APP超範圍採集個人隱私屢禁不絕，怎樣才能避免“裸奔”？

我們的生活跟手機、網路越來越親近，但它們是否安全呢？本週，國家網路安全宣傳週，一份來自權威機構對20萬中國網民的調查報告披露：我國近一半網民認為網路不是那麼安全。其中得分比較低的兩個指標，一個是近40%的網民認為個人資訊洩露非常多和比較多，另一個是，近20%的網民認為網際網路企業履行安全責任情況不太好或非常不好。同樣是這一天，網信辦、工信部、公安部、市場監管總局點名京東金融、雲閃付等一批我們常見、常用的手機應用，超範圍採集公民的個人隱私。而類似的點名批評，從今年1月開始已經開展了22次。力度算大，但為何仍屢禁不絕？我們的個人資訊，怎樣更好保護，避免裸奔？企業和個人，又都該做些什麼？

被過分授權的APP

本週五上午，在天津參觀網路安全博覽會的張小姐，被記者邀請參加了一項手機應用是否過度獲取許可權的檢測。張小姐的手機裡有96款應用，結果發現92款獲取了與個人資訊相關的敏感許可權。比如，一個用於電子消費的信用卡APP，獲取了定位、攝像頭、麥克風、通訊錄等許可權，甚至一款用來看視訊的APP也拿到了定位許可權，隨時知道她在哪兒。

工作人員介紹，這些被過度獲取的敏感許可權，有些是因為使用者沒有仔細閱讀須知，大意授予的，還有一些是被悄悄獲取的。針對這一現象，今年1月，中央網信辦、工信部、公安部、市場監管總局等四部門，聯合開展為期1年的專項治理工作，定期對市面上的APP進行評估，並每隔1到2周，將違規、超範圍收集使用使用者資訊的APP，向社會通報。在最近公佈的名單中，金山詞霸、雲閃付、京東金融等，都榜上有名。

國家計算機病毒應急處理中心 常務副主任 陳建民： 有一種就是說它隱私檔案壓根就沒有，它上來就是你安裝，然後直接採集。還有一種就是說我有宣告檔案，但是宣告的檔案許可權我申請了五項，可能實際過程中它會採集十項。中央網信辦一直在研究核心必要的功能，約談這些知名的APP的這種開發者，到底哪些是你必要的功能。

時至今日，個人資訊已不再僅僅是定位、通話記錄等傳統內容。隨著電子支付、人臉識別的盛行，面容ID、虹膜、指紋等生物特徵成為新的個人敏感資訊。本月初，一款號稱“和偶像同演一臺戲”的換臉APP，受到了網友追捧。但僅過一天，公司被曝光將上傳的肖像據為己有，可隨意使用、再授權，瞬間跌下神壇。更有人一度懷疑：會不會有人藉此換了我的臉，去盜刷我的錢？支付寶緊急闢謠，假臉無法突破他們的風控手段，不影響安全，但還是藉此向行業提出倡議，採集使用者資訊時，應遵循最少、夠用的原則。

支付寶隱私保護研究中心主任 李海英： 要盡最大可能儘量少地採集使用者資訊，同時能夠保證我們業務順利進行。我們對於這些資訊的授權不會進行一攬子授權，捆綁授權，同時也通過像能夠刪除授權等等這樣一些情況，提供使用者一個退出方式。

對於網際網路的頭部企業來說，保護使用者個人資訊保安，關乎聲譽、命脈，相關的人力、技術投入一直不低。但對於一些創業期的新興APP，可能就不會如此樂觀。如今，大部分APP都在向支付寶、微信等聚合，入住的小程式、服務會申請呼叫平臺採集的使用者資訊，如何在授權時，不發生洩密，也是必須解決的難題。

本週，在網路安全宣傳週新聞釋出會上，中央網信辦相關負責人表示新的國家標動網際網路應用（APP）收集個人資訊基本規範，已完成徵求意見，很快就將出臺。規範明確規定APP收集個人資訊時，應遵從“最少資訊、最少許可權”原則。即每一類應用，只可收集規範中列出的必要資訊和許可權，除此之外的任何資訊和許可權，使用者都有權拒絕提供。並且APP不得以這些拒絕為由，阻礙使用者使用APP主要功能。比如，地圖導航APP，除了網路日誌和定位外，其它資訊和許可權都不需要獲取。

中國傳媒大學政治與法律學院副院長 王四新：等於說監管方和被監管方，都有一個參照。保護消費者的資料，以什麼標準來保障國家要監管，也不能說我想怎麼監管就怎麼監管，也不能完全根據你的主觀願望，當然對於廣大網民來講，哪些是不當使用的，哪些是被過度收集的，還有它使用到什麼程度，算是對我權益的侵犯，有了這個標準以後，網民心中也有數。

