App泄露用戶信息早已不是什么新鮮事。今年6月，工信部網站發(fā)布《關于侵害用戶權益行為的App通報(2020年第一批)》，在16款未完成整改的App名單中不乏e代駕、當當?shù)戎麘茫蚁喈斠徊糠稚婕皩⒂脩粜畔ⅰ八阶怨蚕斫o第三方”。

　根據(jù)12321網絡不良與垃圾信息舉報受理中心接到的投訴情況看，個人信息收集使用規(guī)則、權限申請、個性化服務以及賬號注銷等方面，都有大量用戶投訴。隨著大眾對個人信息價值認識覺醒，不少用戶開始反感與自己“心有靈犀”的應用推送，畢竟在“默契”背后隱藏的或許是對個人隱私信息的侵犯。

　最大風險產生在數(shù)據(jù)流通、共享環(huán)節(jié)

　“公民的位置、信用、交易等信息被源源不斷收集、存儲在網絡空間，信息泄露的危害也越來越大。如何規(guī)范網絡運營者收集、使用個人信息行為，遏制個人信息濫用及衍生的詐騙等，需要政府、行業(yè)、企業(yè)和個人的通力合作。”在日前舉辦的中國互聯(lián)網大會“個人信息保護”論壇上，中國互聯(lián)網協(xié)會副理事長黃澄清這樣說。

　近年來，小程序、快應用等蓬勃發(fā)展。這些即時應用不需安裝、即點即用，還具備了傳統(tǒng)App完整的應用體驗。中國信息通信研究院泰爾終端實驗室信息安全部主任寧華說，一些企業(yè)內部管理不夠完善，防護能力不足導致數(shù)據(jù)容易泄露。比如，企業(yè)人員管理技術不完善，缺乏對管理、開發(fā)人員的安全防護培訓等。

　另外，收集、使用個人信息難感知、難取證現(xiàn)象依然存在。寧華認為，個人信息經常在用戶不知情的情況下被收集、使用。比如，用戶在搜索過程中輸入信息、在談話中聊天聊內容，都在以用戶可感知形式呈現(xiàn)在了一些App的個性化推薦中。

　百度集團法務部負責人李妍潔也認為，人工智能時代，模型訓練不能離開數(shù)據(jù)，而往往最大風險產生于數(shù)據(jù)的流通和共享之中。“如何在保護個人信息安全前提下，實現(xiàn)數(shù)據(jù)流通、共享，成為了一大挑戰(zhàn)”。

　定向推送背后是“懂你”還是“害你”

　日前，央視新聞報道手機App“偷窺”亂象，有App十幾分鐘內訪問照片和文件兩萬多次，涉及移動教學軟件“優(yōu)學院”、辦公軟件“TIM”等多款產品。

　“未經用戶同意，部分App存在頻繁調用API接口（操作系統(tǒng)留給應用程序的調用接口）獲取用戶信息現(xiàn)象。我們測試發(fā)現(xiàn)，部分應用在后臺運行情況下，按每5分鐘、30分鐘或1小時的間隔調用API，這種行為并不存在于合理的應用場景中，也沒有出具必要的情況說明。”寧華說。

　工信部20號令第11條規(guī)定，不得收集其提供服務所必需以外的信息，不能將用戶個人信息用于其提供服務之外的目的；工信部337號文中也規(guī)定，超范圍收集個人信息，如果是非服務所必須或合理應用場景，不應該存在超范圍、超頻次讀取通訊錄、位置信息、身份證、人臉等行為。

　針對人們常說的“App竊聽用戶隱私”行為，寧華認為，從產業(yè)發(fā)展趨勢看，基于神經網絡語音識別、芯片技術迅速發(fā)展，語音識別正趨于本地化、免喚醒、低功耗，部分App正在利用上述技術“竊聽”隱私并做定向推送。

