當(dāng)APP處于靜默狀態(tài)下，圖片、音頻等個(gè)人信息被無(wú)感知收集；關(guān)閉定位權(quán)限后，要求重新授權(quán)的彈窗頻繁出現(xiàn)；在某APP平臺(tái)購(gòu)物付款時(shí)，付費(fèi)方式連接的運(yùn)營(yíng)方也能收集到用戶的購(gòu)物信息，并被用以推送定制化廣告……

作為個(gè)人信息處理的首要環(huán)節(jié)，“收集”是個(gè)人信息保護(hù)治理的關(guān)鍵。11月1日起，《個(gè)人信息保護(hù)法》（下稱“個(gè)保法”）正式實(shí)施，其規(guī)定個(gè)人信息的收集遵循“最小范圍”原則，即應(yīng)當(dāng)基于業(yè)務(wù)的處理目的收集必要信息，不得過度收集個(gè)人信息。

但在應(yīng)用軟件上，信息超采、權(quán)限濫用、數(shù)據(jù)外傳等違規(guī)采集個(gè)人信息的現(xiàn)象依然頻繁，這引起了相關(guān)監(jiān)管部門的持續(xù)關(guān)注。

近日，工信部針對(duì)QQ音樂、小紅書、豆瓣等38款A(yù)PP，就超范圍、高頻次索取權(quán)限，非服務(wù)場(chǎng)景所必需收集用戶個(gè)人信息等問題進(jìn)行通告，并要求其定期整改。

隨后，“優(yōu)化權(quán)限調(diào)用”、 建立已收集個(gè)人信息清單和與第三方共享個(gè)人信息清單等被列入工信部從11月起展開的“信息通信服務(wù)感知提升行動(dòng)”，以進(jìn)一步推進(jìn)APP侵害用戶權(quán)益的治理。

伴隨相關(guān)規(guī)范性文件的陸續(xù)出臺(tái)、執(zhí)法威懾力和覆蓋面的不斷增強(qiáng)，APP運(yùn)營(yíng)商應(yīng)如何兼顧數(shù)據(jù)的商業(yè)價(jià)值和法律保護(hù)？相關(guān)企業(yè)在合規(guī)治理過程中，又存在哪些痛點(diǎn)、難點(diǎn)？

監(jiān)管趨嚴(yán)

對(duì)于運(yùn)營(yíng)商等APP個(gè)人信息處理活動(dòng)參與者而言，落實(shí)“收集”階段保護(hù)個(gè)人信息主體責(zé)任的前提和基礎(chǔ)是明晰“合規(guī)”的標(biāo)準(zhǔn)。

個(gè)保法第六條指出，處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對(duì)個(gè)人權(quán)益影響最小的方式。

那么，什么是“超范圍”收集信息？中國(guó)信息通信研究院互聯(lián)網(wǎng)法律研究中心高級(jí)研究員、個(gè)人信息保護(hù)立法研究團(tuán)隊(duì)負(fù)責(zé)人楊婕對(duì)第一財(cái)經(jīng)表示，這是指與收集、處理目的不直接相關(guān)，不具備必要性的個(gè)人信息。例如，地圖導(dǎo)航類的基本功能服務(wù)為“定位和導(dǎo)航”，必要個(gè)人信息為位置信息、出發(fā)地、到達(dá)地。

第一財(cái)經(jīng)記者注意到，個(gè)保法實(shí)施前后，已有部分APP推出了“基本功能模式”，該模式下，APP不會(huì)上傳用戶的任何個(gè)人信息，但用戶也無(wú)法享有APP提供的個(gè)性化展示服務(wù)。比如，在美圖秀秀最新版本中的“基本功能模式”下，用戶無(wú)法使用圖片美化、拼圖的部分子功能和視頻剪輯、美容的完整功能。

“個(gè)保法實(shí)施后，APP若發(fā)生違規(guī)收集個(gè)人信息的行為，相關(guān)主體要承擔(dān)較嚴(yán)格的法律責(zé)任，包括行政、民事乃至刑事責(zé)任，這大大增強(qiáng)對(duì)違法行為的威懾力，相關(guān)企業(yè)的合規(guī)意識(shí)得到增強(qiáng)。”楊婕稱。

事實(shí)上，在個(gè)保法實(shí)施之前，APP個(gè)人信息收集“合理”及“必要”的標(biāo)準(zhǔn)，以及相關(guān)的監(jiān)督管理工作，就已陸續(xù)在推進(jìn)。

2019年，APP專項(xiàng)治理工作組發(fā)布《APP違法違規(guī)收集使用個(gè)人信息自評(píng)估指南》，其中明確，當(dāng)APP運(yùn)營(yíng)者收集的個(gè)人信息超出必要信息范圍時(shí)，應(yīng)向用戶明示所收集個(gè)人信息目的并經(jīng)用戶自主選擇同意。