白巖鬆：在網際網路法律逐漸完善的過程中，哪些使用者資訊是企業可以獲取的，哪些是不能碰的，獲取到的資訊要盡到怎樣的保護責任，類似的規定當然是在不斷細化，有了規則，企業就要去遵守。而另一方面，網際網路使用者對自己個人資訊要有保護意識，這也很重要。有這麼一組資料，我國6-14歲的未成年網民大概是1.7億，網際網路的普及率超過93%，對於00後的他們來說，學習、娛樂、社交等等，基本都在網際網路上完成。2019年青少年藍皮書給出提醒：因為防範意識不強，未成年人相關資料已經被大量採集並通過網路獲取、儲存。針對這一問題，今年10月1日，我國首部針對兒童網路保護的立法，《兒童個人資訊網路保護規定》將實施，這裡面具體有哪些資訊？能否讓這些網際網路的小使用者和監護人真正培養起安全保護意識？又能讓成年人在網路安全上學到些什麼？

朋友圈晒娃，涉及隱私嗎？

截至2018年7月31日，我國6至14歲的未成年網民，規模達1.69億，未成年人的網際網路普及率達到93.7%，今年五月底，中國社會科學院新聞與傳播研究所、中國少年兒童發展服務中心等機構合作釋出了最新的《中國未成年人網際網路運用報告》，其中隱私侵害被納入了未成年人網際網路運用中最常見的問題之一。

中國社會科學院新聞與傳播研究所 副所長 季為民：我認為它的最大危害，是有些網際網路平臺會利用未成年人的隱私，獲得不法利益。比方說美國的臉書，在今年7月12日，就被美國貿易聯邦委員會處予50億美元的罰款，主要是他們洩露了使用者的資訊，並且用這些資訊，來換得他們的商業利益。這其中，就有一部分案例，是未成年人的資訊洩露。

未成年人個人資訊不能被大範圍交易，不能涉及暴力和色情，否則將受到法律的制裁，這是全世界通用且明確的底線，但在觸碰到法律的紅線之前，隱私侵犯的標準存在許多爭議，取決於人們的容忍度和對隱私的認知。有人覺得只有觸犯法律才是侵犯隱私，有人覺得未經同意在朋友圈或群裡，發別人家的娃就是侵犯隱私。

何女士在一家英國教育諮詢機構工作，也是一位自媒體運營者，經常分享一些海外育兒的經驗，在中英兩國生活，她深刻感受到兩地對未成年人隱私保護上存在的差異。

育兒博主何女士：我覺得朋友圈晒娃這件事情，其實中西方之間的觀點差距還蠻大的。出國之前，我在朋友圈上面發發自己和別的孩子照片，也沒有覺得有什麼不妥。但是出國以後，我對於隱私的這種敏感度會更高，你涉及到其他孩子的肖像權，還是一些個人資訊資料也好，都是需要經過對方家長的同意。

英國人對於隱私的保護，是比較嚴格的，一方面也是來自於他們自己的意識，另一方面也來自法律的規定。我女兒在英國上過三個私立學校，每一個學校都有自己關於照片，影片如何使用，這些都有非常細緻規定，比如說學校裡面的演出，這個是絕對不可以錄影的，只有學校官方錄影錄完了以後，他可能會刻成DVD，但是家長也不可以把裡面的視訊翻錄上傳到網上。

不久前，《兒童個人資訊網路保護規定》出臺，這是我國在兒童個人資訊網路保護方面制定的首部專門立法，將在十月一日正式實施，其中明確提到，兒童監護人應當正確履行監護職責，教育引導兒童增強個人資訊保護意識和能力，保護兒童個人資訊保安。但專家表示，有些情況下，未成年人是在監護人的允許下，將個人資訊釋出在網路空間。

中國社會科學院新聞與傳播研究所 副研究院 楊斌豔：母嬰社交網站會希望媽媽持續發孩子的，所以會是一個孩子到出生，到孩子長很大紀錄的東西，全部都有。你覺得，我只是片斷，零散供了那些，但是5年、10年以後，可能通過這些，他得到的遠遠不是你想象的資訊內容。

中國社會科學院新聞與傳播研究所 副所長 季為民：在網際網路素養方面，我們國家還有很多，亟待提高的地方。比方說我們未成年人在學校應該加強他們未成年人網路素養的課程培養，以培養他們自我保護的意識，另外也要提高家長和教師網路保護的這種意識。

