【安全资讯】App违规授权成重灾区，网络安全立法酝酿大突破

视觉中国/供图

2019年2月11日，针对去年10月的抽查与约谈情况，某公司对1号店、某公司等23个上海本地最常用移动互联网应用程序（App）用户权限的整改情况做了复测与公示。结果显示，截至1月中旬，相关App共整改158个不合理权限和98个“合理但存在风险”的权限。

2017年6月1日，《中华人民共和国网络安全法》正式实施；2017年末，《个人信息安全规范》国家标准正式发布。业界称2018年为中国“数据合规元年”。2019年1月25日，中央某公司、工信部、某公司、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》，决定自2019年1月至12月，在全国范围组织开展App违法违规收集使用个人信息专项治理。App运营者收集使用个人信息时，不得收集与所提供服务无关的个人信息，不得以默认、捆绑、停止安装使用等手段变相强迫用户授权。

接受证券时报记者采访的专家认为，此次四部门专项治理行动，可以称作是针对我国网络安全问题“涉及范围最广、措施最严厉”的一次专项行动，效果值得期待。在这一过程中，还需进一步确定一个国家机关来专门负责“自然人信息保护”工作，同时也需要对《行政处罚法》《网络安全法》等再做相应具体修改，有专家还建议单独制定一部《自然人信息保护法》。

2018年全国两会期间，某公司董事长周鸿祎表示，用户隐私保护可遵循三个原则，即数据所有权的归属、用户应有的知情权和选择权、互联网公司对用户数据的保护。周鸿祎认为，在大数据时代，一定要平衡好互联网的使用与个人信息的安全。

“数据合规”仍需努力

2018年12月在深圳举行的“腾讯隐私保护白皮书发布会”上，南都大数据研究院个人信息保护研究中心副主任蒋琳表示，在个人信息保护相关法规和标准相继出台、相关部委展开隐私政策专项评审工作的大环境下，国内App的隐私政策透明度整体比2017年有所提升，但依然有逾七成App的隐私政策不合格。

2017年6月1日，《网络安全法》正式实施，业界称2018年为中国“数据合规元年”。但从相关统计来看，任务之艰巨不言而喻，“按下葫芦浮起瓢”等现象仍较突出。

上海市某公司相关抽查发现，样本中约30%的App权限与所提供的服务没有对应关系，属于不合理范围。只有严格限制App向用户索取不合理权限，才能从源头上减少个人信息被泄露、被滥用的可能。抽查所指“风险”，是指App权限被恶意利用后可能产生的风险，有别于技术风险。

对于App索取用户权限的现象，有关部门早已有明文禁止。2016年8月起生效的《移动互联网应用程序信息服务管理规定》指出，未向用户明示并经用户同意，不得开启收集地理位置、读取通讯录、使用摄像头、启用录音等功能，不得开启与服务无关的功能，不得捆绑安装无关应用程序。

腾讯社会研究中心和DCCI互联网数据研究中心2018年8月发布《网络隐私安全及网络欺诈行为研究分析报告》，统计了1144款手机App获取用户隐私权限的情况，结果显示，获取“打开摄像头”权限的App比例达89.9%，获取“使用话筒录音”权限的App比例达86.2%，这两个权限均涉及用户最核心的隐私信息。

蒋琳对证券时报记者表示，对App过度获取手机权限的现象，用户可以在App的下载页面仔细看一下权限列表，使用App的时候也要重点关注隐私政策中“个人信息收集和使用”相关条款，做到心里有数。对于敏感权限弹窗，不使用的功能就拒绝，需要时再开启。

电子商务领域专家、北京金诚同达（上海）律师事务所合伙人王良认为，数据不单单是一种资产，它还涉及国家利益、商业秘密和个人隐私，并兼具财产权和人格权的双重属性。一旦遇到个人信息被侵害，有很多维权途径可供选择，例如：12377中央某公司举报中心，12321网络不良与垃圾信息举报受理中心，全国12315互联网平台等。当然，如遇被诈骗等网络犯罪的情形，应及时向某公司门报案。

网络安全立法“三步走”

某公司《2018年网络安全年度法律观察》指出，某公司常委会2017年“一法一决定”执法检查报告认为，《网络安全法》执法中“九龙治水”局面仍然存在。依照法律规定，国家网信部门负责统筹协调网络安全工作和相关监督管理工作，电信主管部门、某公司门和其他有关机关在各自职责范围内负责网络安全保护和监督管理工作。事实上，几个行政执法主体间存在着权责不清、交叉执法等问题。不过根据已有案例统计，虽然三个主要执法部门存在执法重叠问题，但仍各有侧重。

记者注意到，在十三届某公司常委会2018年9月公布的立法规划中，将《个人信息保护法》和《数据安全法》列入第一类项目，即某公司认为这两部法律的立法条件比较成熟，在本届任期内拟提请审议。

知识产权领域专家、某公司合伙人陈际红律师表示，域外立法对中国企业的影响不容忽视。中国一直是经济全球化的践行者和受益者，中国企业与域外的关联因素已经非常广泛。考虑到全球各国的数据立法此起彼伏，且很多具有域外管辖的长臂效果，中国企业在走出去的过程中，不得不密切关注域外数据立法对企业的影响。陈际红介绍，这主要包括《欧盟数据保护通用条例》、美国《澄清境外数据的合法使用法案》及2018年8月特朗普总统签署生效的《外国投资风险审查现代化法案》等。

“考虑到我国的《网络安全法》属于框架性立法，很多法律要求并不十分明确，此类标准和指引对于企业合规和执法管理的指引性和参照性作用十分明显。”陈际红表示。

某公司法学院院长助理刘春彦对证券时报记者说，作为民事基本法，2017年10月1日开始施行的《民法总则》并没有规定自然人的信息权，而按照民法的理论，个人信息只作为一种法益保护，还没有上升为民事权利。在《网络安全法》基础上，第二步可对《行政处罚法》甚至对《网络安全法》作进一步的修改调整，明确与侵害自然人信息有关行为的处罚。

中伦法律观察报告判断，预计2019年中国的数据跨境监管方案终将出台；关键信息基础设施安全保护配套法规将颁布生效，运营者网络安全保护义务落实的执法检查会进一步加强；网络安全等级保护2.0制度体系将落地实施，某公司门会进一步加强该工作的管理和实施检查。

陈际红认为，作为第三步，在一般性法律完善之后，各个行业主管部门将开展行业内的网络安全和数据保护实施细则的立法和执法工作，尤其是金融、医疗健康、电子商务等数据敏感行业。届时，数据合规将成为企业普遍接受的概念。

王良表示，我们的立法需要在个人信息和隐私保护与商业价值之间进行取舍和平衡。首先应明确对个人信息和隐私保护的基础不能动摇；其次应在个人信息的收集、处理和利用中，逐步确立起收集限制、目的特定化等国际通行的做法与准则；最后还应根据我国目前社会与经济发展水平，决定个人信息保护的水平和力度，不偏废保护隐私与产业发展的任一方。
（来源：安全内参）