但該指南僅用于APP運(yùn)營(yíng)者對(duì)其收集使用個(gè)人信息情況的自查自糾，效力有限。

2020年以來(lái)，工信部先后發(fā)布了《關(guān)于開展縱深推進(jìn)APP侵害用戶權(quán)益專項(xiàng)整治行動(dòng)的通知》（下稱《通知》）、《常見類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》、《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序個(gè)人信息保護(hù)管理暫行規(guī)定（征求意見稿）》（下稱《暫行規(guī)定》）等，并牽頭制定了《APP用戶權(quán)益保護(hù)測(cè)評(píng)規(guī)范》、《APP收集使用個(gè)人信息最小必要評(píng)估規(guī)范》等標(biāo)準(zhǔn)文件，對(duì)APP信息處理行為進(jìn)行明確要求。

其中，《通知》指出，APP、第三方SDK（軟件工具開發(fā)包）未告知用戶收集個(gè)人信息的目的、方式、范圍且未經(jīng)用戶同意，私自收集用戶個(gè)人信息的行為，屬于“違規(guī)收集個(gè)人信息”；APP、第三方SDK非服務(wù)所必需或無(wú)合理應(yīng)用場(chǎng)景，特別是在靜默狀態(tài)下或在后臺(tái)運(yùn)行時(shí)，超范圍收集個(gè)人信息的行為，屬于“超范圍收集個(gè)人信息”，上述行為均在重點(diǎn)整治之列。

《暫行辦法》則明確，網(wǎng)信辦負(fù)責(zé)統(tǒng)籌協(xié)調(diào)APP個(gè)人信息保護(hù)工作和相關(guān)監(jiān)督管理工作，建立健全由網(wǎng)信辦、工信部、公安部及市監(jiān)總局四部門組成的APP個(gè)人信息保護(hù)監(jiān)督管理聯(lián)合工作機(jī)制。

“這些行業(yè)標(biāo)準(zhǔn)性文件的角度或有所不同，可互為補(bǔ)充。在效力層面，雖然這些文件的層級(jí)較低，但如果四部委以此進(jìn)行檢查，不合規(guī)會(huì)被通報(bào)、甚至下架，實(shí)際影響力不容小覷。”海問律師事務(wù)所合伙人楊建媛在接受第一財(cái)經(jīng)記者采訪時(shí)稱。

北京市京師律師事務(wù)所律師杜廣普從事網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)等領(lǐng)域法律服務(wù)多年，他在接受第一財(cái)經(jīng)采訪時(shí)表示，當(dāng)前，APP監(jiān)管治理工作逐漸下沉，除了上述政府部門外，地方監(jiān)管部門也在開展相關(guān)的監(jiān)督管理工作，監(jiān)管的范圍、頻次、顆粒度不斷落細(xì)，監(jiān)管治理對(duì)象也不局限于頭部APP。

根據(jù)上述《通知》，2020年12月10日前，工信部完成覆蓋40萬(wàn)款主流APP檢測(cè)工作。

11月3日，也就是個(gè)保法實(shí)施的第三天，針對(duì)APP存在的超范圍、高頻次索取權(quán)限，非服務(wù)場(chǎng)景所必需收集用戶個(gè)人信息，欺騙誤導(dǎo)用戶下載等違規(guī)行為，工信部通報(bào)了2021年第11批APP個(gè)人信息保護(hù)專項(xiàng)整治行動(dòng)中的違規(guī)名單，其中包括了QQ音樂、小紅書、豆瓣等38款A(yù)PP。至此，工信部已啟動(dòng)了20批次APP個(gè)人信息保護(hù)專項(xiàng)整治行動(dòng)。

根據(jù)《暫行規(guī)定》，被提出整改的相關(guān)主體，要求5個(gè)工作日內(nèi)進(jìn)行整改及時(shí)消除隱患；未完成整改的，向社會(huì)公告。對(duì)社會(huì)公告5個(gè)工作日后，仍拒絕整改或者整改后仍存在問題的，可要求相關(guān)主體進(jìn)行下架處置；被下架的APP在40個(gè)工作日內(nèi)不得通過任何渠道再次上架。

超范圍、違規(guī)收集個(gè)人信息為何屢禁不止

伴隨APP個(gè)人信息保護(hù)相關(guān)規(guī)則不斷明確、落細(xì)，不同標(biāo)準(zhǔn)規(guī)范性文件的協(xié)調(diào)性逐漸顯現(xiàn)，各部門執(zhí)法口徑也漸趨一致，相關(guān)市場(chǎng)主體在法規(guī)適用上的困惑得以減輕；與此同時(shí)，伴隨監(jiān)督、執(zhí)法的持續(xù)從嚴(yán)、下沉，相關(guān)企業(yè)合規(guī)的緊迫性正不斷加強(qiáng)。

在此背景下，APP超范圍、違規(guī)收集個(gè)人信息現(xiàn)象為何仍屢禁不止？

杜廣普稱，當(dāng)前，APP信息超采、權(quán)限濫用等問題越來(lái)越頻繁地被提及，這不僅是因?yàn)橄嚓P(guān)違法違規(guī)行為本身在增多，也是因?yàn)楹弦?guī)標(biāo)準(zhǔn)對(duì)APP個(gè)人信息處理活動(dòng)參與者責(zé)任的明細(xì)化，使得原本存在的問題逐漸暴露出來(lái)。

