四部门为App收集个人信息划定红线

　　专家称亟待法律明确规定数据权利

　　本报记者 万静

　　1月25日，中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》(以下简称《公告》)，决定自2019年1月至12月，在全国范围组织开展App违法违规收集使用个人信息专项治理。

　　近年来，移动互联网应用程序(App)得到广泛应用，在促进经济社会发展、服务民生等方面发挥了重要作用，对很多人来说，App几乎已成为生活中不可替代的一部分。但是与此同时，App强制授权、过度索权、超范围收集个人信息的现象也是大量存在，违法违规使用个人信息的问题十分突出，这些都已经引起了社会各界特别是政府监管部门的高度关注。

　　超九成涉嫌过度收集

　　按照《个人信息安全规范》规定，对个人信息的收集应有明确的目的，不得超出产品功能相关目的外收集额外的个人信息，可是近日中国消费者协会对10类100款App进行的个人信息收集与隐私政策测评发现，很多被测评App在隐私政策等文件中，未将其收集的个人信息与其实现的产品功能明确挂钩，其中很多个人信息与消费者通常理解的产品功能之间无明显关联，甚至明显超出合理范围。

　　10类100款App中，多达91款App列出的权限存在涉嫌“越界”，即存在过度收集用户个人信息的问题。其中，出行导航、金融理财、拍摄美化、通讯社交和影音播放5类App中，每一款都涉嫌存在过度收集或使用用户信息的情况；其次是住宿旅游、网上购物、新闻阅读和邮箱云盘4类App中，32款App涉嫌存在过度收集或使用个人信息情形；而交易支付类App中有7款涉嫌存在过度收集或使用现象。

　　轻而易举收集通讯录信息

　　中消协的测评结果显示，“位置信息”“通讯录信息”“手机号码”三种个人信息是过度收集或使用个人信息最常见的内容。100款App中，59款App涉嫌过度收集了“位置信息”，过度收集或使用个人信息的情况较多，另外“通讯录信息”“身份信息”“手机号码”也是用户个人信息过度收集或使用较多的内容。除此之外，用户的个人照片、个人财产信息、生物识别信息、工作信息、交易账号信息、交易记录、上网浏览记录、教育信息、车辆信息以及短信信息等，均存在被过度使用或收集的现象。

　　日常生活中，通讯录信息、手机号码涉及用户的个人隐私，属于个人敏感信息，存在较高的商业价值。记者发现，一些手机App以仅提供手机号注册的方式，借助手机权限开放的便利，轻而易举地收集手机号码及通讯录信息。

　　而记者的体验得到了中消协测评结果的印证。在10类App中，4款金融理财类App与3款影音播放类App都存在收集用户通讯录信息的问题。特别是，手机号码信息收集现象在金融理财类与出行导航类App更是普遍。

　　近四成App无隐私条款

　　基于“隐私政策应公开发布且易于访问”的原则，中消协对100款的隐私条款测评发现，47款App隐私条款内容不达标，34款App没有隐私条款，占比近四成。

　　目前众多的App有关隐私条款的说明都存在问题，这些问题分别表现为：隐私条款笼统不清，对收集、使用个人信息的目的、方式、范围、保存期限、和地点等没有明确说明；不主动向用户展示隐私条款，或展示内容晦涩冗长；征求用户授权同意时，未给用户足够选择权；没有为用户提供访问、更正、删除个人信息的途径；大量收集与所提供服务无直接关联的个人信息，未遵守标准中最小化收集个人信息的规定。

　　建立明确的约束机制

　　中国政法大学法治政府研究院院长王敬波教授认为，中央网信办、工信部、公安部和市场监管总局四部门联合发布的报告，目的就是给目前手机App收集利用信息泛滥的现象划出一条“红线”，明确信息收集的边界，并建立严格的约束机制。如果没有这个边界，没有建立明确的约束机制，那么采集者可能就会只考虑自己一方的便利，实践中采取“公民提供的信息越多越好”的倾向，转而置用户的利益和安全于不顾。

　　王敬波教授分析，在互联网时代，信息数据高速发展，个人如果不提供基本的信息可能会造成一些业务无法开展，一些生活便利无法享受，但是究竟哪些信息是必要的，哪些信息不应该被采集，这中间应该有一个界限。《公告》明确，App运营者收集使用个人信息时不得收集与所提供服务无关的个人信息，而且强调“不以默认、捆绑、停止安装使用等手段变相强迫用户授权，不得违反法律法规和与用户的约定收集使用个人信息”，监管部门出手，意味着划下了一条红线。实践证明，任何一个行业想要走得长远，除了政府监管等外部约束外，行业自身的自律和自治也是必不可少的。

　　北京大学法治与发展研究院执行院长王锡锌教授认为，我们需要去思考，如何促成数据的隐私的保护与产业发展之间的平衡，数据安全与数据的自由流通之间怎样来平衡。我们需在技术、法治和共治中寻求平衡的基本框架。目前，相关的法律存在滞后现象，比如说，关于数据权利到底是什么，数据，财产，数据权到底是什么，数据主权到底是什么，这些都没有一个明确的界定。