管住APP 伸向个人信息的“手”！

无星无杠

管住APP 伸向个人信息的“手”！

APP个人信息保护管理新规对“强制获取权限”等行为说不

    近日，工信部发布消息表示，《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》（以下简称《征求意见稿》）正式进入向社会征求意见的阶段，APP再不能乱“伸手”了？

    ●南方日报记者 姚翀

    原则

    “知情同意”“最小必要”

    此次《征求意见稿》在国家互联网信息办公室的统筹指导下，由工业和信息化部会同公安部、市场监管总局联合制定完成。

    工信部指出，近年来，我国个人信息保护力度不断加大，但APP个人信息收集使用规则、目的、方式和范围仍存在不明确的地方，部分环节仍存漏洞，个人信息保护面临诸多问题和挑战。

    《征求意见稿》共计二十条，界定了适用范围和监管主体，明确了“知情同意”“最小必要”两项重要原则，细化了APP开发运营者、分发平台、第三方服务提供者、终端生产企业、网络接入服务提供者五类主体责任义务，提出了投诉举报、监督检查、处置措施、风险提示等四方面规范要求。

    痛点

    直指“自动更新”“强制获取权限”等顽疾

    南方日报记者注意到，“应当在对应业务功能启动时，动态申请APP所需的权限，不应强制要求用户一揽子同意打开多个系统权限，且未经用户同意，不得更改用户设置的权限状态。”“用户拒绝相关授权申请后，不得强制退出或者关闭APP，不得提前申请超出其业务功能或者服务外的权限，不得利用频繁弹窗反复申请与当前服务场景无关的权限。”“未经用户同意或者在无合理业务场景下，不得自行进行唤醒、调用、更新等行为。”，这样的要求在《征求意见稿》中明确。

    这些条款提及的，几乎就是很多用户日常在使用APP时遇到的熟悉场景。“我不喜欢‘自动更新’，这种强制的感觉不好，而且有的APP更新了之后，反而不好用。”洪先生告诉记者。

    正如洪先生所言，记者注意到，在网络社交平台上，不少人甚至焦虑于如何把“偷偷摸摸自动更新”的软件安装回以前的版本。记者实测则发现，自动更新几乎是很多APP的标配，一如当年的“PC时代”的开机自动启动。

    而另外一个流氓行为，则是强制获取用户数据权限。“选隐私还是选APP”，这竟然成了当下很多用户遇到的难题。记者在手机上测试发现，基本上所有APP都希望读取用户的通讯录、位置、摄像、录音等信息，而为了达成这些目的，许多软件强制要求授权某些权益，否则的话就不能正常运营并且使用该软件，有些还会强行退出APP。

    “我在使用一个视频编辑的软件的时候，真的需要访问通讯录、获取地理位置等这些权益吗？”不少用户就曾疑问。正如这样的质疑，有些功能是必须获得授权后APP才能运行，但目前，大部分授权其实APP并不需要，亦并非应用场景。

    《征求意见稿》无疑指向了这些最为熟悉的痛点。

    反响

    如何实施更为重要

    面对个人信息保护问题，早在今年的“3·15”，国家就有《网络交易监督管理办法》的出台，其中规定，网络交易的经营者不能强制消要求费者捆绑安装、默认授权。此次《征求意见稿》则是进一步的强调：APP的获取授权信息，必须得征求用户同意并且是软件运行必要才能进行。

    《征求意见稿》对个人信息保护管理的要求更为细致，而相关责任厘清也更为明确，不少用户对这样的规定拍手叫好，但也有很多用户进一步提出“关键还得看实施”。

    值得注意的是，此前，相关部门曾加大力度整治APP“隐私政策”设立的问题，经过整治后，目前很多APP都设立了“隐私政策”，不过，部分用户亦反馈，当前APP呈现的隐私政策，往往很冗长，且完全没有标明重点，只是一个文字堆积形式，这成为一个新的问题。

    与此同时，在相关部门的高压整治下，问题APP仍继续出现。近日，广东省通信管理局便发布消息称，今年2月至3月共监测发现150款APP存在侵害用户权益和安全隐患问题，其中，不乏如祺出行、广东南粤银行、懒人听书FM等产品。

