剛跟人聊完，很快就能在App中收到相關(guān)推薦內(nèi)容或廣告？日前，“App會偷聽嗎？”成為熱議話題，網(wǎng)民調(diào)侃背后充滿對個人信息安全的擔憂。

2月5日，在工信部召開的App個人信息保護監(jiān)管座談會上，工信部副部長劉烈宏對此表示，一些即時通訊工具、輸入法和地圖導航等App，使用麥克風權(quán)限，讀取文字輸入內(nèi)容后，超出用戶許可范圍（將信息）用于“其他途徑”，帶來了風險隱患。

實際上，違規(guī)收集用戶個人信息是App侵害用戶權(quán)益最常見的一種行為。澎湃新聞（www．thepaper．cn）統(tǒng)計工信部開展專項整治行動以來公開通報的11批違規(guī)App名單，發(fā)現(xiàn)657款App“榜上有名”，UC瀏覽器、360清理大師、達達快送、永輝生活、芒果TV、QQ輸入法等生活各場景中的熱門App曾在列；在16類App中，工具類App被“點名”比率達到15．68％。下架的167款App中，工具類App下架也最多，占比16．67％。

統(tǒng)計數(shù)據(jù)顯示，被通報過的657款App中所涉問題中，有超過50％的為“違規(guī)收集用戶個人信息”，而“App強制頻繁過度索取權(quán)限”、“違規(guī)使用用戶個人信息”的問題在被通報的App中各占20％左右。

此外，工信部組織的11批檢測發(fā)現(xiàn)，被通報的App來自24個應用商店，以騰訊應用寶、豌豆莢、OPPO軟件商店、360手機助手、小米應用商店五大應用程序平臺為主，分別占比24．60％、11．27％、10．83％、10．25％、9．81％。

用戶個人信息一直被App服務提供者視之為“唐僧肉”，不管是在商業(yè)主體的“獲客引流”上，還是在信息泄露后被用于實施電信詐騙上，違規(guī)收集來的用戶個人信息都成為基礎(chǔ)資料。近年來，為違規(guī)App套上“緊箍咒”，阻止其對用戶權(quán)益的侵害，多方在立法、監(jiān)管、行業(yè)自律、技術(shù)維度、用戶自我保護意識等方面尋求“良方”。

個人信息成“唐僧肉”

“網(wǎng)民反映，剛剛聊到某個話題，很快就能在某個App中收到相關(guān)廣告，用戶對此感到很疑惑，這個話題也成為了用戶最為關(guān)切的問題，登上了熱搜榜第一名?！?/p>

2月5日，在工信部召開的App個人信息保護監(jiān)管座談會上，工信部副部長劉烈宏對此表示，一些即時通訊工具、輸入法和地圖導航等App，使用麥克風權(quán)限，讀取文字輸入內(nèi)容后，超出用戶許可范圍（將信息）用于“其他途徑”，帶來了風險隱患。

事實上，用戶個人信息一直被App服務提供者視之為“唐僧肉”。記者統(tǒng)計發(fā)現(xiàn)，在被工信部通報過的657款App中，有超過50％所涉問題為“違規(guī)收集用戶個人信息”。

“這么做多是為了收集用戶的經(jīng)濟狀況、消費偏好、活動區(qū)域等信息，對用戶進行精細的人物畫像，以支持產(chǎn)品研發(fā)更新，或精準推送廣告?！睆V東省公安廳網(wǎng)警總隊案件科副科長黃建邦曾就超范圍收集用戶信息行為如此指出。

記者梳理發(fā)現(xiàn)，成都市中級人民法院2018年10月判決的一起網(wǎng)絡侵權(quán)責任糾紛案中印證了部分App會將收集到的信息用于推送廣告，以此“獲客”。

法院審理查明，早稻App的開發(fā)者系上海合合信息科技發(fā)展有限公司，該公司也為掃描全能王App的開發(fā)者，何某律曾下載注冊過掃描全能王App，合合公司通過掃描全能王App收集了何某律的手機號碼。

獲取信息后，該公司向何某律以短信方式發(fā)送了內(nèi)容為“【早稻】何某律，前同事評價你‘專業(yè)靠譜’并向你推薦107個人脈，還有19個好友在等你cc．co／OypRubuV3m投訴退訂回TD”的消息。何某律以收集個人信息及向其發(fā)送商業(yè)廣告的行為侵權(quán)為由將該公司告上法庭。

