工信部對侵害用戶權益App的整治仍在繼續。

1月8日，工信部公布了第二批涉及侵害用戶個人信息的App名單，共有15個App上榜，其中不乏拉勾招聘、luckin coffee等App。工信部要求所提及App在1月17日前完成整改落實工作，逾期不整改將依法依規組織開展相關處置工作。

工信部表示，將以此次專項整治行動為契機，持續加強App監督檢查，形成常態化監管機制，切實維護用戶權益。

兩批次共有56個App涉及侵害用戶權益，雖然用戶對侵犯個人信息的行為感知力度不如其他侵權行為明顯，但數據隱私危害不可小覷。

整改圍繞用戶個人信息展開

國內關于App侵害用戶權益的整改開始于去年。隨后，工信部發布了《App違法違規收集使用個人信息行為認定方法》的通知，重點審查八類問題。

北京市盈科律師事務所高級合伙人王貝貝向第一財經記者表示，本次監管主要側重于用戶對于個人信息被收集、使用的知情權、同意權；收集個人信息的內容、范圍及方式；以及用戶個人信息的刪除注銷等方面。

根據第一財經統計，兩批次被點名的56個App中，有30個App出現私自收集個人信息的問題，22個App出現過度索取權限的問題，19個App出現私自共享給第三方的問題。

但網絡的隱私安全與便利性猶如硬幣兩面，并非每一位身在其中的用戶都能清醒認識到這類侵權行為的危害。王貝貝則把侵犯用戶隱私的三大危害歸結如下：

首先，違規收集個人信息的行為嚴重侵犯了公民的隱私權。違規取得的個人信息可能被用于廣告推銷、個人信息分析、虛構金融交易、利用他人身份設立金融賬戶或進行信用貸款、個人信息販賣等嚴重損害公民權益的行為。

其次，此類行為可能造成個人身份證號碼、家庭住址、銀行賬戶等關鍵信息泄露，受到不明身份的第三方的騷擾；損害個人征信，影響個人進行信用貸款或金融交易等經濟活動；損害公民的財產安全。

最后，個人信息泄露可能影響個人家庭住宅安全，引發惡性刑事案件。

“App很可能不會主動教育用戶，這要靠媒體對App的功能和‘坑’進行科普，政府和司法作為裁判進行定性，比如應該關注什么，哪些說法有問題。普通用戶目前想象不到隱私泄露是多么可怕的一件事，商家和用戶解釋隱私的語言也不一樣?！睆氖乱苿踊ヂ摼W與社會學跨學科研究的復旦大學計算機科學技術學院副教授陳陽接受第一財經采訪時說。

他表示，時代的問題需要跨學科解決，社交網絡使用體驗與隱私保護同樣重要?！耙郧叭藗儗pp的依賴不大，現在會一方面享受好處，另一方面在擔心。執法部門需要關注和了解這些問題，至少能做的是提高App開發商侵犯隱私的成本?！?/p>

違規App整改進行時

從第一批被點名App反應看，App分為按要求整改和未按要求整改被下架處理兩類。

按要求整改的App屬于多數。為了統計日活月活數據，“學霸君1對1”安卓App會在用戶啟動時向第三方分析平臺友盟發送設備唯一識別碼，因此被認為數據共享給第三方。相關負責人王海紅向第一財經記者表示，事發后，學霸君已經解除了和友盟的合作，并且不會再向第三方平臺提供相應識別碼。

王貝貝提到，《網絡安全法》第四十二條規定網絡運營者未經被收集者同意，不得向他人提供個人信息，在經營者委托第三方進行統計和分析的同時，第三方也相應知道了用戶的詳細信息，這種未經允許的行為同樣觸犯了法律法規。若APP確有需要委托第三方進行數據分析的，應當按照《認定辦法》第二項逐一列出被委托的第三方收集信息的目的、方式、用途等。

包括學霸君1對1在內，不少企業存在用戶數據分析的需求，友盟這類第三方數據統計分析平臺應運而生。不過，第三方平臺如何處理這些數據是關鍵，第一財經記者就此聯系友盟，截至發稿未獲回復。

一位信息技術專家向第一財經記者表示，第三方數據營銷公司通常會利用這些違法違規獲取的數據進行“用戶畫像”，預判貸款、投資、保險、教育乃至衣食住行各類需求，繼而針對特定人群進行精準營銷；抑或實施電信網絡詐騙。

