謝慧華

6月1日，全國信息安全標準化技術委員會發(fā)布《網(wǎng)絡安全實踐指南——移動互聯(lián)網(wǎng)應用基本業(yè)務功能必要信息規(guī)范》（下稱《規(guī)范》），App超范圍收集、強制授權、過度索權等個人信息安全問題有望得到進一步規(guī)范?！兑?guī)范》依據(jù)個人信息收集最少夠用的原則以及不同種類App的業(yè)務范圍，對地圖導航、網(wǎng)上購物、餐飲外賣等16類App收集個人信息的范圍給出了參考。隨著《規(guī)范》的發(fā)布，移動互聯(lián)網(wǎng)的隱私安全問題是否有望得以解決呢？

為App隱私安全立法勢在必行

App竊取用戶隱私一直是網(wǎng)絡安全的重災區(qū)，隨便打開一款新安裝的App，啟動界面就會接連跳出多項權限申請。要想進一步使用App的功能，注冊時還必須一并同意其附帶的《隱私政策》。細讀這些條款，充斥著大量技術專用名詞，將收集隱私美其名為“保護隱私”，卻對收集后如何安全保存避而不談。不給權限，不同意《隱私政策》，就只能退出應用界面。

2018年底，中國消費者協(xié)會發(fā)布的《100款App個人信息收集與隱私政策測評報告》顯示，10類100款App中，多達91款App列出的權限存在涉嫌“越界”過度收集用戶個人信息的問題。特別是在有關隱私條款上，報告顯示當前許多手機App存在諸如隱私條款籠統(tǒng)不清，不主動向用戶展示或展示內容晦澀冗長沒有為用戶提供訪問、更正、刪除個人信息的途徑，大量收集與所提供服務無直接關聯(lián)的個人信息等典型問題。

2019年1月25日，中央網(wǎng)信辦、工信部、公安部、市場監(jiān)管總局四部門聯(lián)合發(fā)布《關于開展App違法違規(guī)收集使用個人信息專項治理的公告》，決定自2019年1月至12月，在全國范圍組織開展App違法違規(guī)收集使用個人信息專項治理。App運營者收集使用個人信息時，不得收集與所提供服務無關的個人信息，不得以默認、捆綁、停止安裝使用等手段變相強迫用戶授權。為規(guī)范App收集、使用用戶信息特別是個人信息的行為，市場監(jiān)管總局、中央網(wǎng)信辦還從2019年3月起開展App安全認證工作，并鼓勵搜索引擎、應用商店等明確標識并優(yōu)先推薦通過認證的App。

《規(guī)范》明確界定16類基本業(yè)務功能

《規(guī)范》指出，移動互聯(lián)網(wǎng)應用個人信息收集活動，主要依據(jù)《信息安全技術個人信息安全規(guī)范》的“個人信息安全基本原則”，遵循權責一致、目的明確、最少夠用、選擇同意、公開透明、確保安全六個原則。針對App的基本業(yè)務功能，明確界定了保障其正常運行所需收集的個人信息，給出了每類業(yè)務功能相關的必要信息范圍。

同時，《規(guī)范》首次對《中華人民共和國網(wǎng)絡安全法》提出的“合法、正當、必要”原則中的“必要原則”給出具體界定，將App“非越界”索取的信息分為了通用功能相關必要信息與基本業(yè)務功能相關必要信息兩類。其中，基本業(yè)務功能是指滿足個人信息主體選擇使用App的最主要需求和根本期待的業(yè)務或功能?！兑?guī)范》清晰界定了地圖導航、網(wǎng)絡約車、即時通訊社交、社區(qū)社交、網(wǎng)絡支付、新聞資訊、網(wǎng)上購物、短視頻、快遞配送、餐飲外賣、交通票務、婚戀相親、求職招聘、金融借貸、房產交易、汽車交易等16類基本業(yè)務功能相關的必要信息范圍。

其中，地圖導航類應用的基本業(yè)務功能必要信息僅為位置信息，包括精準定位信息和行蹤軌跡;短視頻類應用只能獲取用戶關注的賬號信息但自媒體用戶則需要提供姓名、證件和證件號碼等用于實名認證的信息，大大縮小了獲取范圍。針對目前較多App讀取用戶通訊錄的要求，《規(guī)范》也給出了明確的范圍限制。比如針對金融借貸類應用，《規(guī)范》要求應允許用戶手動輸入兩位緊急聯(lián)系人信息;即時通訊社交應用應該允許用戶手動添加好友，而不應強制讀取用戶的手機通訊錄。

《規(guī)范》中還指出，瀏覽、搜索、點擊等操作記錄通常是非必要信息，收集時應告知用戶并征得其同意;保存和使用個人上網(wǎng)記錄時，對個人信息進行去標識化處理;使用個人上網(wǎng)記錄用于分析用戶畫像進行個性化展示和推薦時，告知用戶使用目的，并提供用戶退出定向推送模式選項。以新聞資訊類應用為例，存在聚合類新聞應用需收集用戶的瀏覽操作記錄。根據(jù)《規(guī)范》，該業(yè)務功能應告知用戶并征得其同意，如果用戶拒絕，App應提供讓其退出定向推送模式的渠道。

《規(guī)范》之外，我們還能做什么？

需要注意的是，《規(guī)范》并沒有限定App完全不能超出必要性范疇收集信息但是必須得有充分的理由，或者額外的規(guī)定，比如國家的法律法規(guī)或行業(yè)管理要求等等，并且允許用戶自主選擇同意。這給了App可乘之機。根據(jù)《規(guī)范》，“求職招聘”類App可以索取的必要信息包括用戶注冊的手機號碼、賬號信息、求職者基本信息、教育信息和工作經歷信息等。但在截稿前，我們在正規(guī)應用商店下載的《智聯(lián)招聘》，依然需要讀取應用列表、位置、通訊錄等與上述可索取信息并不相干的權限，且并未提示為何開啟這些權限。對于位置信息，我們還能理解為推薦附近的工作機會，但通訊錄和應用列表完全與求職招聘業(yè)務無關。與之對比同屬于“求職招聘”類《BOSS直聘》與《前程無憂》只開啟了位置信息。由此可見，除了法律方面的不斷完善，企業(yè)加強自律，從源頭上減少被泄露的信息量，作為使用者的用戶依然需要加強自我防范意識。

在使用手機的過程中，我們應當積極管理手機隱私權限，在安裝軟件時就將有些涉及隱私信息但又不必要的權限關閉;選擇正規(guī)的下載渠道，安裝過程中認真閱讀App要求的訪問權限和隱私條例;提高自我隱私安全保護意識，不要輕易授權密碼記錄等核心隱私數(shù)據(jù)。

“隱私換便利”并不會隨著《規(guī)范》的出臺而終結，但我們應該明白：針對功能的必要隱私可以犧牲，但非必要隱私萬萬不可泄露。