給App信息收集圈出合理范圍

工業(yè)和信息化部日前在官網(wǎng)發(fā)布《關(guān)于侵害用戶權(quán)益行為的App通報(bào)（2021年第3批，總第12批）》。從2019年11月啟動(dòng)開展App侵害用戶權(quán)益專項(xiàng)整治工作至今，工信部已經(jīng)通報(bào)12批問題App名單，約800款。據(jù)統(tǒng)計(jì)，這些App最大的問題，是超范圍收集用戶個(gè)人信息，占所涉問題總量的一半以上。

3月15日，中國(guó)消費(fèi)者協(xié)會(huì)發(fā)布2020年消費(fèi)安全熱點(diǎn)問題，“個(gè)人信息泄露”位列最受消費(fèi)者關(guān)注的四大熱點(diǎn)之一。對(duì)此，工信部相關(guān)負(fù)責(zé)人表示，目前正起草《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序個(gè)人信息保護(hù)管理暫行規(guī)定》（以下簡(jiǎn)稱《暫行規(guī)定》），該規(guī)定出臺(tái)，將進(jìn)一步強(qiáng)化消費(fèi)者個(gè)人信息保護(hù)。

手機(jī)App超范圍收集用戶個(gè)人信息問題已被吐槽多年，相關(guān)監(jiān)管部門不斷加強(qiáng)監(jiān)管，但問題依然存在，頑疾難除。之所以如此，答案并不難找：用戶信息具有很高的商業(yè)價(jià)值。

事實(shí)上，用戶信息被用于商業(yè)廣告開發(fā)，這已是公開的秘密。業(yè)內(nèi)人士指出，App開發(fā)商在收集到用戶信息后，一般會(huì)先進(jìn)行脫敏處理，再對(duì)用戶進(jìn)行“畫像”，并打上標(biāo)簽，比如“男、33歲、上海高級(jí)職員、愛運(yùn)動(dòng)”，廣告商根據(jù)這些標(biāo)簽來精準(zhǔn)推送廣告。在被工信部點(diǎn)名的App中，就有多款在隱私協(xié)議中寫明了收集信息的用途：分析產(chǎn)品使用情況、實(shí)現(xiàn)廣告推廣與統(tǒng)計(jì)共享、幫助用戶參加營(yíng)銷推廣活動(dòng)等。

用戶信息的價(jià)值不止于此。專家表示，個(gè)人信息屬于數(shù)據(jù)資產(chǎn)，互聯(lián)網(wǎng)企業(yè)依靠這些數(shù)據(jù)資產(chǎn)，結(jié)合所需算法，可以很大程度上支撐產(chǎn)品研發(fā)和運(yùn)營(yíng)。個(gè)人信息種類越多、數(shù)量越大，給企業(yè)帶來直接或間接收益也就越大。在所有數(shù)據(jù)中，指向用戶個(gè)人身份的信息數(shù)據(jù)最具價(jià)值。例如，企業(yè)若獲得讀取用戶通訊錄的權(quán)限，就可以通過通訊錄好友的關(guān)聯(lián)關(guān)系，推送一些營(yíng)銷短信以增加用戶量。所以，很多企業(yè)會(huì)通過多種渠道收集大量不同種類的個(gè)人信息，甚至出現(xiàn)超范圍違規(guī)收集信息的“過度索權(quán)”現(xiàn)象。

企業(yè)收集個(gè)人信息后，在存儲(chǔ)、使用、流轉(zhuǎn)等過程中，如果對(duì)個(gè)人信息的管理措施和技術(shù)保護(hù)手段不足，可能會(huì)造成數(shù)據(jù)泄漏，出現(xiàn)信息安全風(fēng)險(xiǎn)。這正是人們吐槽手機(jī)App超范圍收集用戶個(gè)人信息的根本原因。關(guān)于個(gè)人信息泄露可能存在的風(fēng)險(xiǎn)，有人總結(jié)了10條：垃圾短信源源不斷、騷擾電話接二連三、不明郵件鋪天蓋地、冒名辦卡透支欠款、案件事故從天而降、不法公司前來詐騙、冒充公安要求轉(zhuǎn)賬、坑蒙拐騙乘虛而入、賬戶錢款不翼而飛、個(gè)人名譽(yù)無端受毀。

當(dāng)然，企業(yè)收集用戶信息存在風(fēng)險(xiǎn)，有可能給用戶帶來諸多麻煩，但這并不意味著用戶要將個(gè)人信息對(duì)企業(yè)開放的大門完全關(guān)閉。從市場(chǎng)邏輯上講，互聯(lián)網(wǎng)企業(yè)需要用戶信息，若無這些信息，企業(yè)就無法開發(fā)適合用戶使用的App及其他程序。過于強(qiáng)調(diào)用戶個(gè)人信息權(quán)和隱私權(quán)，必會(huì)壓抑企業(yè)開發(fā)大數(shù)據(jù)的積極性和創(chuàng)造性。顯然，企業(yè)的大數(shù)據(jù)與用戶的隱私權(quán)當(dāng)并行不悖。在這種情況下，找一個(gè)合適的“度”就顯得非常重要了。用戶個(gè)人信息讓渡有“度”，企業(yè)索取信息更要有“度”。對(duì)于企業(yè)而言，“度”的標(biāo)準(zhǔn)，就是《暫行規(guī)定》中明確的“知情同意”和“最小必要”兩項(xiàng)個(gè)人信息保護(hù)基本原則。

沒有規(guī)矩，不成方圓?；ヂ?lián)網(wǎng)領(lǐng)域也需要立規(guī)矩。圍繞個(gè)人信息安全，大的制度體系和監(jiān)管框架已經(jīng)在搭建了?！毒W(wǎng)絡(luò)安全法》《電信條例》《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》以及將要出臺(tái)的《暫行規(guī)定》等，已經(jīng)進(jìn)行了制度設(shè)計(jì)和安排。我們期望這些法規(guī)制度能夠真正發(fā)揮作用，給企業(yè)收集用戶個(gè)人信息行為劃出明確的底線，為用戶個(gè)人信息保護(hù)建起安全屏障。