App的愛與恨：想要“更懂我”，擔心“太懂我”

最近，關於外賣App可能“偷聽”用戶的猜測引起許多關注和討論。相關企業很快否認，強調“監聽用戶日常對話並做信息分析”是一種無端猜測，並沒有相應產品設置。雖然如此，但此類討論依然顯示出大多數用戶對App等網絡應用的愛與恨：既希望更便捷、“更懂我”，又擔心了解太多隱私信息，以至於“太懂我”。

對於這類問題，我國從2017年開始施行的《網絡安全法》確立了網絡運營者收集、使用個人信息必須遵循合法、正當、必要等原則。但隨著用戶個人信息被搜集、存儲的機會越來越多，各類侵犯用戶隱私信息的行為依然層出不窮，一些涉隱私的用戶數據洩露事件也頻頻發生，App過度索取權限、超範圍收集、使用個人信息等現象屢禁不止。

針對這類現實問題，前不久閉幕的全國兩會也傳出消息，《個人信息保護法》已被提上本屆全國人大立法日程。3月15日，國家市場監管總局、中央網信辦也聯合發布了《關於開展App安全認證工作的公告》及實施規則，以規範App收集、使用用戶信息特別是個人信息的行為，加強個人信息安全保護。

不過，中國青年報·中青在線記者採訪後了解到，這些監管政策在促進隱私保護體系日趨完善的同時，也面臨著不小的阻力。各方也在尋找，除法律法規等力量以外，還有哪些市場和技術力量可以平衡隱私保護與數據效率這對矛盾？

屢禁不止！近七成用戶遭遇App過度獲取隱私權限

在搜索引擎中查看了大量關於雅思考試的內容後，武漢大學生林海手機中的購物App首頁就被雅思相關書籍和材料攻陷了。“開始是驚訝，隨後是憤怒，然後又感到害怕。”他這樣形容自己發現這一事實後的感受。

在當下，此類現象屢見不鮮。另一位大學生楊小葉在手機上安裝了一款鏡子App，在無意間，她發現這個App竟然“合法”地訪問了她的通訊錄。另一款功能單一的手電筒App甚至冠冕堂皇地要求獲得手機的錄音權限。

2018年7月17日至8月13日，中國消費者協會組織開展的“App個人信息洩露情況”問卷調查顯示，85.2%的受訪者表示遭遇過App個人信息洩露情況；67.2%的受訪者表示，自己所使用的App在其功能不必要的情況下獲取了手機中的隱私權限。

這項調查還顯示，讀取位置信息權限和訪問聯繫人權限，是安裝和使用手機App時遇到最多的情況，通話記錄、短信記錄、攝影頭、話筒錄音等權限也常常被App要求獲取。

中國政法大學傳播法研究中心副主任朱巍對App過度獲取隱私權限的行為深有體會。他曾在手機上安裝使用過一個著名App，但因為經常發送廣告，他就把這個App卸載了。但卸載之後，他還是能時不時地收到該App平台發來的短信廣告，有時甚至還會根據他所在的城市推送相應的廣告。朱巍猜測，這可能是因為，自己在一開始使用這個App時，就在使用協議中允許其獲取過多的隱私權限。

觀韜中茂（上海）律師事務所合夥人王渝偉認為，由於許多企業積弊難改，自身合法合規和政府執法都需要時間和經濟成本，再加上過度收集信息所獲取的經濟收益誘人，這些因素都致使相關法律的推行困難。

騰訊公司法務部數據及隱私中心負責人黃曉林指出，App獲取用戶權限過多、過度的問題由來已久，有些App超出必要範圍獲取用戶的敏感權限很不應該。但這些現象屢禁不止的原因在於，其所面臨的法律風險可能遠遠小於可以獲得的商業利益。

黃曉林還補充說，有很多App集成了多種功能，甚至在未來的迭代升級中會具備更多功能，為了實現這些功能，App會要求獲取更多權限。在這種情況下，判斷其是否過度獲取用戶權限，是否合規，還需要針對每個App的具體功能來做具體判斷。