另一起在2020年12月判決的隱私權(quán)糾紛二審民事判決書則直接披露部分App會“違規(guī)收集用戶個人信息”。

法院審理查明，App“天天消消樂”開發(fā)企業(yè)樂元素科技（北京）股份有限公司收集、使用信息的目的、方式和范圍并不明確，亦未向用戶提供《隱私政策》的相關(guān)內(nèi)容，在游戲登錄界面及用戶使用相關(guān)功能過程中也未采取其他方式提示存在收集用戶個人信息的情況。在未取得用戶劉某博明確授權(quán)的情況下，存在“全項開啟手機應用權(quán)限，調(diào)用用戶個人手機位置信息”的情況。

而除了商業(yè)行為，一部分來自App違規(guī)收集的用戶個人信息也最終為滋生電信詐騙提供了溫床。

北京市公安局網(wǎng)絡安全保衛(wèi)總隊日前發(fā)布的一篇文章中指出，疫情期間，存在某些違規(guī)App打著疫情監(jiān)測的名義，出現(xiàn)非授權(quán)、超范圍采集使用個人信息等問題，這帶來了用戶個人信息泄露、濫用的風險。而個人信息泄露是詐騙成功實施的關(guān)鍵因素，不法分子在精準掌握用戶個人信息的前提下，能編造出迷惑性更高的詐騙場景，得以實施欺詐。

時至今日，工信部的部長信箱仍能時不時收到用戶對App違規(guī)收集用戶個人信息的投訴。記者僅檢索2020年2月至2021年2月一年時間的留言就發(fā)現(xiàn)，小米手機系統(tǒng)自帶軟件、58同城、拼多多、知乎、京東商城、迅雷、QQ、網(wǎng)易郵箱、阿里云等熱門App均出現(xiàn)在投訴名單中。

實際上，對于App違法收集使用個人信息行為，國家互聯(lián)網(wǎng)信息辦公室秘書局、工業(yè)和信息化部辦公廳、公安部辦公廳、市場監(jiān)管總局辦公廳曾聯(lián)合印發(fā)《App違法違規(guī)收集使用個人信息行為認定方法》的通知。

其中明確指出，“未公開收集使用規(guī)則，未明示收集使用個人信息的目的、方式和范圍，未經(jīng)用戶同意收集使用個人信息，違反必要原則，收集與其提供的服務無關(guān)的個人信息，未經(jīng)同意向他人提供個人信息，未按法律規(guī)定提供刪除或更正個人信息功能或未公布投訴、舉報方式等信息”等六類行為屬于違法違規(guī)收集使用個人信息。

我們生活中所常見的“利用用戶個人信息和算法定向推送信息，未提供非定向推送信息的選項；要求用戶一次性同意打開多個可收集個人信息的權(quán)限，用戶不同意則無法使用”等現(xiàn)象也被認為是違法違規(guī)收集。

記者注意到，工信部曾公布一則數(shù)據(jù)，對于違規(guī)收集個人信息現(xiàn)象的嚴重性可窺一二。

在3480條關(guān)于App違法違規(guī)收集使用個人信息的舉報信息中，26％的App沒有隱私條款或未在隱私條款中明確收集個人信息的目的、方式、范圍；31％的App在申請打開收集個人信息相關(guān)權(quán)限時，未明確告知用戶；20％的App收集與業(yè)務功能無關(guān)的個人信息，如金融借貸App收集用戶通信錄；19％的App未經(jīng)用戶同意，向他人提供設備ID、應用程序列表等個人信息；13％的App強制索要與業(yè)務功能無關(guān)的權(quán)限，如計算器、手電筒App強制要求打開地理位置權(quán)限。

“有的App在商業(yè)利益的驅(qū)動下，未經(jīng)用戶同意便違規(guī)獲取用戶的語音、文字、圖片等輸入信息，實施大數(shù)據(jù)匯聚分析，實現(xiàn)用戶畫像，并進行廣告的精準推送，這些令用戶產(chǎn)生不安甚至焦慮。”工信部副部長劉烈宏在2月5日的監(jiān)管座談會上稱。

用戶的不安攪動起輿論場的熱議，相關(guān)部門亮出“監(jiān)管之刃”。

“App是否在偷聽用戶”的網(wǎng)絡熱議之下，2月5日，工信部在“2021年第2批，總第11批”通報中，首次就“近期社會關(guān)注的麥克風、通訊錄、相冊權(quán)限問題”公開通報26款未完成整改的App，QQ輸入法、墨跡天氣、微商輸入法、聲吧等App因違規(guī)或超范圍收集個人信息被點名。

