手机App违规收集、使用个人信息缘何成“重灾区”？根治手机App越界索权，还需要做哪些工作？

文 | 常涛

因违规收集个人信息，张影（化名）所在公司一款App在3月12日被工信部通报。张影表示，此前该App收集信息没有得到用户授权也能正常上架，且下载量还不错，在各大应用商店的安装量合计超过5亿。

当前，违规收集用户个人信息是App侵害用户权益最常见的一种行为。记者梳理发现，2021年以来，共有319款App因侵害用户权益被工信部通报，其中超范围收集个人信息，违规收集、使用个人信息是“重灾区”。

那么，这些App在上架应用商店环节为什么没被发现可能侵害用户权益？用户从OPPO、小米等应用商店下载App后被侵害隐私，这些应用商店需要承担责任吗？

今年319款App被通报 

“偷听”等被重点整治

工信部App侵害用户权益行为专项整治工作开始于2019年10月底。同年12月，工信部公布了首批41款侵害用户权益App名单，其中不乏QQ、小米金融等知名App。最初工信部重点整治的App问题包括私自收集个人信息、私自共享给第三方、账号注销难、不给权限不让用等。

2021年以来，工信部已通报了三批侵害用户权益行为的App，总计319款，其中第一批157款，第二批26款，第三批136款。在3月12日通报的2021年第三批136款侵害用户权益App中，不乏腾讯手机管家、讯飞配音、携程租车、猎豹清理大师等知名互联网公司的产品。

记者注意到，2021年被通报的App所涉问题包括App频繁自启动和关联启动、超范围收集个人信息、违规使用和收集个人信息，App强制、频繁、过度索取权限等，这与专项整治工作最初关注的App问题有所变化。

2021年3月初，工信部部长肖亚庆直言，就群众反映强烈的“麦克风权限滥用”“过度索取通讯录”等问题，对App开展了专项整治，坚决下架侵害用户权益拒不接受整治的App。

另据媒体2月报道，工信部正在起草《移动互联网应用程序个人信息保护管理暂行规定》，明确知情同意和最小必要两项个人信息保护基本原则，为App个人信息保护明确底线、划出红线。同时将以问题为导向，重点解决“麦克风权限滥用”“未经用户同意擅自读写相册”“过度索取通讯录”“隐藏个推关闭选项”等当前用户反映强烈的热点问题。

这意味着，今后App“偷听”等一系列侵害用户隐私的行为，如App违规调用麦克风、通讯录、相册等将被重点整治。

有些App为偷窥你的隐私可能有这个操作

对于通报App所涉侵犯用户权益的问题，尤其是违规收集个人信息、强制索取权限等，有网友表示：这些问题App为什么能顺利上架应用商店呢？应用商店审查不出来吗？

值得注意的是，工信部在历次通报中会注明侵害用户权益App的来源。比如在3月12日的通报中，来自腾讯应用宝的萌龙大乱斗、收钱吧等App因违规收集个人信息上榜；来自OPPO应用商店的P图大神、来电万能宝等App因违规收集、使用个人信息上榜；来自小米应用商店的悦跑圈、爱豆等App因违规收集个人信息等上榜。

在2021年第一批通报中，工信部表示，在其组织的十批次检测中，腾讯应用宝、小米应用商店、豌豆荚、OPPO 软件商店、华为应用市场发现问题分别占比 22.3%，12.0%，10.3%，9.9%，8.8%，平台管理主体责任落实不到位。

事实上，各大手机应用商店都有自己的审核标准。例如《华为应用市场审核指南》隐私政策显示，应用访问、收集、使用或披露任何个人数据，需经用户的同意或遵守其他适用的法律法规；应用收集和使用个人数据须遵守数据最小化原则；应用申请和使用权限须遵守权限最小化原则等。

但在实践中，应用商店未必能将审核标准落到实处。某互联网大厂一位不愿具名的安全工程师向记者透露，目前应用商店的审查确实比较粗糙，主要原因是相关隐私标准一直在变，导致应用市场也拿不准，“有时候就睁一只眼闭一只眼上架了”。

上述安全工程师透露，开发者还可以通过某些技术操作，使App绕过应用市场的审核。“一些App在上架应用市场的时候，获取隐私的按钮是关闭的，但用户下载到手机后就自动打开了。不过这是少数行为。”

另有不愿具名的程序开发者向记者表示，从技术上来说，应用商店可以审查出一个App可以获取用户哪些权限。一般情况下，上架应用商店的App都无法擅自获取用户的通讯、定位、麦克风权限，这些权限获取均需要经过用户同意，但不排除App强制用户开启，即不开启无法使用该App，或找借口骗用户开启，这些应用商店审查不出来。

应用商店需要承担责任吗？

记者注意到，早在2016年6月，国家互联网信息办公室就发布了《移动互联网应用程序信息服务管理规定》，国家互联网信息办公室有关负责人就此规定答记者问时指出，“互联网应用商店服务提供者应当对应用程序提供者履行‘四项管理责任’”。其中一项责任就是“督促应用程序提供者保护用户信息，完整提供应用程序获取和使用用户信息的说明，并向用户呈现。”

中国互联网协会法治工作委员会副秘书长胡钢在接受采访时表示，新印发的《常见类型移动互联网应用程序必要个人信息范围规定》将于5月1日施行，明确了39种常见类型App的必要个人信息范围，其中13类App无须个人信息，即可使用基本功能服务。

总的来说，这条新规更精准、更有力也更有持久性，同时也对App开发者提出了更高的要求。

“App要获取哪些权限应主动、详尽告知应用商店，还应请第三方机构对App相关信息、权限获取功能进行检测，这些细节应在应用商店展示，应用商店做好把关者的角色。”胡钢表示，“应用商店参与了App的分发、销售环节，与开发者是利益共同体，App出现问题应用商店无法独善其身，是共同责任人，应承担连带责任。”

胡钢表示，目前对侵害用户权益App且到期未整改的处罚只停留在下架层面，未来有必要加大处罚力度。“非法、过度获取或使用个人信息达到一定量，是否可以考虑停止其运营并追究其刑事责任，这是应该积极探讨的。”