屢禁不止！近七成用戶遭遇App過度獲取隱私權限

最近，關于外賣App可能“偷聽”用戶的猜測引起許多關注和討論。相關企業(yè)很快否認，強調“監(jiān)聽用戶日常對話并做信息分析”是一種無端猜測，并沒有相應產品設置。雖然如此，但此類討論依然顯示出大多數(shù)用戶對App等網絡應用的愛與恨：既希望更便捷、“更懂我”，又擔心了解太多隱私信息，以至于“太懂我”。

對于這類問題，我國從2017年開始施行的《網絡安全法》確立了網絡運營者收集、使用個人信息必須遵循合法、正當、必要等原則。但隨著用戶個人信息被搜集、存儲的機會越來越多，各類侵犯用戶隱私信息的行為依然層出不窮，一些涉隱私的用戶數(shù)據泄露事件也頻頻發(fā)生，App過度索取權限、超范圍收集、使用個人信息等現(xiàn)象屢禁不止。

針對這類現(xiàn)實問題，前不久閉幕的全國兩會也傳出消息，《個人信息保護法》已被提上本屆全國人大立法日程。3月15日，國家市場監(jiān)管總局、中央網信辦也聯(lián)合發(fā)布了《關于開展App安全認證工作的公告》及實施規(guī)則，以規(guī)范App收集、使用用戶信息特別是個人信息的行為，加強個人信息安全保護。

不過，中國青年報·中青在線記者采訪后了解到，這些監(jiān)管政策在促進隱私保護體系日趨完善的同時，也面臨著不小的阻力。各方也在尋找，除法律法規(guī)等力量以外，還有哪些市場和技術力量可以平衡隱私保護與數(shù)據效率這對矛盾?

屢禁不止！近七成用戶遭遇App過度獲取隱私權限

在搜索引擎中查看了大量關于雅思考試的內容后，武漢大學生林海手機中的購物App首頁就被雅思相關書籍和材料攻陷了。“開始是驚訝，隨后是憤怒，然后又感到害怕。”他這樣形容自己發(fā)現(xiàn)這一事實后的感受。

在當下，此類現(xiàn)象屢見不鮮。另一位大學生楊小葉在手機上安裝了一款鏡子App，在無意間，她發(fā)現(xiàn)這個App竟然“合法”地訪問了她的通訊錄。另一款功能單一的手電筒App甚至冠冕堂皇地要求獲得手機的錄音權限。

2018年7月17日至8月13日，中國消費者協(xié)會組織開展的“App個人信息泄露情況”問卷調查顯示，85.2%的受訪者表示遭遇過App個人信息泄露情況;67.2%的受訪者表示，自己所使用的App在其功能不必要的情況下獲取了手機中的隱私權限。

這項調查還顯示，讀取位置信息權限和訪問聯(lián)系人權限，是安裝和使用手機App時遇到最多的情況，通話記錄、短信記錄、攝像頭、話筒錄音等權限也常常被App要求獲取。

中國政法大學傳播法研究中心副主任朱巍對App過度獲取隱私權限的行為深有體會。他曾在手機上安裝使用過一個著名App，但因為經常發(fā)送廣告，他就把這個App卸載了。但卸載之后，他還是能時不時地收到該App平臺發(fā)來的短信廣告，有時甚至還會根據他所在的城市推送相應的廣告。朱巍猜測，這可能是因為，自己在一開始使用這個App時，就在使用協(xié)議中允許其獲取過多的隱私權限。

觀韜中茂(上海)律師事務所合伙人王渝偉認為，由于許多企業(yè)積弊難改，自身合法合規(guī)和政府執(zhí)法都需要時間和經濟成本，再加上過度收集信息所獲取的經濟收益誘人，這些因素都致使相關法律的推行困難。

騰訊公司法務部數(shù)據及隱私中心負責人黃曉林指出，App獲取用戶權限過多、過度的問題由來已久，有些App超出必要范圍獲取用戶的敏感權限很不應該。但這些現(xiàn)象屢禁不止的原因在于，其所面臨的法律風險可能遠遠小于可以獲得的商業(yè)利益。

黃曉林還補充說，有很多App集成了多種功能，甚至在未來的迭代升級中會具備更多功能，為了實現(xiàn)這些功能，App會要求獲取更多權限。在這種情況下，判斷其是否過度獲取用戶權限，是否合規(guī)，還需要針對每個App的具體功能來做具體判斷。

成效如何？App安全認證開始實施

針對App過度獲取隱私權限等現(xiàn)象，3月15日“國際消費者權益日”當天，國家市場監(jiān)管總局和中央網信辦聯(lián)合出臺了《關于App安全認證的公告》，指定中國網絡安全審查技術與認證中心(ISCCC)為官方認證機構，依據《信息安全技術個人信息安全規(guī)范》來制定技術驗證規(guī)范，對App進行安全認證。