這也被視為監(jiān)管層向外釋放出對違規(guī)收集用戶個人信息“監(jiān)管趨嚴、回應關(guān)切”的一個明確信號。

違規(guī)App中“違規(guī)收集用戶個人信息”的超50％

針對以違規(guī)收集用戶個人信息為代表的App侵害用戶行為，工信部在2019年11月首次決定組織開展App侵害用戶權(quán)益專項整治行動工作。這一行動也在次年7月向“縱深推進”。

2020年7月，《工業(yè)和信息化部關(guān)于開展縱深推進App侵害用戶權(quán)益專項整治行動的通知》進一步明晰了整治的對象為“App服務提供者、軟件工具開發(fā)包（SDK）提供者、應用分發(fā)平臺”。

“企業(yè)自查自糾、監(jiān)督檢查、結(jié)果處置”是工信部開展App侵害用戶權(quán)益專項整治行動的中三個階段，也是為違規(guī)App套上“緊箍咒”的步驟。

自查自糾主體為App服務提供者和分發(fā)服務提供者，屬于主動行為；監(jiān)督檢查則由工信部組織第三方檢測機構(gòu)對App進行技術(shù)檢測和檢查，重點抽測與群眾生活密切相關(guān)、下載使用量較大的App產(chǎn)品和分發(fā)平臺。

而在結(jié)果處置階段，工信部會對存在問題的App統(tǒng)一進行通報，依法依規(guī)予以處理，具體措施包括責令整改、向社會公告、組織App下架、停止App接入服務，以及將受到行政處罰的違規(guī)主體納入電信業(yè)務經(jīng)營不良名單或失信名單。

澎湃新聞不完全統(tǒng)計，自2019年11月工信部開展整治行動以來，至今已通報11批657款侵害用戶權(quán)益的App被“點名”。

通報的頻率基本是月均一次，通報的數(shù)量變化呈現(xiàn)出“M”型。兩次波峰分別出現(xiàn)在2020年10月27日與2021年1月22日，單次通報數(shù)量的最高峰為“2021年第1批，總第10批”，157款App“榜上有名”。

657款遭通報App涉及教育類、生活服務類、游戲類、社交類、醫(yī)藥健康類等16個類別，其中工具類最多，占比達到15．68％；教育類、生活服務類、視頻直播類、游戲類、交通出行類、電商購物類、社交類緊隨其后，占比在7％－9％之間；母嬰親子類、招聘類較少，占比不足2％。

多數(shù)App在通報后能及時整改，再次被通報的情況較少，但360清理大師、叮嗒出行、千千音樂等26款App被兩次點名。

從通報的App所涉問題看，2019年11月的“工信部信管函〔2019〕337號”整治工作通知將違規(guī)App涉及的問題分成“違規(guī)收集用戶個人信息、違規(guī)使用用戶個人信息、不合理索取用戶權(quán)限、賬號注銷難”四大類及八小類，前五批通報也遵循了這一說法。

2020年7月，“工信部信管函〔2020〕164號164號”整治行動通知則將問題分為“App、SDK違規(guī)處理用戶個人信息，設置障礙、頻繁騷擾用戶，欺騙誤導用戶，應用分發(fā)平臺責任落實不到位”四大類及十小類，后五批通報也沿用了調(diào)整后的問題表述。

綜合上述兩次分類并考慮到統(tǒng)計方便，記者把違規(guī)App所涉問題分為“違規(guī)收集用戶個人信息、違規(guī)使用用戶個人信息、App強制頻繁過度索取權(quán)限、欺騙誤導用戶、應用分發(fā)平臺責任落實不到位、為用戶賬號注銷設置障礙”六類。

經(jīng)不完全統(tǒng)計，多數(shù)App存在的問題數(shù)量控制在3類以內(nèi)，但是王者榮耀助手、閃送、賓果消消消等15款App存在5類及以上的違規(guī)問題。有超過50％的違規(guī)App所涉問題為“違規(guī)收集用戶個人信息”，而“App強制頻繁過度索取權(quán)限”、“違規(guī)使用用戶個人信息”的問題在被通報的App中各占20％左右，其余問題占比較小。