成效如何？App安全認證開始實施

針對App過度獲取隱私權限等現象，3月15日“國際消費者權益日”當天，國家市場監管總局和中央網信辦聯合頒布了《關於App安全認證的公告》，指定中國網絡安全審查技術與認證中心（ISCCC）為官方認證機構，依據《信息安全技術個人信息安全規範》來制定技術驗證規範，對App進行安全認證。

中國青年報·中青在線記者了解到，上述App安全認證相關通道已經於3月21日正式開通。認證秉承自願原則，按照“技術驗證+現場核查+獲證後監督”的模式進行，對於通過認證的App，將鼓勵搜索平台和應用商店優先推薦。針對App中涉及個人信息安全的具體技術驗證規範已經制定完成，將會對參與驗證的機構公開。

作為互聯網公司的隱私保護從業者，黃曉林對上述App認證持相對樂觀的態度，“對整個行業，對個體和隱私保護（這方面），都會有更加正向的作用，會引領各家企業更加重視這方面的內容。”

黃曉林也指出，目前市場上App數量眾多，企業能否花費足夠的時間和經濟成本參與其中還有待觀察。但對佔據大多數市場份額的App和企業來說，這是一種自我糾錯的過程，可能從源頭上推動企業更加合規。他期待，這類App安全認證工作可以在更多技術手段的幫助下，更加自動化、高效率，甚至像殺毒軟體一樣普及，從而進一步推動App合規運營。

作為長期關注隱私保護領域的律師，王渝偉表示，App安全認證的做法屬於市場調節的治理方法，將使得隱私治理的手段更加多樣化。不過他也指出，儘管此次App安全認證的框架已定，但是仍存在許多邊界不夠明確的地方。例如，細則中出現了重大信息安全事件這一概念，但現行法律對於如何界定重大信息安全事件尚無明確規定。

中國網絡安全審查技術與認證中心（ISCCC）相關人員告訴中國青年報·中青在線記者，目前確無對上述概念的明確定義，將會參照部分個人信息安全相關的評估指南來作為評判的標準。從公開的細則來看，目前對於通過認證的App主要的監管手段依然是以企業自查為主，輔之以社會監督，但真正交由第三方的監督卻十分有限。同時，由於認證是自願進行，未通過認證的App如何管理依然沒有得到徹底有效的解決。

鼓勵製衡！技術界尋解決方案

對於因大數據技術的發展而帶來的隱私保護問題，技術界也在關注並且研究相應的解決辦法。

3月23日，在中國計算機學會青年計算機科技論壇（CCF YOCSEF）舉辦的“人工智能時代，隱私和效率一定是不可調和的嗎？”專題討論中，有技術人員介紹稱，在杭州等地已經在嘗試基於區塊鏈技術開展隱私保護，大致的思路是利用公有鏈形式開展數據交易，以聯盟鏈形式開展數據加密保護。

對於區塊鏈技術在隱私保護領域的應用，中國人民大學教授孟小峰指出，去中心化、可溯源的區塊鏈技術是一個可以研究的隱私保護方向，其有利於在隱私洩露之後溯源、追責，但由於技術尚不成熟、效率不高等問題，區塊鏈技術應用於隱私保護領域還處於探索階段，而且區塊鏈的使用成本也較高，監管部門或者企業會否採用尚無法確定。

作為技術界的實踐者，360行業安全研究中心主任裴志勇認為，採用區塊鏈或是大數據技術來監測隱私洩露情況在技術上都是可行的，但是在實際操作中則面臨著成本過高和依然需要大量人力資源的問題。

在上述專題討論會議上，裴志勇提出一個設想，將目前應用於雲計算領域的“三方製衡原則”引入到App安全監管中：將涉隱私的個人數據所有者、運營者和管理者相分離，避免一個主體既是裁判又是運動員，把這種製衡的能力商業化，鼓勵一種能夠製衡企業利用用戶數據的產業快速發展，從而形成長期持續的市場化監管。

作為法律學者，朱巍認可裴志勇提出的上述觀點。“不能一個人又當運動員，又當裁判，政府不行，企業也不行。”他認為，即將頒布的個人信息保護法需要作出底線規定，讓個人信息保護真正回歸到個人權利本身，在此基礎上，通過企業之間的相互競爭與製衡，尋找更多更可行的辦法。