随着移动互联网深度普及,各类手机APP已成为群众生产生活、休闲消费的必备工具。但当前大量APP存在超范围、非必要、强制性索要权限的乱象,违规获取用户位置、通讯录、相册、麦克风、生物识别等个人敏感信息,严重侵犯公民个人信息权,滋生隐私泄露、电信诈骗、精准骚扰等安全风险,扰乱网络空间秩序,损害群众合法权益。
一、当前APP索要非必要权限侵害个人信息权的突出问题
(一)强制索权常态化,违背最小必要原则
“最小必要”是个人信息保护的核心原则,要求APP仅收集实现核心功能所需的最低权限和信息。但目前多数APP存在强制索权、捆绑索权问题,不授权即无法使用基础功能成为行业普遍乱象。工具类APP如计算器、手电筒、单机阅读器,无端索要通讯录、位置、相册权限;购物、外卖、资讯类APP强制申请麦克风、后台定位权限;游戏类APP索要设备通讯录、存储权限等非必要权限。部分APP未区分核心功能与增值服务,将非必要权限与基础使用权限捆绑,变相逼迫用户妥协,完全背离合规经营底线。
(二)权限申请不透明,用户知情权形同虚设
一方面,多数APP权限告知流于形式,隐私政策文本冗长晦涩、专业术语堆砌,普通用户难以快速读懂权限收集范围、使用用途、存储期限和共享对象,未对敏感权限进行醒目提示和单独说明。另一方面,存在静默收集、后台偷采行为,部分APP在用户未明确授权、未弹窗提示的情况下,通过嵌入第三方SDK偷偷获取设备信息、浏览轨迹、定位信息,用户完全不知情。同时,大量APP不区分单次授权、使用期间授权和永久授权,默认获取永久权限,持续窃取用户个人信息。
(三)权限管理不规范,信息滥用风险突出
一是权限回收机制缺失,用户授权后无法自主关闭非必要权限,部分APP关闭权限后出现功能卡顿、闪退、无法使用等限制,变相阻碍用户权限管理。二是数据流转失控,APP收集的个人信息随意共享给第三方服务商、广告平台,且未明确第三方数据使用规范,同时存在SDK权责模糊问题,开发者借助第三方SDK违规收集信息却规避自身责任。三是数据留存过度,用户注销账号、卸载APP后,平台未按规定删除或匿名化个人信息,长期留存用户隐私数据,埋下泄露隐患。
(四)特殊群体权益受损,侵权隐蔽性更强
老年群体、未成年群体网络防护意识薄弱,成为侵权重灾区。大量低俗、借贷、短视频APP利用老年人认知短板,诱导授权全部权限,窃取身份信息、财产信息;部分儿童APP违规获取定位、麦克风、相册权限,过度收集未成年人人脸、行踪等敏感信息。此类侵权行为隐蔽性高、取证难度大,普通用户遭遇侵权后维权渠道不畅、维权成本高,导致侵权行为屡禁不止。
二、问题产生的深层原因
(一)企业逐利导向扭曲,合规意识淡薄
多数互联网企业将用户个人信息作为核心商业资源,通过过度收集、分析用户数据,实现精准广告推送、用户画像构建、流量变现等商业目的,片面追求经济效益而忽视信息保护义务。同时,部分中小企业合规能力不足,对《个人信息保护法》《网络数据安全管理条例》等法律法规理解不到位,且依托第三方SDK规避合规责任,主观放任权限滥用行为。
(二)监管治理存在短板,惩戒震慑不足
当前APP数量庞大、更新迭代速度快,传统人工排查、抽样检测模式难以实现全覆盖、常态化监管,大量小众APP、小程序、内测版本APP的违规行为难以被及时发现。此外,过往监管多以约谈、整改、通报为主,行政处罚力度偏低,违法成本远低于数据变现收益,难以形成有效震慑。同时,第三方SDK穿透式监管机制落地不彻底,上下游数据监管存在漏洞。
(三)用户防护能力不足,维权机制不畅
广大用户普遍存在“重使用、轻隐私”的心态,安装使用APP时习惯性一键授权,不仔细甄别权限必要性,缺乏主动管理权限、关闭闲置授权的意识。同时,个人信息侵权具有碎片化、隐蔽性特点,用户难以固定侵权证据,遭遇隐私泄露、骚扰诈骗后,举证难、投诉繁、赔付难,维权成本高、收益低,导致多数用户选择沉默,间接纵容了违规行为。