北京師范大學(xué)網(wǎng)絡(luò)法治國(guó)際中心執(zhí)行主任吳沈括則認(rèn)為，APP信息超采、違規(guī)收集等問題頻頻發(fā)生的背后，是因?yàn)閭€(gè)人信息本身蘊(yùn)含著巨大價(jià)值。

“在當(dāng)前的數(shù)據(jù)生態(tài)中，由于個(gè)人信息蘊(yùn)含巨大價(jià)值，APP個(gè)人信息處理活動(dòng)者對(duì)于數(shù)據(jù)的獲取有一種‘天然沖動(dòng)’，即試圖通過獲取更多的數(shù)據(jù)來(lái)提供更多的產(chǎn)品和服務(wù)，從而達(dá)到提高競(jìng)爭(zhēng)力的目的。”吳沈括告訴第一財(cái)經(jīng)。

他進(jìn)一步表示，由于早期合規(guī)工作基礎(chǔ)薄弱，相關(guān)企業(yè)也可能存在積弊難改的情況。“伴隨標(biāo)準(zhǔn)性文件不斷出臺(tái)和更新，企業(yè)端需投入大量的時(shí)間和經(jīng)濟(jì)成本，進(jìn)行合規(guī)治理，相關(guān)工作不能一蹴而就。”

安恒信息（688023.SH）高級(jí)副總裁、首席科學(xué)家劉博對(duì)此表示認(rèn)同。他還指出，對(duì)于APP個(gè)人信息處理活動(dòng)參與者而言，違規(guī)收集所面臨的法律風(fēng)險(xiǎn)可能遠(yuǎn)遠(yuǎn)小于可以獲得的商業(yè)利益，這使得其合規(guī)意愿并不強(qiáng)烈，乃至存在僥幸心理。

與此同時(shí)，劉博認(rèn)為，在相關(guān)法規(guī)的執(zhí)行和推行的初期，還存在一些規(guī)則細(xì)節(jié)不夠明確的問題。例如，現(xiàn)行法律政策對(duì)于重大信息安全事件尚無(wú)明確規(guī)定。

“監(jiān)管程度也同樣存在不到位的現(xiàn)象。”劉博稱，一方面，由于認(rèn)證是自愿進(jìn)行，未通過認(rèn)證的APP如何管理依然沒有得到徹底有效的解決；另一方面，目前對(duì)于通過認(rèn)證的APP主要的監(jiān)管手段依然是以企業(yè)自查為主。

“大多數(shù)APP運(yùn)營(yíng)商，在管理層面，對(duì)自己平臺(tái)產(chǎn)品和相關(guān)供應(yīng)商產(chǎn)品很難做到有效的監(jiān)督；在技術(shù)層面，使用第三方SDK及其他第三方服務(wù)，已經(jīng)成為APP開發(fā)、運(yùn)行過程中常見的技術(shù)手段，這在幫助APP功能服務(wù)快速實(shí)現(xiàn)的同時(shí)，也引發(fā)個(gè)人信息收集階段的安全風(fēng)險(xiǎn)。”劉博稱。

針對(duì)這一問題，在近日工信部發(fā)布的《關(guān)于開展信息通信服務(wù)感知提升行動(dòng)的通知》中提到，建立個(gè)人信息保護(hù)“雙清單”。其中，為了讓用戶清晰掌握個(gè)人信息在APP、SDK及其他第三方間的共享情況，工信部要求企業(yè)在二級(jí)菜單中列出APP與第三方共享的用戶個(gè)人信息基本情況，包括與第三方共享的個(gè)人信息種類、使用目的、使用場(chǎng)景和共享方式等。

中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院網(wǎng)絡(luò)安全研究中心測(cè)評(píng)實(shí)驗(yàn)室副主任何延哲在接受第一財(cái)經(jīng)采訪時(shí)稱，此前，存在著對(duì)第三方責(zé)任規(guī)制不夠清晰的問題，使得追究第三方責(zé)任欠缺具體的指導(dǎo)細(xì)則，還會(huì)產(chǎn)生APP經(jīng)營(yíng)者將自身責(zé)任推卸給第三方的現(xiàn)象。“雙清單”公布后，通過督促第三方“言行一致”，有利于壓實(shí)第三方的主體責(zé)任。

不過，在吳沈括看來(lái)，要求企業(yè)自身主動(dòng)建立清單依然屬于企業(yè)自查的范疇，為切實(shí)減少APP在個(gè)人信息收集過程中的違法違規(guī)行為，還需加強(qiáng)第三方監(jiān)督，包括用戶監(jiān)督；與此同時(shí)，監(jiān)管部門應(yīng)建立相應(yīng)的追責(zé)機(jī)制，重點(diǎn)治理相關(guān)企業(yè)虛假，或不完整披露的行為。