白巖鬆：我們大多知道手機上的各種應用程式對我們個人資訊和隱私的獲取已經非常過分了，但現實是：比我們想象的更加過分。比如根據我們看手機的角度，能瞭解我們的視力狀況，比如根據我們每天拿手機，行走等等很多因素確定我們的運動習慣和健康。還有麥克風授權扮演著對我們一定的監聽角色，然後推薦你感興趣的東西等等等等。這次被點名的應用程式當中還有金融領域的，這就格外讓我們擔心與財產有關的安全問題。其實往深了說，企業越來越多的資訊資料都上了雲，這會不會成為黑客公佈攻擊的新目標，連帶著我們都成為受害者？

正在完善的法律體系

今年8月底，北京某網際網路公司的法人代表、股東以及5名員工被提起公訴，罪名是涉嫌非法獲取計算機資訊系統資料。據瞭解，從2014年開始，該公司先後與全國十多個省市的電信、移動、聯通、鐵通、廣電等大型運營商，簽訂了通過資料分析進行精準廣告營銷的協議，在獲取運營商伺服器的遠端登入許可權後，開始通過黑客手段，盜取伺服器中的使用者資料。

有調查報道稱，這96家被竊取資訊的受害者，幾乎是涵蓋了國內所有核心網際網路企業，使用者在網上瀏覽過什麼資訊，去過哪兒，買了什麼東西等等，一舉一動都在該公司的掌控之中，他們甚至還會隨意登陸使用者的社交賬號，利用加粉、刷量、加群、推廣等手段獲取利潤。

據《2018中國企業上雲報告》顯示，近10年時間，中國企業上雲率從2009年的3%已經增長到2018年的超過30%，這意味著企業通過雲端可以積累大量的使用者資料，而從這起號稱是“國內最大規模的資料竊取”案件中，我們也不難想象，這些聚合在一起的使用者資料和個人資訊，已經成為網路犯罪團伙眼中的一座座金山。

中國傳媒大學政治與法律學院副院長 王四新：各種各樣的資料，各種各樣的資訊，匯聚到一個平臺，這也是網際網路發展的一個產業現象，在2012年，(法律建設)就轉向對個人資料，就是網路上資料的保護，到了2013年，2014年以後，我們在網際網路立法工作，開始往體系化方向發展，代表就是(2017年)《網路安全法》的制定。

2015年，侵犯公民個人資訊罪列入我國《刑法修正案（九）》，2017年，《中華人民共和國網路安全法》正式實施，其中明確要求，網路運營者應當確保其收集的個人資訊保安，防止資訊洩露、毀損、丟失，並對收集的個人資訊資料進行匿名化處理，保證脫敏後的資料不能再識別出特定個人，並且資訊不可通過技術手段復原。

個人資訊和使用者資料，在進入大資料時代後，所產生和附加的商業價值不斷增值，這也意味著，企業收集個人資訊的原動力在增加，而構建完善的法律體系就必須跟得上網路技術發展速度，2018年，《個人資訊保護法》、《資料安全法》兩部法律已經被明確列入立法規劃。

從移動支付到智慧家居，從智慧城市到數字政府建設，我們希望生活越來越便捷，前提是個人資訊的安全有效防護，代價則是企業對使用者資料價值的不斷挖掘開發。魚和熊掌，我們能兼得嗎？

中國傳媒大學政治與法律學院副院長 王四新：國家來講，它肯定是要完善相關的法律制度，從企業這個角度來講，它需要對標國家的這種要求，有一個相對完善的預警，還有風險管控的機制，當然對於個人來講，不要過分洩露個人資訊，不要隨隨便便就搞一攬子授權等等這些，做好資訊的防範工作，它還是要形成一個全網合力的這種狀態，也是一個全社會的一種系統工程。

白巖鬆：這一次對一些知名公司的點名是來自於一個專項行動。這個專項行動，始於今年的1月份，主要針對的是違法違規收集使用個人資訊。這4個部門都具有相當大的影響力：是網信辦，工信部，公安部和市場監管總局，但4個部門聯合起來，卻似乎沒對有關公司產生足夠的震懾力。1月份以來，點了22次名，一共有180多個網站被點名，但真正改變的有多少？這一次點名的除了其中的一個應用程式，其它的連回應都很少有。如果犯了錯的，懲治時不能讓它真疼，毫無疑問錯會再犯。而個人隱私保護，我們現在如何看重它都不為過，因為有些應用程式對我們個人資訊的採集已經超乎了我們的想象，也有著更大的危險。所以對違法違規者，請真正的懲治，請讓他們真的疼。

來源：檢察日報正義網