認識不夠，主觀保護、主動保護的意識淡薄，導(dǎo)致不法分子有可乘之機?！?020年中國手機APP隱私權(quán)限測評報告》數(shù)據(jù)顯示，從來不閱讀隱私政策的網(wǎng)民達14.6%，瀏覽但沒有仔細閱讀達48.7%。這反映了中國大部分手機用戶或多或少存在個人信息保護意識淡薄的問題。公民保護個人信息的意識薄弱為不法分子套取、違法泄露以及提供信息創(chuàng)造了條件，客觀上導(dǎo)致APP個人信息泄露愈演愈烈，形成惡性循環(huán)。

（二）立法及執(zhí)法未形成強約束力。法律會影響到基于個人評估的信息價值評估結(jié)果與個人信息的使用價值，奠定了信息市場活動的基礎(chǔ)，規(guī)定了市場發(fā)展的活動范圍、基本方向以及根本目的，從而將個人信息的交易與開發(fā)利用合法化、規(guī)范化，并做好個人信息的保護工作，有助于降低個人信息利用風(fēng)險。我國個人信息未形成清晰的法律保護模式，近年來，有關(guān)個人信息保護的法律法規(guī)陸續(xù)發(fā)布，但大都比較籠統(tǒng)，操作性不強。APP收集用戶信息“正當、合法、必要”3個原則的界定存在爭議，發(fā)生侵權(quán)行為后的舉證難、處罰力度不足等，無法在法律高度形成強約束力、牢牢牽住個人信息安全保護的“牛鼻子”。

（三）部門和行業(yè)監(jiān)管存在漏洞。根據(jù)協(xié)同治理理論，多主體共同參與、主體多元化能夠?qū)崿F(xiàn)優(yōu)勢互補，提高治理效率。但是當前政府部門、行業(yè)之間未能很好協(xié)同。首先，關(guān)于個人信息保護的整體規(guī)定還比較籠統(tǒng)，缺乏具體明確的實施細則和指導(dǎo)意見；其次，對于企業(yè)是否履行保護主體責任缺乏有效監(jiān)管和驗證方式；最后，個人信息的出境機制尚未建立，具體實施細則、管理機構(gòu)還在制定中，相關(guān)管理機制還沒有系統(tǒng)建立。

（四）APP開發(fā)商及運營者缺乏自律和責任感。目前，企業(yè)在其經(jīng)營活動中必須考慮承擔更多的社會責任，除了利潤，還需兼顧利益相關(guān)者利益。APP在運行過程中不可避免地會搜集用戶個人信息，并對信息進行處理，通過人工智能的算法對用戶進行“量身定制”，正如有些學(xué)者所指說：“在人工智能時代的照耀下，個人隱私幾乎無處可藏，這是人工智能與生俱來的‘原罪’”。目前APP收集、使用個人信息規(guī)則通常以隱私政策形式呈現(xiàn)。據(jù)中國消費者協(xié)會調(diào)查結(jié)果顯示，大量APP未遵循知情同意和最小必要兩項個人信息保護基本原則，存在隱私政策缺失、甚至販賣收集的用戶個人信息等。這反映了APP開發(fā)商及運營者缺乏自律，企圖“蒙混過關(guān)”，有目的性地收集用戶個人信息，沒有做到真正意義上的公開透明，對于網(wǎng)絡(luò)空間公民隱私的保護缺乏責任感。

三、APP個人信息保護應(yīng)對策略

個人在使用APP的過程中，個人信息的記錄產(chǎn)生一定的數(shù)據(jù)并存儲于APP和互聯(lián)網(wǎng)之中。因此，個人信息安全問題的實質(zhì)就是數(shù)據(jù)安全問題。個人信息對于人工智能至關(guān)重要，這是由于其具有重要的生產(chǎn)價值，是數(shù)據(jù)產(chǎn)業(yè)新的生產(chǎn)要素。數(shù)據(jù)安全問題的解決不是一蹴而就的，需要多方聯(lián)動，多措并舉。

