过度索权？隐私政策晦涩难懂？工信部出手治理APP侵权乱象

摘要：针对APP侵犯用户权益，过度工信今年以来，索权手治工信部发布了9批次《关于侵害用户权益行为的隐私APP通报》、11批次《关于APP超范围索取权限、政策过度收集用户个人信息等问题“回头看”的晦涩通报》以及《关于下架侵害用户权益APP名单的通报》的通报。

华夏时报（www.chinatimes.net.cn）记者 徐芸茜 见习记者 程阔 北京报道

和朋友闲聊时提到某个产品，打开购物APP就收到产品推送；刚开通了金融服务，部出下一秒就刷到各种贷款广告......被APP监视的理A乱象场景，对很多人而言并不陌生，侵权这也导致个人信息泄露，过度工信产生了大数据杀熟、索权手治骚扰电话短信等情况。隐私

日前，政策由中国标准化协会安全健康消费工作委员会发布的晦涩《关于消费者个人信息保护的调查报告》显示，有52.70%的难懂受访者明确表示曾发生过个人信息泄露。

“数字信息化时代，个人信息泄露途径、方式越来越多，但目前消费者个人信息保护意识还相对薄弱。”赛迪智库网络安全研究所研究员王伟洁在接受《华夏时报》记者采访时表示。

针对APP侵犯用户权益，今年以来，工信部发布了9批次《关于侵害用户权益行为的APP通报》、11批次《关于APP超范围索取权限、过度收集用户个人信息等问题“回头看”的通报》以及《关于下架侵害用户权益APP名单的通报》的通报。而最近一次的通报显示，38款APP存在超范围、高频次索取权限，非服务场景所必需收集用户个人信息，欺骗误导用户下载等违规行为。

手机APP强制、过度、频繁索权

APP在使用过程中，常会调用部分权限，APP获取权限后会收集哪些信息，不少用户并不清楚。

记者分别使用了能提供不同服务APP（如购物、听音乐、游戏、支付、短视频）时发现，在首次使用App时，都会弹出一则“温馨提示”，并告知“提供相关基本功能，将收集、使用必要信息”“基于明示授权，将获取位置、设备号信息”“未经同意，不会从第三方处获取、共享或向其提供您的信息”，点击同意后方可使用，不同意则无法使用。在使用过程中，部分APP先后索取储存、位置信息、相机、麦克风、通讯录、日历等权限。

“几乎所有APP都会索取权限，比如电话权限、读写手机存储、位置权限等，但不清楚开通权限后，会收集哪些个人信息，我每次都选择了‘仅限本次使用’，但很是麻烦，用一次要选一次，最后不得不选择‘始终允许’。”李莉（化名）有些无奈地向本报记者表示，“有的APP索要权限时，只有‘始终允许、禁止和禁止后不在提示’3个选项，还不得不用，只能同意。”

尽管权限索取的目的、个人信息处理规则会通过《隐私政策》告知用户，但大多数企业的《隐私政策》普遍存在晦涩难懂、冗长繁琐、专业术语较多等问题，导致用户难以真正理解个人信息被收集的用途和目的。

记者阅读了多家APP的隐私政策，不少协议内容超一万字，文字过小、排版较密、重点与非重点文字颜色相近，让不少用户忽略了重点信息。而在《应用权限申请与使用情况说明》部分，所涉及的权限有10-12种，实际使用过程中，用户也难以判断是否允许APP使用权限。

如何定义强制、过度、频繁索权，王伟洁向本报记者解释了相关概念，“‘APP强制索权’可解释为未经用户同意或用户拒绝相关授权申请后，APP强制更改用户设置的权限状态或以APP可用性为条件，强制要求用户同意打开相关系统权限；‘APP过度索权’可解释为APP申请超出其业务功能或者服务外的权限；‘APP频繁索权’可解释为利用弹窗等技术手段，反复申请与当前服务场景无关的权限。”