    关键

    要掐住审核上架的源头

    在实施中，如何真正杜绝这些层出不穷、“顶风作案”的APP？部分用户及相关专家认为需从APP应用审核上架的源头就开始高压管理。

    从这个角度上讲，对应用商店的违规惩戒及生态管理更为重要。工信部近日即对外公布，在今年一季度检测中，腾讯应用宝、小米应用商店、OPPO软件商店、华为应用市场和vivo应用商店发现问题APP数量分别占比14.22%、13.81%、12.80%、11.37%和11.17%，存在上架审核不严格，存量问题清理不彻底，登记核验APP开发运营者信息不准确，误导用户下载等问题。

    目前，苹果应用商店比安卓应用商店在这方面的审核更为严格。这几天，苹果推送了iOS 14.5与iPadOS 14.5正式版更新。在最新的公开发行版本中，所有APP都必须使用APP Tracking Transparency（ATT）框架来征得用户的许可，才能对其进行跟踪或访问其设备的广告标识符。

    苹果表示，任何试图通过提供奖励来说服用户启用追踪功能的应用都将被App Store禁止。将APP提交审核时，开发者必须在产品页面的“App Store隐私信息”部分中，为其他任何形式的跟踪（例如，按名称或电子邮件地址）提供声明；同时，这些跟踪将仅在通过ATT框架征得许可的情况下才能进行。

无星无杠

APP新规：管住“乱伸的手”运营者收取信息不得“出圈”

[size=18.768px]      我们已经进入到了互联网时代，现在互联网基本上已经覆盖了我们生活的衣食住行等各方面。不得不说，互联网的发展确实为我们提供了非常便捷的服务，让我们的生活变得更加便利了。但是，随着互联网的飞速发展，也有不少互联网企业动起了“歪心思”，它们开始通过各种App获取并滥用用户的个人隐私信息，损害用户利益而让自己非法获利。

      3月22日，为贯彻落实《中华人民共和国网络安全法》关于“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则”“网络运营者不得收集与其提供的服务无关的个人信息”等规定，国家网信办(互联网信息办公室)、工信部(工业和信息化部)、公安部、国家市场监管总局等多部门联合发布了《常见类型移动互联网应用程序必要个人信息范围规定》（以下简称《规定》）。

     《规定》明确了移动互联网应用程序（App）:地图导航、网络约车、即时通信、网络购物等39类常见类型移动应用程序必要个人信息范围，要求其运营者不得因用户不同意提供非必要个人信息，而拒绝用户使用App基本功能服务。

      今年央视315晚会上曝光了不少随意收集、滥用用户个人隐私信息的App，很多平台也都下架了相关应用。但是，App超范围收集个人隐私信息并不是近日才有的，在近两年，CNMO就曾报道过多起App收集用户个人隐私信息的新闻。现在，国家相关部门联合制定了新规来规范这种互联网乱象，希望能真正为用户的隐私信息提供有效保护。

      目前，手机中的应用程序已经多达数百万种，而记者在走访中得知，很多市民都遇到过必须提交个人信息才能使用的问题。

      不少人在使用各类APP时想必都遇到过注册绑定、提交多种个人信息等情况。

     明确收集范围，划出红线底线。

   “刚刚聊到某个话题，很快就在一些App中收到相关广告”，你是不是也有过类似的经历？这也许并不是巧合。

      工信部副部长刘烈宏曾在不久前的App个人信息保护监管座谈会上说，当前，一些App在商业利益驱动下，未经用户同意违规获取语音等输入信息，并进行广告精准推送。

      过度索权引发的焦虑、风险，被高度关注、重点整治。继工信部重点整治违规调用麦克风、通讯录、相册等权限，四部门出台的规定将矛头聚焦这一问题。

      规定明确了39类常见类型移动应用程序必要个人信息范围。比如，地图导航类的基本功能服务为“定位和导航”，必要个人信息为位置信息、出发地、到达地。网上购物类的基本功能服务为“购买商品”，必要个人信息包括注册用户移动电话号码；收货人姓名（名称）、地址、联系电话；支付时间、支付金额、支付渠道等支付信息。

