浅谈移动互联网应用个人信息保护

文/长沙市公安局 刘勇兵 何海林

目前，各式各样、五花八门的移动互联网应用日渐成为人们生产生活中不可缺少的工具，APP在架数量和用户规模持续扩大，在APP带给我们诸多便利的同时，也带来了很大的个人信息安全隐患。从经济的角度来看，主要是因为个人信息在人工智能时代显现出巨大的经济价值，个人信息安全也受到了前所未有的挑战，存在信息处理者非法、不正当，和过度收集、利用与擅自披露个人信息等问题。加之我国个人信息保护法治体系不尽完善、技术保护存在瓶颈、个体安全意识仍然薄弱等原因，通过APP泄露个人信息和隐私、侵犯公民个人信息的犯罪行为屡见不鲜。因此，进一步开发利用APP、科学有效保护个人信息，已成为社会各界广泛关注的热点问题，加快推动互联网APP个人信息保护迫在眉睫。

一、APP个人信息安全问题检视

（一）APP自身个人信息安全问题突出。《2020年中国手机APP隐私权限测评报告》数据显示，APP默认调用相机权限达97.0%、定位权限达95%、录音权限达85%。虽然目前很多手机自带安全软件会提示权限及风险，但APP会采取不间断提示、功能限制等手段，导致用户不得不默许权限。总的来看，作为收集用户数据的主要入口，APP主要存在六类常见的安全问题：一是个人信息收集使用规则形同虚设，存在单方面强制性；二是强制、频繁、过度索权成为普遍现象；三是私自、超频、诱导、超范围收集问题突出；四是数据共享行为不规范、缺乏约束措施；五是APP内无开启、关闭个性化服务选项或在极其隐蔽位置，千方百计设置障碍；六是设置不合理障碍、账号注销难，存在强制使用现象。

（二）APP个人信息泄露滋养黑灰产业。个人信息的质量是决定个人信息货币价值的一个重要因素，质量越高的个人信息，其价值也就越高，越容易遭到泄露。目前，个人信息买卖已形成一条规模大、链条长、利益大的产业链，囊括个人信息非法收集买卖上、中、下游全过程。从源头上看，上游环节负责非法获取并向第三方提供个人信息，主要依靠两个渠道：一是APP方面过度索取数据调用权限，任意共享给第三方，进行信息贩卖。二是在个人信息相对集中的租赁、宾馆、仓储、物流等行业，发生信息“无故”泄露现象，一些企业内部人员利用职务之便非法出售高价值信息。

（三）“李鬼”APP泛滥威胁个人信息安全。“李鬼”APP是指一些未通过国家APP监测中心验证的非法软件，目前由于行业监管不力、技术手段匮乏、经济利益刺激，以及制作成本低、周期短等原因，各类非法APP软件不断滋生，特别是在网购、网贷、交通等领域野蛮生长。“李鬼”APP与钓鱼网站、虚假网页如出一辙，故意混淆视听，通过发送短信、邮件推送等方式欺骗手段诱使用户下载注册，之后通过其他方式进行联合诈骗，窃取手机用户移动支付账号密码，或诱导用户在线支付，又或是恶意扣除账户资金，还有的“李鬼”APP在用户使用后留后门、挂木马，远程控制并窃取用户手机、互联网账户中的个人信息资料，严重危害网络安全、财产安全、公共秩序。

二、APP个人信息安全问题产生的原因

（一）公民个人信息保护意识淡薄。个体的信息处理存在差异性, 源于个体的信息理解、信息取舍、信息利用的差异。目前，我国拥有全球最大的网民数量，超过10亿人，但公民整体素质偏低、相关知识匮乏，特别是对个人信息保护的理解和认识不够，主观保护、主动保护的意识淡薄，导致不法分子有可乘之机。《2020年中国手机APP隐私权限测评报告》数据显示，从来不阅读隐私政策的网民达14.6%，浏览但没有仔细阅读达48.7%。这反映了中国大部分手机用户或多或少存在个人信息保护意识淡薄的问题。公民保护个人信息的意识薄弱为不法分子套取、违法泄露以及提供信息创造了条件，客观上导致APP个人信息泄露愈演愈烈，形成恶性循环。