《司法大數據專題報告之網絡犯罪特點和趨勢》顯示，19.16%的網絡詐騙案件是獲取公民個人信息后有針對性地實施詐騙犯罪行為。

在第一批被通報的App中，人人視頻、春雨計步器和微唱三家企業因未按要求整改而被下架處理。

人人視頻向第一財經記者表示，應用內存在部分早期技術問題未解決，導致本次應用下架。人人視頻將按時完成整改，提供合法合規版本，確保用戶權益不受侵害。

灰色地帶更苦惱

對于個人數據隱私的保護，歐盟的立法意識在國際上則是“先行者”。2018年由歐盟起草的GDPR（General Data Protection Regulation，通用數據保護條例）生效的9個月以來，來自31個歐洲經濟區國家的監管部門報告的案件總數為206326例，主要源于投訴、數據泄露通知以及其他類型。其中，大多數案件（94622例）是基于投訴，管理員的數據泄露有64684例。這些案件中有52%已經結案，另外1%的案件仍值得商榷。

記者注意到，這20多萬起調查罰款總額達到5600萬歐元。其中谷歌因在法國違反GDPR在2019年1月被法國國家數據保護委員會處以5000萬歐元的巨額罰款（約5680萬美元）。法國監管機構國家信息與自由委員會（CNIL）表示，罰款是因為谷歌未能向用戶提供有關其數據同意政策的足夠信息，也沒有向用戶提供對自己信息足夠的控制權。

和歐盟相比，我國對于個人數據隱私的保護還不夠成熟。目前，我國對于個人數據隱私和侵權等問題還存在“灰色地帶”。

一位上海用戶向第一財經記者反映，在未被告知參與抽獎會分享個人聯系方式給商家的情況下，參與某生活服務類App抽獎后，收到了諸多推銷電話及短信。他向記者表達了隱私被泄露的憤怒以及和平臺溝通中對方對此的漠視和傲慢。

對此，第一財經記者聯系了該平臺，平臺方表示隱私政策中明確列舉了中獎會向第三方共享信息用于發放獎品，但此次活動的頁面確實存在提示語言不明確的問題，且客服和社群沒有及時有效地處理用戶的問題。收到用戶反饋后，平臺已第一時間將該活動下線，并將在活動規則頁面進一步優化增強對用戶的告知。

令人遺憾的是，該App對為何會出現參與一次抽獎卻接到多個商家電話推銷避而不談。不過針對這一案例，王貝貝認為無法界定是否侵權，因為將用戶聯系方式推給商家是霸道用戶協議還是合理使用數據難以定性。

“我們現在發現公眾對這個事情意識很弱。他們自愿性讓渡了權利，但這是沒有辦法的辦法，因為用戶知道個體形成不了影響力，為了要用平臺的服務只能夠讓渡。如果有更好的選擇，用戶當然會選擇安全?！敝袊澞莛┬怒h境顧問集團有限公司可持續發展部高級經理、全球報告倡議組織（GRI）大中華區顧問袁圓告訴第一財經。

針對這類灰色地帶，王貝貝認為App主動進行改善顯得非常重要。對于用戶感知度方面，App需要完善提醒機制，在獲取相關信息時以較為明顯的方式，對公眾進行告知提醒，對于重要信息的使用可以增強告知“強度”，（即獨立于隱私政策文本之外， 在用戶注冊賬號、安裝程序、首次使用時彈出告知界面），以突出相關政策的核心內容。同時也要注意提醒的頻次和方式，允許用戶自主選擇相關權限的設置。

監管的未來走向

除了提高用戶意識，監管需要更加到位，關鍵在于標準的制定。

袁圓提到可以參考行業龍頭企業的實際操作、其他地區的做法以及基層調查，并在可行性和執行性上進行分析，推出成熟的規則?！拔蚁Ｍ覀円灿兄袊姹镜腉DPR。通過大型的公眾調查或者讓公眾發聲，參與到這樣的熱點或者議題中。他們的反饋就變成了我們跟大型企業談判，以及跟主管部門談判的一個方面?！?/p>

律師認為，不管是企業自查還是抽查方式，都需要建立一套嚴明的審查標準，實現網絡隱私權監管的系統化和機制化。

目前，《App違法違規收集使用個人信息行為認定方法》詳細列舉了八項侵犯用戶數據的行為，但還有必要進一步細化合規紅線。

其次，應當讓合規標準真正切實落地，一方面對企業內部來說，應當發揮企業法務部門的自查優勢，自行或聘請專業機構根據監管部門的核查方向開展自查自糾行動，讓企業法務部門就開發、使用等業務各個流程環節中實現對流程的控制和管理。

除此以外，技術應用也十分重要。上述信息技術專家認為，盡管眾多App開發者和運營者都高度重視隱私合規問題，但始終面臨著檢測標準難對齊、成本難控制、維度不全面、結果不準確的困境。而伴隨著App自身版本的頻繁迭代和終端系統層面復雜的權限結構，匹配監管要求的核查與修正通常也無從下手。

對此，專家建議可以由大公司牽頭，同國家計算機病毒應急處理中心（CVERC）等機構聯合與監管要求全面對齊，覆蓋App在產品設計、開發測試、上線前安全測試和產品上線后等各個階段不同的隱私權限合規檢測需求。

責任編輯：方杰