      业内专家认为，规定对信息收集范围进行明确，鲜明指出必要个人信息是指保障App基本功能服务正常运行所必需的个人信息。划出底线、明确红线，为保护个人信息提供规则依据。

      知情同意、最小必要是重要原则 记者从工信部了解到，工信部正会同相关部门尽快出台《移动互联网应用程序个人信息保护管理暂行规定》，知情同意和最小必要是其中两项个人信息保护的重要原则。

      知情同意原则要求从事App个人信息处理活动，应当以清晰易懂的语言告知用户个人信息处理规则，由用户在充分支持的前提下作出自愿、明确的意思表示。最小必要原则要求从事App个人信息处理活动，应当具有明确合理的控制，不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。

      不久前，电信终端产业协会发布了《App收集使用个人信息最小必要评估规范》系列标准，最小必要原则同样位列其中，旨在对移动互联网行业收集使用用户人脸、通讯录、短信、位置、图片等个人敏感信息进行规范。

      工信部将重点解决“麦克风权限滥用”“未经用户同意擅自读写相册”“过度索取通讯录”等当前用户反映强烈的热点问题‘持续专项行动对拒不接受整治的要坚决下架,“我们保护个人信息的态度是坚决的，法律是不断完善的，技术水平也在不断提升。”工信部部长肖亚庆此前公开表示。

      常见类型App的必要个人信息范围：

      （一）地图导航类，基本功能服务为“定位和导航”，必要个人信息为：位置信息、出发地、到达地。

      （二）网络约车类，基本功能服务为“网络预约出租汽车服务、巡游出租汽车电召服务”，必要个人信息包括：

      1. 注册用户移动电话号码；

      2. 乘车人出发地、到达地、位置信息、行踪轨迹；

      3. 支付时间、支付金额、支付渠道等支付信息（网络预约出租汽车服务）。

     （三）即时通信类，基本功能服务为“提供文字、图片、语音、视频等网络即时通信服务”，必要个人信息包括：

      1. 注册用户移动电话号码；

      2. 账号信息：账号、即时通信联系人账号列表。

     （四）网络社区类，基本功能服务为“博客、论坛、社区等话题讨论、信息分享和关注互动”，必要个人信息为：注册用户移动电话号码。

    （五）网络支付类，基本功能服务为“网络支付、提现、转账等功能”，必要个人信息包括：

     1. 注册用户移动电话号码；

     2. 注册用户姓名、证件类型和号码、证件有效期限、银行卡号码。

     （六）网上购物类，基本功能服务为“购买商品”，必要个人信息包括：

     1. 注册用户移动电话号码；

      2. 收货人姓名（名称）、地址、联系电话；

      3. 支付时间、支付金额、支付渠道等支付信息。

      （七）餐饮外卖类，基本功能服务为“餐饮购买及外送”，必要个人信息包括：

     1. 注册用户移动电话号码；

     2. 收货人姓名（名称）、地址、联系电话；

     3. 支付时间、支付金额、支付渠道等支付信息。

    （八）邮件快件寄递类，基本功能服务为“信件、包裹、印刷品等物品寄递服务”，必要个人信息包括：

    1. 寄件人姓名、证件类型和号码等身份信息；

     2. 寄件人地址、联系电话；

     3. 收件人姓名（名称）、地址、联系电话；

     4.寄递物品的名称、性质、数量。

      据悉，工信部连续两年部署开展专项行动。今年将加大力度，延续这样的整治行动。

      在个人信息保护过程中，对拒不接受整治的App要坚决下架。同时，也要提高技术装备能力，检测出信息保护的漏洞。全国App技术检测平台要形成全年检测180万款的覆盖能力。

     记者从工信部了解到，今年，将狠抓严查App侵害用户权益行为，紧盯反复出现问题被点名通报的重点企业。同时推动App及SDK开发运营者、应用分发平台、第三方服务提供者、设备厂商、安全厂商自觉履行社会责任。

     天眼查专业版数据显示，近年来我国互联网安全相关企业增长迅速，以工商登记为准，2020年我国新增超5.5万家互联网安全相关企业，年注册增速达85%。工信部将加大力度推动网络安全产业发展，为信息保护筑牢基础。

      来源：新华社新浪财经