（二）立法及执法未形成强约束力。法律会影响到基于个人评估的信息价值评估结果与个人信息的使用价值，奠定了信息市场活动的基础，规定了市场发展的活动范围、基本方向以及根本目的，从而将个人信息的交易与开发利用合法化、规范化，并做好个人信息的保护工作，有助于降低个人信息利用风险。我国个人信息未形成清晰的法律保护模式，近年来，有关个人信息保护的法律法规陆续发布，但大都比较笼统，操作性不强。APP收集用户信息“正当、合法、必要”3个原则的界定存在争议，发生侵权行为后的举证难、处罚力度不足等，无法在法律高度形成强约束力、牢牢牵住个人信息安全保护的“牛鼻子”。

（三）部门和行业监管存在漏洞。根据协同治理理论，多主体共同参与、主体多元化能够实现优势互补，提高治理效率。但是当前政府部门、行业之间未能很好协同。首先，关于个人信息保护的整体规定还比较笼统，缺乏具体明确的实施细则和指导意见；其次，对于企业是否履行保护主体责任缺乏有效监管和验证方式；最后，个人信息的出境机制尚未建立，具体实施细则、管理机构还在制定中，相关管理机制还没有系统建立。

（四）APP开发商及运营者缺乏自律和责任感。目前，企业在其经营活动中必须考虑承担更多的社会责任，除了利润，还需兼顾利益相关者利益。APP在运行过程中不可避免地会搜集用户个人信息，并对信息进行处理，通过人工智能的算法对用户进行“量身定制”，正如有些学者所指说：“在人工智能时代的照耀下，个人隐私几乎无处可藏，这是人工智能与生俱来的‘原罪’”。目前APP收集、使用个人信息规则通常以隐私政策形式呈现。据中国消费者协会调查结果显示，大量APP未遵循知情同意和最小必要两项个人信息保护基本原则，存在隐私政策缺失、甚至贩卖收集的用户个人信息等。这反映了APP开发商及运营者缺乏自律，企图“蒙混过关”，有目的性地收集用户个人信息，没有做到真正意义上的公开透明，对于网络空间公民隐私的保护缺乏责任感。

三、APP个人信息保护应对策略

个人在使用APP的过程中，个人信息的记录产生一定的数据并存储于APP和互联网之中。因此，个人信息安全问题的实质就是数据安全问题。个人信息对于人工智能至关重要，这是由于其具有重要的生产价值，是数据产业新的生产要素。数据安全问题的解决不是一蹴而就的，需要多方联动，多措并举。

（一）加强APP个人信息保护立法建设与执法力度。1.依法治国是我国治国理政的基本方式，也是推动互联网信息治理的根本保障。首先，相关部门需要在《个人信息保护法》的基础上，聚焦APP领域突出问题，进一步加强司法解释，提高法律法规的针对性和具体操作性；其次，需要进一步明确合法、正当、诚信三大原则，加大欺骗、误导等方式处理个人信息的处罚力度；最后，明确法案面向的主体及相关权责，又实行监督与问责并重的行政监管机制与法定认证标准。总的来说，就是通过强化立法建设，打造一个以法律为龙头，法规、规章、规范性文件等为充分的完整APP个人信息保护法律体系。2.良法更要善治。政府有关部门进一步加大行业监管力度，特别是持续强化执法力度，确保法律法规的强制力、引导力落到实处。一是在高位上建立APP个人信息保护联席会、工作领导小组等机构，明确由网信、网安部门牵头指导，市场监管、工信、公安等部门协调配合，统筹推进。二是进一步建立完善的APP个人信息监管管理机制，明确各部门职责任务，细化违规APP处置流程和措施，进一步提升监管的规范性和透明度。三是加强日常监督检查力度。采取多部门联合检查，强化技术手段支撑加大对APP开发商和运营主题的监督检查频次，发现侵权问题及时推送，限期整改。

（二）推动行政力量与社会力量共同治理。协同治理是为推动社会问题的合理解决，政府、企业及公众等多元主体发挥自身优势，建立跨部门协同合作关系的一种制度安排。在APP个人信息保护执法层面，网信部门、工信部门、公安机关构成了行政监管主要力量，随着APP个人信息安全治理工作的不断深入，目前已取得巨大的工作成效。但是，笔者认为，行政监管单方面治理仍然显得力量单薄，且在治理中存在监管资源消耗问题，需要进一步整合、优化治理力量。一方面，推动监管执法统一化。监管执法统一化需要进一步发挥网信部门统筹协调作用，统一和细化各行政监管部门合规标准，统一监管步调，合理分配监管力量；另一方面，推动合规治理社会化。一是以分发平台作为APP合法合规问题治理的第一层屏障，行政监管部门指导、督促APP分发平台落实主体责任；二是鼓励社会企业研发自动化、智能化监管技术手段，以技术革新促使合规治理全面铺开，通过调动社会面力量促使开发企业进行合规治理。