中國青年報·中青在線記者了解到，上述App安全認證相關通道已經于3月21日正式開通。認證秉承自愿原則，按照“技術驗證+現(xiàn)場核查+獲證后監(jiān)督”的模式進行，對于通過認證的App，將鼓勵搜索平臺和應用商店優(yōu)先推薦。針對App中涉及個人信息安全的具體技術驗證規(guī)范已經制定完成，將會對參與驗證的機構公開。

作為互聯(lián)網公司的隱私保護從業(yè)者，黃曉林對上述App認證持相對樂觀的態(tài)度，“對整個行業(yè)，對個體和隱私保護(這方面)，都會有更加正向的作用，會引領各家企業(yè)更加重視這方面的內容。”

黃曉林也指出，目前市場上App數(shù)量眾多，企業(yè)能否花費足夠的時間和經濟成本參與其中還有待觀察。但對占據大多數(shù)市場份額的App和企業(yè)來說，這是一種自我糾錯的過程，可能從源頭上推動企業(yè)更加合規(guī)。他期待，這類App安全認證工作可以在更多技術手段的幫助下，更加自動化、高效率，甚至像殺毒軟件一樣普及，從而進一步推動App合規(guī)運營。

作為長期關注隱私保護領域的律師，王渝偉表示，App安全認證的做法屬于市場調節(jié)的治理方法，將使得隱私治理的手段更加多樣化。不過他也指出，盡管此次App安全認證的框架已定，但是仍存在許多邊界不夠明確的地方。例如，細則中出現(xiàn)了重大信息安全事件這一概念，但現(xiàn)行法律對于如何界定重大信息安全事件尚無明確規(guī)定。

中國網絡安全審查技術與認證中心(ISCCC)相關人員告訴中國青年報·中青在線記者，目前確無對上述概念的明確定義，將會參照部分個人信息安全相關的評估指南來作為評判的標準。從公開的細則來看，目前對于通過認證的App主要的監(jiān)管手段依然是以企業(yè)自查為主，輔之以社會監(jiān)督，但真正交由第三方的監(jiān)督卻十分有限。同時，由于認證是自愿進行，未通過認證的App如何管理依然沒有得到徹底有效的解決。

鼓勵制衡！技術界尋解決方案

對于因大數(shù)據技術的發(fā)展而帶來的隱私保護問題，技術界也在關注并且研究相應的解決辦法。

3月23日，在中國計算機學會青年計算機科技論壇(CCF YOCSEF)舉辦的“人工智能時代，隱私和效率一定是不可調和的嗎?”專題討論中，有技術人員介紹稱，在杭州等地已經在嘗試基于區(qū)塊鏈技術開展隱私保護，大致的思路是利用公有鏈形式開展數(shù)據交易，以聯(lián)盟鏈形式開展數(shù)據加密保護。

對于區(qū)塊鏈技術在隱私保護領域的應用，中國人民大學教授孟小峰指出，去中心化、可溯源的區(qū)塊鏈技術是一個可以研究的隱私保護方向，其有利于在隱私泄露之后溯源、追責，但由于技術尚不成熟、效率不高等問題，區(qū)塊鏈技術應用于隱私保護領域還處于探索階段，而且區(qū)塊鏈的使用成本也較高，監(jiān)管部門或者企業(yè)會否采用尚無法確定。

作為技術界的實踐者，360行業(yè)安全研究中心主任裴志勇認為，采用區(qū)塊鏈或是大數(shù)據技術來監(jiān)測隱私泄露情況在技術上都是可行的，但是在實際操作中則面臨著成本過高和依然需要大量人力資源的問題。

在上述專題討論會議上，裴志勇提出一個設想，將目前應用于云計算領域的“三方制衡原則”引入到App安全監(jiān)管中：將涉隱私的個人數(shù)據所有者、運營者和管理者相分離，避免一個主體既是裁判又是運動員，把這種制衡的能力商業(yè)化，鼓勵一種能夠制衡企業(yè)利用用戶數(shù)據的產業(yè)快速發(fā)展，從而形成長期持續(xù)的市場化監(jiān)管。

作為法律學者，朱巍認可裴志勇提出的上述觀點。“不能一個人又當運動員，又當裁判，政府不行，企業(yè)也不行。”他認為，即將出臺的個人信息保護法需要作出底線規(guī)定，讓個人信息保護真正回歸到個人權利本身，在此基礎上，通過企業(yè)之間的相互競爭與制衡，尋找更多更可行的辦法。

關鍵詞： App 過度獲取隱私權限