每一批通報發(fā)出后，工信部會組織第三方檢測機構(gòu)核查復檢，對未按要求完成整改或者逾期不整改的App再行通報，并下架處理。

記者不完全統(tǒng)計發(fā)現(xiàn)，工信部官網(wǎng)公布的多批次下架名單共涉及169款App，草莓視頻是唯一一個被兩次通報下架的App。下架App中工具類仍然最多，占比16．67％；生活服務、電商購物類、游戲類、視頻直播類、社交類App緊隨其后，占比在8％－11％之間；整改通報中較多出現(xiàn)的教育類App則較少被下架。

此外，工信部組織的十一批檢測發(fā)現(xiàn)，被通報的App來自24個應用商店，以騰訊應用寶、豌豆莢、OPPO軟件商店、360手機助手、小米應用商店五大應用程序平臺為主，分別占比24．60％、11．27％、10．83％、10．25％、9．81％。

就此，工信部已督促相關(guān)平臺企業(yè)嚴格落實《移動智能終端應用軟件預置和分發(fā)管理暫行規(guī)定》要求，落實企業(yè)主體責任。

“一共實現(xiàn)對62萬款App的技術(shù)檢測工作，責令2234款違規(guī)App進行整改?！痹?021年1月26日國新辦舉行的2020年工業(yè)和信息化發(fā)展情況發(fā)布會上，工信部信息通信管理局局長趙志國公布了連續(xù)兩年開展的專項行動數(shù)據(jù)。

不過，據(jù)公開資料，我國國內(nèi)市場檢測到的App數(shù)量超過500萬款，這一數(shù)字也在不斷增長。就此，由中國信息通信研究院研發(fā)的全國App技術(shù)檢測平臺已經(jīng)啟動，試圖通過集成領(lǐng)先企業(yè)的技術(shù)檢測能力，力爭到2021年實現(xiàn)全年檢測180萬款App的目標。

違法成本低？App治理需打組合拳

如何對違規(guī)App套上“緊箍咒”，阻止對用戶權(quán)益的侵害。近年來，多方在立法、監(jiān)管、行業(yè)自律、技術(shù)維度、用戶自我保護意識等方面試圖尋求“良方”。

記者注意到，除了舉起“監(jiān)管之刃”，近年來《網(wǎng)絡安全法》、《個人信息保護法》、《數(shù)據(jù)安全管理辦法》、《個人信息出境安全評估辦法》、《規(guī)范互聯(lián)網(wǎng)信息服務市場秩序若干規(guī)定》、《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定 》、《移動智能終端應用軟件預置和分發(fā)管理暫行規(guī)定》等系列法律法規(guī)的出臺完善也試圖扎緊對個人信息保護的“制度籬笆”，以規(guī)范秩序。

最新消息也顯示，針對App強制授權(quán)、過度索權(quán)、超范圍收集個人信息等現(xiàn)象大量存在，違法違規(guī)使用個人信息問題突出，《移動互聯(lián)網(wǎng)應用程序個人信息保護管理暫行規(guī)定》即將出臺。

《暫行規(guī)定》共計22條。以App開發(fā)運營者、App分發(fā)平臺、App第三方服務提供者、移動終端電信設備生產(chǎn)者和網(wǎng)絡技術(shù)服務提供者作為重點監(jiān)管服務的對象，規(guī)定了五類主體應當遵循的個人信息保護總體要求和應承擔的義務。相關(guān)主體如果違反規(guī)定，將依次按照通知整改，公開通報，下架處置，斷開接入流程進行處置。

此外，針對一些企業(yè)在整改過程中存在推諉、阻撓、故意拖延的現(xiàn)象，監(jiān)管層召集掌握大量互聯(lián)網(wǎng)用戶信息的主要商事主體負責人，督促就此公開表態(tài)。

2020年11月27日，在全國App個人信息保護監(jiān)管會上，蘇寧控股、螞蟻集團、愛奇藝、360、小米集團、新浪微博、快手、嗶哩嗶哩、滴滴、阿里巴巴集團、百度集團等11家互聯(lián)網(wǎng)公司主要負責人就加強用戶權(quán)益與個人信息保護、規(guī)范信息搜集使用模式、建立健全投訴反饋機制、落實企業(yè)主體責任和法定義務等內(nèi)容做出了公開承諾。

“要把App侵犯用戶權(quán)益整治工作作為各家企業(yè)的核心工作來抓，要一把手負總責?！?月5日的監(jiān)管座談會上，劉烈宏稱，對有令不行、整改不徹底、反復出現(xiàn)問題、搞技術(shù)對抗的企業(yè)和App采取停止接入、行政處罰及信用管理等措施嚴厲處置。