（三）推进APP生态链各责任主体履行法定义务。APP个人信息保护是一项系统工程，除需管住APP开发运营者之外，还需规范APP第三方服务提供者、移动智能终端生产企业和网络接入服务提供者，只有群防群治，才能真正解决问题。具体包括以下几个主体的责任：1.开发运营者的责任。APP开发者应贯彻隐私设计原则，以显著、清晰的方式定期向用户呈现APP的个人信息收集使用情况；单独告知个人敏感信息处理行为；详尽披露个人信息的接收方；管理并对接入的第三方承担连带责任；尊重和平等保护用户合法权益；给予用户自主选择业务功能的权利；不得欺骗强制误导用户启动APP；保障APP网络和数据安全。2.第三方服务主体的责任。制定并公开个人信息处理规则；如实告知开发运营者个人信息处理活动；不得未经授权共享转让个人信息；不得私自调用权限；保障个人信息安全。3.网络接入服务提供者的责任。验证并登记真实身份；按照监管部门要求，依法对违规APP采取停止接入等必要措施，阻止其继续违规侵害用户个人信息和其他合法权益。

（四）进一步加强技术手段研发力度，更好进行线上自动化监管。为保护个人信息安全，APP的设计需要将隐私保护算法嵌入产品的研发和应用的全过程。“保护隐私设计蕴含七大基本原则：1.隐私保护是主动的而非被动的，是预防性的而非补救性的；2.隐私保护是默认设置，即在默认情况下使用最高可能的隐私保护设置；3.将隐私保护嵌入设计中；4.隐私保护效果具有正效应而非零和效应；5.隐私保护贯穿在全生命周期，是全程保护，而非仅在某几个时间点保护；6.隐私保护具有可见性、透明性和开放性；7.以用户为中心，尊重用户隐私。加强APP个人信息保护，技术支撑是原动力。因此，国家有关部门要组织行业优势力量，运用人工智能、大数据等技术，进一步推进“全国APP技术检测平台”建设，尽快形成覆盖能力，同时积极提升监测智能化、标准化水平，更好实现线上自动化监管。要联合科研院所、龙头企业，进一步探索推进密码技术服务APP个人信息保护策略，通过证书认证、加密传输、存储加密等方式，确保用户信息传输、使用安全。完善各类应用商店自检技术建设，统一检测标准，并同步建立违规不良APP或企业黑名单，对于不良APP或相关企业禁止其上架。

（五）坚持重拳打击与强化自我保护并重。APP个人信息保护，必须坚持重拳打击、合理引导、个人防护，才能更好地保护用户权益。在APP个人信息保护合规监管方面，监管部门采取行政检查和行政处罚两种执法手段。自2019年起，各主要监管部门整治力度持续提升、整治范围不断扩大，单独或联合开展多个专项整治行动，查处了违规APP千余款。因此，持续保持高压态势，持续重拳打击违规APP，是当前保护个人信息隐私的重要手段之一。要充分发挥社会各界力量，共同营造APP个人隐私保护的良好氛围。一方面，相关行业协会要进一步加强行业自律与内部惩处机制建设。对于违规企业，在政府处罚基础上，再进行行业内处罚，让违规APP母公司、上游企业无法立足；另一方面，要进一步发挥第三方监管机构作用，加大对企业日常监督管理的力度，向社会定期发布监管报告、安全报告。要探索引入APP上架前、运维中第三方机构安全认证制度，探索将APP个人信息控制权、个人敏感信息第三方代管制度，实现互相监督、互相约束。

对于用户个体来说，一定要树立个人信息保护意识，提升个人信息安全素养。在日常生产生活过程注意避免个人信息泄露，应当熟悉法律赋予的知情权、同意权、删除权等权利，在碰到不法侵害时应及时拿起法律武器保障自身合法权益。在日常应用中要注意以下几点：一是坚持从专门软件市场、正规官方等安全渠道下载和使用APP产品，筑牢意识屏障；二是要注意选用安全合规的APP产品和服务；三是认真阅读隐私政策，分析和判断APP处理个人信息是否满足合法、正当、必要原则；四是关闭非必要权限，及时关闭无关联权限；五是注册登录时谨慎提交个人信息；六是谨慎提供信息进行身份核验；七是谨慎向第三方页面提供个人信息；八是不再使用的APP解绑、注销后，再删除APP。