(四)行业标准不够细化,边界界定模糊
目前,针对不同类型APP的必要权限清单落地普及不足,部分行业APP核心功能与附加功能的权限边界界定模糊,导致企业存在模糊操作、钻漏洞的空间。同时,APP权限动态管理、第三方数据共享、注销后数据删除等细分场景的合规标准不够细化,监管执法、企业整改缺乏精准依据。
三、规范APP权限管理、保护个人信息权的对策建议
(一)压实企业主体责任,严守合规经营底线
1. 严格落实最小必要原则。督促所有APP运营主体梳理核心功能权限清单,严禁超范围、非必要索权,工具类、资讯类、游戏类APP取消无关敏感权限申请;区分基础功能与增值服务权限,实现“按需授权、分项授权”,禁止捆绑授权、强制授权,保障用户拒绝非必要权限后可正常使用基础功能。
2. 规范权限告知与授权流程。简化隐私政策,采用通俗语言、弹窗摘要、醒目提示等方式,清晰告知用户权限用途、数据流向、留存期限;针对位置、通讯录、生物识别等敏感权限,严格落实单独告知、单独同意制度,杜绝默认授权、静默收集。
3. 健全数据全生命周期管理。明确第三方SDK使用规范,落实APP开发者连带责任,严禁依托第三方工具违规收集信息;优化权限管理功能,支持用户随时查看、关闭、撤回授权,提供单次授权、使用期间授权、永久授权分级选项;严格执行账号注销、APP卸载后的数据删除、匿名化制度,杜绝违规留存用户信息。
(二)强化常态化监管执法,加大违规惩戒力度
1. 完善标准化治理体系。主管部门细化各类APP必要权限负面清单、正面清单,明确不同场景权限使用规范,统一执法、整改标准,压缩行业灰色操作空间。持续推进SDK穿透式治理,将第三方数据收集行为纳入监管范围,实现全链条监管。
2. 开展常态化专项整治。网信、工信、公安、市场监管等部门建立联合执法机制,加大对小众APP、工具类APP、小程序的排查力度,利用技术监测手段实现全覆盖、动态化监管,重点整治强制索权、静默收集、权限滥用等突出问题,定期通报违规案例。
3. 提升违法惩戒震慑力。对屡次整改不到位、恶意违规、批量侵权的企业,依法采取罚款、下架整改、暂停服务、信用惩戒等严厉措施,大幅提升违法成本;建立违规企业黑名单制度,实施行业联合惩戒,杜绝违规行为反弹回潮。
(三)优化维权服务渠道,降低用户维权成本
1. 畅通便捷维权通道。完善12377、12315等投诉举报平台,简化APP侵权投诉流程,开通隐私侵权快速受理通道,实现投诉、核查、整改、反馈闭环管理;建立侵权线索公开征集机制,鼓励用户主动举报违规APP。
2. 健全维权保障机制。细化个人信息侵权举证责任倒置规则,由APP运营方承担合规举证责任,降低用户取证难度;完善民事赔偿、公益诉讼机制,针对批量侵权行为开展专项公益诉讼,维护公众集体权益。
3. 开展精准普法宣传。通过短视频、公益海报、社区宣讲等形式,普及APP权限甄别、授权管理、隐私防护知识,引导用户坚持“非必要不授权”原则,定期清理闲置APP权限、关闭后台偷采权限;重点面向老年人、未成年人开展专项科普,提升特殊群体隐私防护能力。
(四)强化技术赋能治理,构建长效防护体系
1. 升级智能监管技术。搭建自动化、智能化APP监测平台,通过大数据、人工智能技术自动识别强制索权、静默收集、超范围采集等违规行为,实现实时预警、精准处置,提升监管效率。
2. 完善系统防护功能。推动手机操作系统优化权限管理体系,默认限制APP后台私自调用敏感权限,对非必要权限申请进行弹窗警示;新增权限使用记录查询、闲置权限自动清理、违规索权拦截功能,从终端层面筑牢防护屏障。
3. 发挥行业自律作用。引导互联网行业协会出台自律规范,督促企业主动开展合规自查整改,建立行业合规互评机制;推广合规示范案例,引导行业形成“尊重用户隐私、合法合规经营”的良好风气。
夜雨聆风