但現(xiàn)實案例反映，僅僅靠監(jiān)管、立法、企業(yè)自覺踐行主體責任等并非能一勞永逸。

在2月5日的監(jiān)管座談會上，劉烈宏也坦言，需打好綜合治理組合拳，需要全社會群策群力?！岸喾焦仓巍f(xié)同發(fā)力?！庇浾卟稍L中，多位長期關(guān)注保護用戶個人信息安全領(lǐng)域的專家也給出了共同意見。

“現(xiàn)在的情況是我們立了法，但法律太松了。”信息安全專家何展強在接受澎湃新聞采訪時認為，整改違規(guī)App，盡量降低個人信息泄露的可能性，出臺法律條例只是第一步，提高相關(guān)法規(guī)的懲罰力度才是關(guān)鍵。

他認為，每個月發(fā)一次公告的震懾力確實有限，很多App開發(fā)者換個版本就能繼續(xù)上線，最重也不過是幾十萬元罰款，違規(guī)所付出的成本遠遠低于它帶來的收益，而諸多擁有國有背景的App運營商同樣存在違規(guī)問題也是“立法不嚴”的原因之一。

“一些App開發(fā)者的行為已經(jīng)違反法律了，單靠工信部通報是沒有用的，需要實質(zhì)性處罰，比如罰款、市場禁入、甚至判刑?！豹毩⑼ㄐ艑＜腋读翆ε炫刃侣勌寡浴?/p>

通信世界全媒體總編輯劉啟誠認為，除處罰力度小之外，用戶不重視自己的數(shù)據(jù)泄露問題也為App一再違規(guī)提供了縫隙，李彥宏曾備受爭議的“隱私換便利”觀點在中國隨處可見。使用者需有自我保護意識和維權(quán)意識，減少非必要App使用的同時，聯(lián)合起來跟過度索取信息的不良廠商說“不”。

賽迪智庫網(wǎng)絡安全研究所所長劉權(quán)在接受媒體采訪時建議，應進一步細化個人信息采集邊界，通過配套標準規(guī)范“明確”不同類型、不同應用場景下的App獲取用戶權(quán)限的范圍，引導開發(fā)商只獲取與業(yè)務功能相關(guān)的權(quán)限，壓縮運營者的自由裁量空間。還可以通過建立獎懲機制，讓應用商店積極參與到審核工作中來。

從技術(shù)維度層面看，可以從移動端系統(tǒng)考慮，比如在App安裝前禁止自動打開權(quán)限，安裝后通過應用日志監(jiān)管權(quán)限打開情況。若App存在“偷聽”、“偷看”等違法收集個人信息行為，系統(tǒng)通過某種方式給用戶做出提示。

同樣，《中國電子報》綜合多位專家觀點后寫到，在個人隱私數(shù)據(jù)保護方面，數(shù)據(jù)輸出方、數(shù)據(jù)采集方和平臺監(jiān)管方皆需承擔相應的責任。

對于App開發(fā)和運營商而言，一方面應加強自律，仔細研究相關(guān)法律、法規(guī)，嚴格遵守知情同意、最小必要等基本原則；另一方面也要提高網(wǎng)絡安全意識，防范數(shù)據(jù)竊取、違規(guī)爬取、采集傳輸泄密等安全風險。而對于應用商店平臺而言，需要進一步樹立責任意識，規(guī)范App審核上架機制，加強操作系統(tǒng)權(quán)限管理能力，積極應用新技術(shù)提升監(jiān)管效率。

對于個人用戶而言，要在使用App過程中加強自我保護意識，謹慎對待收集、使用個人信息行為，善于拒絕不必要的權(quán)限申請。

“App使用者應提升個人信息保護的意識，應該成為一種上網(wǎng)自覺?！蔽靼步煌ù髮W人工智能方向一位在讀研究生向記者吐露，排除偷偷讀取用戶信息，他現(xiàn)在打開App，看到要讀取通訊錄、位置、相機、照片、麥克風等信息，都會先思考下看是否是正常使用App的必要條件，有些完全是過度索權(quán)，不同意也不影響正常使用?！斑@樣做，是給個人信息自我‘加鎖’?！?/p>

（本文原始數(shù)據(jù)來源：工信部官網(wǎng)統(tǒng)計制圖：段景文趙思維）