滌蕩App 不正之風

南方周末評論員

日前，全國信息安全標準化技術委員會發布《網絡安全實踐指南——移動互聯網應用基本業務功能必要信息規范》。其最大的特色是，依據個人信息最少夠用原則，以基本業務功能劃分了16類App，給出了與每類業務功能相關的必要信息范圍，即一旦缺少會導致基本功能無法實現或無法正常運行的信息。這是對行業不正之風動真格，有望極大改善個人信息與隱私保護。

想必不少人遇見過這樣的情況：隨便一款App，都敢向用戶索要訪問通訊錄、讀取短信與讀取通話記錄的權限；某些熱門App，店大欺客，你不給它想要的個人信息就安裝或使用不了，而這些信息與其業務功能一毛錢關系都沒有。尤其是適用安卓機的各類App，超范圍收集、強制授權與過度索取等是一個值得關切的現象。

在上述規范通過后，有媒體在2019年6月10-17日使用安卓系統華為手機進行測試，發現在被測試的50款App中，仍有24款App索取權限超出規范。

2016年網絡安全法第41條規定：網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則……并經被收集者同意；不得收集與其提供的服務無關的個人信息。第64條規定的罰則包括沒收違法所得、罰款等，情節嚴重的，可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照。

這一法律對App不法運營者有所震懾。不過，何謂“必要”，或者何謂“最少夠用”，仍有待一個獨立第三方來進行清晰界定。

上述規范解決了這個問題。首先，全國信息安全標準化技術委員會是官方機構，成員包括中央網信辦、工信部與公安部等部門的官員與專業人士。其次，規范界定的基本業務功能必要信息，很清晰很具體，不厭其煩。例如，地圖導航類僅為位置信息；新聞資訊類、短視頻類App只能獲取用戶關注的賬號信息，但自媒體用戶需要實名認證；即時通訊社交類，應允許用戶手動添加好友，金融借貸類，應允許用戶手動輸入兩位緊急聯系人信息，都不應強制讀取用戶的通訊錄。

上述規范既適用于App提供者“規范個人信息搜集行為”，也適用于“主管監管部門、第三方評估機構等對于個人信息收集行為進行監督、管理和評估”，可能還會影響網絡完全法對個人信息搜集行為合法與非法邊界的認定，即會影響監管與司法實踐。所以必將對App業態產生積極影響。

當然，哪怕僅就App而言，個人信息保護也是一個系統工程。讓個人信息最少夠用原則成為可操作性的規范，只是其中的一個方面。保障被搜集的個人信息不被過度使用、非法使用與倒賣，保障個人信息“被遺忘權”等等，也都不可或缺。