（一）加強APP個人信息保護立法建設(shè)與執(zhí)法力度。1.依法治國是我國治國理政的基本方式，也是推動互聯(lián)網(wǎng)信息治理的根本保障。首先，相關(guān)部門需要在《個人信息保護法》的基礎(chǔ)上，聚焦APP領(lǐng)域突出問題，進一步加強司法解釋，提高法律法規(guī)的針對性和具體操作性；其次，需要進一步明確合法、正當、誠信三大原則，加大欺騙、誤導(dǎo)等方式處理個人信息的處罰力度；最后，明確法案面向的主體及相關(guān)權(quán)責，又實行監(jiān)督與問責并重的行政監(jiān)管機制與法定認證標準?？偟膩碚f，就是通過強化立法建設(shè)，打造一個以法律為龍頭，法規(guī)、規(guī)章、規(guī)范性文件等為充分的完整APP個人信息保護法律體系。2.良法更要善治。政府有關(guān)部門進一步加大行業(yè)監(jiān)管力度，特別是持續(xù)強化執(zhí)法力度，確保法律法規(guī)的強制力、引導(dǎo)力落到實處。一是在高位上建立APP個人信息保護聯(lián)席會、工作領(lǐng)導(dǎo)小組等機構(gòu)，明確由網(wǎng)信、網(wǎng)安部門牽頭指導(dǎo)，市場監(jiān)管、工信、公安等部門協(xié)調(diào)配合，統(tǒng)籌推進。二是進一步建立完善的APP個人信息監(jiān)管管理機制，明確各部門職責任務(wù)，細化違規(guī)APP處置流程和措施，進一步提升監(jiān)管的規(guī)范性和透明度。三是加強日常監(jiān)督檢查力度。采取多部門聯(lián)合檢查，強化技術(shù)手段支撐加大對APP開發(fā)商和運營主題的監(jiān)督檢查頻次，發(fā)現(xiàn)侵權(quán)問題及時推送，限期整改。

（二）推動行政力量與社會力量共同治理。協(xié)同治理是為推動社會問題的合理解決，政府、企業(yè)及公眾等多元主體發(fā)揮自身優(yōu)勢，建立跨部門協(xié)同合作關(guān)系的一種制度安排。在APP個人信息保護執(zhí)法層面，網(wǎng)信部門、工信部門、公安機關(guān)構(gòu)成了行政監(jiān)管主要力量，隨著APP個人信息安全治理工作的不斷深入，目前已取得巨大的工作成效。但是，筆者認為，行政監(jiān)管單方面治理仍然顯得力量單薄，且在治理中存在監(jiān)管資源消耗問題，需要進一步整合、優(yōu)化治理力量。一方面，推動監(jiān)管執(zhí)法統(tǒng)一化。監(jiān)管執(zhí)法統(tǒng)一化需要進一步發(fā)揮網(wǎng)信部門統(tǒng)籌協(xié)調(diào)作用，統(tǒng)一和細化各行政監(jiān)管部門合規(guī)標準，統(tǒng)一監(jiān)管步調(diào)，合理分配監(jiān)管力量；另一方面，推動合規(guī)治理社會化。一是以分發(fā)平臺作為APP合法合規(guī)問題治理的第一層屏障，行政監(jiān)管部門指導(dǎo)、督促APP分發(fā)平臺落實主體責任；二是鼓勵社會企業(yè)研發(fā)自動化、智能化監(jiān)管技術(shù)手段，以技術(shù)革新促使合規(guī)治理全面鋪開，通過調(diào)動社會面力量促使開發(fā)企業(yè)進行合規(guī)治理。

（三）推進APP生態(tài)鏈各責任主體履行法定義務(wù)。APP個人信息保護是一項系統(tǒng)工程，除需管住APP開發(fā)運營者之外，還需規(guī)范APP第三方服務(wù)提供者、移動智能終端生產(chǎn)企業(yè)和網(wǎng)絡(luò)接入服務(wù)提供者，只有群防群治，才能真正解決問題。具體包括以下幾個主體的責任：1.開發(fā)運營者的責任。APP開發(fā)者應(yīng)貫徹隱私設(shè)計原則，以顯著、清晰的方式定期向用戶呈現(xiàn)APP的個人信息收集使用情況；單獨告知個人敏感信息處理行為；詳盡披露個人信息的接收方；管理并對接入的第三方承擔連帶責任；尊重和平等保護用戶合法權(quán)益；給予用戶自主選擇業(yè)務(wù)功能的權(quán)利；不得欺騙強制誤導(dǎo)用戶啟動APP；保障APP網(wǎng)絡(luò)和數(shù)據(jù)安全。2.第三方服務(wù)主體的責任。制定并公開個人信息處理規(guī)則；如實告知開發(fā)運營者個人信息處理活動；不得未經(jīng)授權(quán)共享轉(zhuǎn)讓個人信息；不得私自調(diào)用權(quán)限；保障個人信息安全。3.網(wǎng)絡(luò)接入服務(wù)提供者的責任。驗證并登記真實身份；按照監(jiān)管部門要求，依法對違規(guī)APP采取停止接入等必要措施，阻止其繼續(xù)違規(guī)侵害用戶個人信息和其他合法權(quán)益。