值得注意的是，不少APP的隐私政策提到了去标识化、匿名化信息，对于这部分信息算不算个人信息，全联并购公会信用管理委员会专家安光勇向《华夏时报》记者采访时表示：“从理论上来讲，即便是通过完全脱敏、且法律允许公开的信息，通过各种组合还是可以分辨出部分个人信息。我们很难只对信息本身规定是否为个人信息（如：车牌号等）。另外，随着技术的发展，即便是之前被定义成非个人信息，也可以通过新技术来辨别出个人。”

北京计算机学会数字经济专业委员会秘书长王娟向《华夏时报》记者表示，欧盟的GDPR不但对姓名、电话、住址、邮件予以保护，最新的定义延伸还包括“可识别”的地理位置、消费信息和信用记录等，不但要求企业主动以通俗易懂的条款解释，事后如果用户个人发现有误解或不愿意授权，还可以随时反悔，要求企业遗忘个人数据。

个人信息保护监管趋严

针对APP侵犯用户权益，今年以来，工信部发布了9批次《关于侵害用户权益行为的APP通报》、11批次《关于APP超范围索取权限、过度收集用户个人信息等问题“回头看”的通报》以及《关于下架侵害用户权益APP名单的通报》的通报。最近的11月3日通报显示，38款APP存在超范围、高频次索取权限，非服务场景所必需收集用户个人信息，欺骗误导用户下载等违规行为，要求11月9日前完成整改。

11月8日，工业和信息化部印发《关于开展信息通信服务感知提升行动的通知》（下称《通知》），决定2021年11月至2022年3月，开展信息通信服务感知提升行动。

此次《通知》显示，根据《个人信息保护法》等相关法律规定，此次专项行动要求首批39家主要互联网企业建立已收集个人信息清单和与第三方共享个人信息清单，并在APP二级菜单中展示，方便用户查询。

对此，王娟认为：“《通知》和已经实行的《个人信息保护法》相辅相成，涉及的39家企业，包括淘宝、美团、小红书等用户个人高频使用APP，集中关注‘谁收集、收集什么，给谁用，用来做什么’；这次的通知旨在提升服务，实在提醒和促进信息通信服务行业规范市场行为。”

针对“在某一APP上浏览、购买产品，而其他APP会推送相关内容”的问题，该《通知》显示，为了让用户清晰掌握个人信息在APP、SDK及其他第三方间的共享情况，将在前期APP专项治理行动基础上，进一步要求企业在二级菜单中列出APP与第三方共享的用户个人信息基本情况，包括与第三方共享的个人信息种类、使用目的、使用场景和共享方式等。

在隐私政策方面，《通知》中明确指出企业应通过简洁、清晰、易懂的方式，向用户提供APP隐私政策摘要，呈现内容应简练、重点突出，便于用户阅读和理解。

值得一提的是，自11月1日起，《个人信息保护法》正式实施。

王伟洁表示，《个人信息保护法》明确了个人信息主体的六大权利以及个人信息处理者的基本义务；尤其是提供重要互联网平台服务、用户数据巨大、业务类型复杂的大型互联网平台，应通过健全制度规则、定期发布个人信息保护社会责任报告、积极配合外部独立机构监督等，严格落实个人信息保护的“守门人”角色；消费者方面，应充分了解《个人信息保护法》赋予个人的基本权利，在个人信息权益受到侵害时，应及时向有关情况部门举报投诉，拿起法律武器维护自身合法权益。

无锡数字经济研究院执行院长吴琦向《华夏时报》记者表示，从企业，要严格落实法规要求；用户要提升信息保护意识，正确应对信息安全风险。

王娟认为，消费者一旦遇到“弹窗关不掉”“一个平台搜索，全网都在推荐”，应注意及时保存证据，投诉和制止平台的不法侵害，对违法出卖个人信息和未经合法授权的滥用个人信息予以举报制止，对强制和变相强制收集数据予以证据收集，并向相关部门举证。

责任编辑：徐芸茜 主编：公培佳