APP风险难控 一次授权=终生授权？

　　□法治报记者  夏天

手机软件（APP）数据库泄密，被曝光用户名竟和他们的明文密码一一对应！这是个例吗？并非如此。育儿、招聘、理财、网购……这些与市民日常生活最贴近的APP，均存在个人信息泄露的风险。

今年初，从上海市“两会”部分委员开始提案，建议检察机关运用“检察建议”推动涉互联网环境下公益诉讼规则完善，到上海市检察机关积极回应，开展APP违法收集个人信息问题专项调查，目前已取得一定进展。日前，本市10款与民生密切相关的手机APP被检察机关查出存在个人信息保护漏洞，纷纷收到检察建议书。他们被敦促整改，如继续违规，严重的或被罚下架。市检察院也组织APP代表、政府部门、代表委员展开面对面研讨。大家达成共识：个人信息保护的“强监管时代”已经来临。但在行政主管机关的执法力量暂时有限的情况下，检察建议将为行业起到样板示范作用。

育儿、招聘、理财、网购均有泄密风险

不需用户同意，就自行收集用户个人信息、用户想要注销账号却找不到途径……门类众多的APP为用户带来便利的同时，也不断暴露出违法收集、使用、处置用户信息的问题。

2019年6月上旬，上海市检察院组织浦东、杨浦、静安等区检察机关，开展APP违法收集个人信息问题专项调查。检察官们通过应用市场，下载安装了留学、育儿、就业招聘、理财、网购等与民生密切相关的手机APP，经查发现，10款手机APP存在违规获取用户信息授权、隐私政策文本不规范、信息保护机制不完善等问题。

据检察官介绍，该10款APP普遍存在无需用户同意、默认授权的方式收集用户个人信息，尤其对于用户身份证号码、银行账号、通信记录等敏感信息不经用户同意便进行采集；部分采集的信息与该APP业务功能完全不相关，甚至存在不开启敏感信息收集权限就无法使用该APP的强制索权现象。

有的APP在用户首次安装、注册时，未按规定主动提醒用户阅读隐私政策，或隐私政策不单独成文甚至没有隐私政策；有的隐私政策中，未明确说明APP要获取权限的种类和范围，而是采用“例如”、“等”表述来模糊规定；有的APP对个人信息存放地域、存储期限、超期处理方式等未作说明；有的隐私政策过期或更新后未告知用户，严重侵害广大用户知情权。

部分APP还无法提供注销账号的途径，注销账号后个人信息的及时删除或匿名化处理不明确；对个人信息查询、更正、删除途径规定不明，对撤回已同意授权、申诉方式等用户操作方法未作说明，对外共享、转让、公开披露个人信息的规则不明确，用户个人信息安全难以得到有效保护。

检察建议出手：

违规APP最重罚下架

针对上述问题，上海检察机关向被监督企业分别制发了检察建议书，建议APP提供者向用户明确获取权限的种类、目的、方式和范围，不得强制要求用户同意授权与服务无关的功能；用户主动选择不同意APP收集个人信息时，应仅影响与所拒绝提供信息相关的业务功能，不应直接退出APP，限制用户的权利。APP运营商应进一步依规完善用户协议和隐私政策，单独成文并显著标识个人敏感信息、政策时效、投诉渠道，明确说明个人信息存储期限和超期处理方式，做到内容标识清晰，通知及时有效。当用户终止使用APP服务后，后台应当停止对用户个人信息的收集和使用，并为用户提供注销号码或者账号的服务。同时，应合法合规处理已收集的个人信息，做好用户隐私保护工作。

检察机关同时向应用商店制发检察建议书，督促其履行监督管理责任，并视情对违反规定的APP采取警示、暂停发布、下架应用程序等措施予以督促整改。

厂商：

“人防”“技防”全面加强

那么对于用户个人信息的保护，APP方面又是如何看待的？他们有何对策，又有何困惑呢？日前，上海市检察院邀请人大代表、政协委员、专家学者、主管部门和部分APP开发运营企业，针对APP收集个人信息如何加强合规性进行专题研讨。