（四）進一步加強技術(shù)手段研發(fā)力度，更好進行線上自動化監(jiān)管。為保護個人信息安全，APP的設(shè)計需要將隱私保護算法嵌入產(chǎn)品的研發(fā)和應(yīng)用的全過程?！氨Ｗo隱私設(shè)計蘊含七大基本原則：1.隱私保護是主動的而非被動的，是預(yù)防性的而非補救性的；2.隱私保護是默認設(shè)置，即在默認情況下使用最高可能的隱私保護設(shè)置；3.將隱私保護嵌入設(shè)計中；4.隱私保護效果具有正效應(yīng)而非零和效應(yīng)；5.隱私保護貫穿在全生命周期，是全程保護，而非僅在某幾個時間點保護；6.隱私保護具有可見性、透明性和開放性；7.以用戶為中心，尊重用戶隱私。加強APP個人信息保護，技術(shù)支撐是原動力。因此，國家有關(guān)部門要組織行業(yè)優(yōu)勢力量，運用人工智能、大數(shù)據(jù)等技術(shù)，進一步推進“全國APP技術(shù)檢測平臺”建設(shè)，盡快形成覆蓋能力，同時積極提升監(jiān)測智能化、標準化水平，更好實現(xiàn)線上自動化監(jiān)管。要聯(lián)合科研院所、龍頭企業(yè)，進一步探索推進密碼技術(shù)服務(wù)APP個人信息保護策略，通過證書認證、加密傳輸、存儲加密等方式，確保用戶信息傳輸、使用安全。完善各類應(yīng)用商店自檢技術(shù)建設(shè)，統(tǒng)一檢測標準，并同步建立違規(guī)不良APP或企業(yè)黑名單，對于不良APP或相關(guān)企業(yè)禁止其上架。

（五）堅持重拳打擊與強化自我保護并重。APP個人信息保護，必須堅持重拳打擊、合理引導(dǎo)、個人防護，才能更好地保護用戶權(quán)益。在APP個人信息保護合規(guī)監(jiān)管方面，監(jiān)管部門采取行政檢查和行政處罰兩種執(zhí)法手段。自2019年起，各主要監(jiān)管部門整治力度持續(xù)提升、整治范圍不斷擴大，單獨或聯(lián)合開展多個專項整治行動，查處了違規(guī)APP千余款。因此，持續(xù)保持高壓態(tài)勢，持續(xù)重拳打擊違規(guī)APP，是當前保護個人信息隱私的重要手段之一。要充分發(fā)揮社會各界力量，共同營造APP個人隱私保護的良好氛圍。一方面，相關(guān)行業(yè)協(xié)會要進一步加強行業(yè)自律與內(nèi)部懲處機制建設(shè)。對于違規(guī)企業(yè)，在政府處罰基礎(chǔ)上，再進行行業(yè)內(nèi)處罰，讓違規(guī)APP母公司、上游企業(yè)無法立足；另一方面，要進一步發(fā)揮第三方監(jiān)管機構(gòu)作用，加大對企業(yè)日常監(jiān)督管理的力度，向社會定期發(fā)布監(jiān)管報告、安全報告。要探索引入APP上架前、運維中第三方機構(gòu)安全認證制度，探索將APP個人信息控制權(quán)、個人敏感信息第三方代管制度，實現(xiàn)互相監(jiān)督、互相約束。

對于用戶個體來說，一定要樹立個人信息保護意識，提升個人信息安全素養(yǎng)。在日常生產(chǎn)生活過程注意避免個人信息泄露，應(yīng)當熟悉法律賦予的知情權(quán)、同意權(quán)、刪除權(quán)等權(quán)利，在碰到不法侵害時應(yīng)及時拿起法律武器保障自身合法權(quán)益。在日常應(yīng)用中要注意以下幾點：一是堅持從專門軟件市場、正規(guī)官方等安全渠道下載和使用APP產(chǎn)品，筑牢意識屏障；二是要注意選用安全合規(guī)的APP產(chǎn)品和服務(wù)；三是認真閱讀隱私政策，分析和判斷APP處理個人信息是否滿足合法、正當、必要原則；四是關(guān)閉非必要權(quán)限，及時關(guān)閉無關(guān)聯(lián)權(quán)限；五是注冊登錄時謹慎提交個人信息；六是謹慎提供信息進行身份核驗；七是謹慎向第三方頁面提供個人信息；八是不再使用的APP解綁、注銷后，再刪除APP。