　“我們也在對個人信息保護出現(xiàn)的新問題進行重點排查，包括集成第三方服務時責任界定、完善權限申請目的告知能力、優(yōu)化調用行為記錄等。”寧華認為，可以采用以合作協(xié)議、合同等方式界定雙方責任，在權限管控方面優(yōu)化終端權限授予機制，推動權限開放最小化；同時，完善應用權限申請使用機制，盡量移出不必要的第三方依賴權限，涉及日歷、通信錄、通話記錄、短信、電話、位置等敏感信息，推動權限申請目的告知一體化。

　近年來，泰爾終端實驗室正在加強設備唯一識別碼防護，制定移動終端設備、藍牙MAC地址、特定Cookie設備的識別碼標準，以及推動構建移動互聯(lián)網應用簽名認證機制，通過電子簽名技術實現(xiàn)應用防篡改。

  破解責任界定不清，監(jiān)管尚須“道高一丈”

　目前，個人隱私問題的主體責任不清晰、舉證困難等，正在成為整治中面臨的常見現(xiàn)象。另外，在違法違規(guī)收集使用個人信息方面，很多惡意應用也在通過打擦邊球方式，在命名、圖標樣式方面與熱門應用類似，一些小眾分發(fā)平臺監(jiān)測審核力度參差不齊，導致了平臺出現(xiàn)惡意應用比例相對較高。

　“開發(fā)者、監(jiān)測機構、分發(fā)平臺、終端系統(tǒng)等，缺乏完整的數(shù)據(jù)信任鏈條，目前系統(tǒng)在安裝、使用應用時很難進行鑒別，對于普通用戶來說，更缺乏相應能力識別惡意應用，只能依賴分發(fā)平臺和終端安裝時的相應提示。”寧華說。

　不容忽視的是，現(xiàn)在部分第三方SDK（應用軟件開發(fā)工具集合）同時被多家應用集成使用，其在收集使用方面與軟件應用一樣都具備同樣能力。寧華坦言，在集成SDK方面，應用通常缺乏有效技術和管理手段，在發(fā)生個人信息保護問題時，很難第一時間確定原因，也存在責任不清或相互推委現(xiàn)象。

　在業(yè)界看來，移動應用開發(fā)者在集成或接入第三方服務時，應該明確雙方在公開處理個人信息規(guī)則，明示處理個人信息目的、方式、范圍以及在爭取用戶同意等方面，不應該因責任界定不清，導致監(jiān)管乏力。

　九龍治水之下可適當引入“問責制”

　今年以來，《數(shù)據(jù)安全法》《個人信息保護法》等法律法規(guī)陸續(xù)被列入全國人大常委會審議日程；前段時間，國家四部委再次聯(lián)合開展App違法違規(guī)收集使用個人信息專項整治行動。未來，隨著個人信息保護工作進入深水區(qū)，后續(xù)加強立法、制定監(jiān)管政策、保障跨境數(shù)據(jù)流動等，都將成為行業(yè)常態(tài)。

　“目前‘九龍治水’格局下，不同部門都有相應執(zhí)法權，但卻是分散的執(zhí)法體系。”中國互聯(lián)網協(xié)會個人信息保護工作委員會主任委員周漢華說，工信、市場監(jiān)管、公安、網信、教育、醫(yī)療衛(wèi)生、金融等部門都負有相應責任，但當前管理格局導致某些情況下執(zhí)法責任邊界不明確，容易出現(xiàn)推卸責任的情況。

　在阿里巴巴集團法務部法律研究中心副主任顧偉看來，需要在法律層面引入相應問責制。比如，明確要求企業(yè)需要履行相應的個人信息保護原則，實現(xiàn)企業(yè)對個人信息保護的主動“履職”。

　據(jù)初步統(tǒng)計，目前已有140多個國家出臺個人信息保護法，各國個人信息保護執(zhí)法管理機構也都紛紛加強信息濫用以及泄露事件的處罰力度。“最新調研顯示，GDPR實施兩年以來數(shù)據(jù)保護部門共實施231次罰款，罰金都是‘天文數(shù)字’。在這樣的監(jiān)管力度下，相信會有更多重視個人信息保護的行動開展。”李妍潔說。周漢華也認為，目前最好的結果是能夠設立獨立的個人信息保護機構，從而解決政企不分、政監(jiān)不分的傳統(tǒng)管理弊端。