“我们的软件包括自行开发和应用市场上架的,审核工作量巨大,如果现在就要做到万无一失，那不现实。”有应用市场代表诉苦道。

更多厂商代表，还是从自律、完善内部机制角度发表观点。“畅通信息反馈渠道，然后做相应调整。虽然只能称得上是滞后监管，但还是目前较为有效的方式。”有厂商代表说。

技术层面，厂商代表纷纷从“人防”和“技防”角度谈起。“我们增加了技术层面的审核关口。开发团队在提交权限需求时，我们会询问他们要这个权限的理由是什么，并判断这是否有必要？同时，我们开展全员培训，将隐私保护意识，嵌入开发团队的日常工作中，打造个人信息保护在企业内的闭环。”“判断一项功能的应用场景是否合理？我们可以加入防护机制，自动化检测那些不可控风险。我们租用专门的机房保障用户个人信息安全，我们购买商用防火墙隔离风险，及时更新安全补丁，进行漏洞扫描，我们将传输安全放在首要位置，保证不被逆向破解。”

行政执法力量有限检察建议可作示范

对于企业代表们强调的“技防”，人大代表丁嵩冰提出一个典型案例：“此前一个APP数据库泄密，结果发现泄露的用户名和密码不仅一一对应可查，连密码都是明文存储的。

我不禁担心，像我本人这样，密码在许多领域通用的情况应该还是挺多的。那这样的泄密事件，如果发生在我们自己身上，岂不是面临巨大的财产安全危机？”“最近，我的邮箱里塞满了来自海外的用户协议更新邮件。”人大代表沙青青说。他解释：“因为欧盟前不久官方出台了新规，进一步规范了用户信息保护，改善‘一次授权=终生授权’的问题。这就给国内的用户信息保护，起到了一定启发。”

“现在国内也越来越重视个人信息保护了，强监管时代已经来临。”上海交通大学法学院教师何渊博士说。

但时代的车轮滚滚向前。4G时代的个人信息保护尚存疑问，5G时代又接踵而至。上海市消保委相关负责人说：“5G是万物互联的时代，我举两个生动的例子，到时候我们身边的一根路灯，也具备信息收发和运算的能力，我们的手机可能会比今天薄很多，因为大量的本地运算将被移至云端。但同时，这也会带来更复杂的个人信息保护问题。”

人大代表梁庆云认为：“如果企业主体责任继续不明，那么部分APP的核心竞争力，将来反而会成为最大的违规之处。”

政协委员杨建锋从务实角度提出：“我们现阶段要做的，就是制定一个初步的‘游戏规则’，在各方利益诉求之间，寻求博弈的平衡。”而针对个人信息保护存在的实际问题，研讨会一致认为，行政主管机关的执法力量有限，检察建议具有样板示范作用，应当建议企业尤其是应用商店，尽到市场主体责任，形成保护公民个人信息的良好氛围。

新闻背景

今年全国和上海两会期间，部分人大代表、政协委员热议公民个人信息保护问题。上海市两会上，杨建锋等23名市政协委员联名提出了第0932号《关于发挥检察机关在APP侵害消费者数据隐私公益诉讼中作用的建议》提案，建议检察机关运用“检察建议”督促政府加强监管和推动行业自律，推动完善涉互联网环境下公益诉讼规则等。人民群众有期盼，人大代表、政协委员有呼声，上海检察机关就此根据最高检的部署，试水公民个人信息保护领域。

今年上半年，上海市检察院先后走访了市网信办、市消保委等单位，就如何保护公民个人信息安全，促进互联网企业依法经营、创新服务，营造良好营商环境等方面进行沟通交流、工作对接。6月上旬，上海市检察院组织浦东、杨浦、静安等区检察机关，开展APP违法收集个人信息问题专项调查。

SourcePh" style="display:none">