657款App曾被工信部通報違規 有多少在“偷聽”

深度｜657款App曾被工信部通報違規，有多少在“偷聽”

剛跟人聊完，很快就能在App中收到相關推薦內容或廣告？日前，“App會偷聽嗎？”成為熱議話題，網民調侃背後充滿對個人資訊安全的擔憂。

2月5日，在工信部召開的App個人資訊保護監管座談會上，工信部副部長劉烈宏對此表示，一些即時通訊工具、輸入法和地圖導航等App，使用麥克風許可權，讀取文字輸入內容後，超出用戶許可範圍(將資訊)用於“其他途徑”，帶來了風險隱患。

實際上，違規收集用戶個人資訊是App侵害用戶權益最常見的一種行為。澎湃新聞(www.thepaper.cn)統計工信部開展專項整治行動以來公開通報的11批違規App名單，發現657款App“榜上有名”，UC瀏覽器、360清理大師、達達快送、永輝生活、芒果TV、QQ輸入法等生活各場景中的熱門App曾在列；在16類App中，工具類App被“點名”比率達到15.68%。下架的167款App中，工具類App下架也最多，佔比16.67%。

統計數據顯示，被通報過的657款App中所涉問題中，有超過50%的為“違規收集用戶個人資訊”，而“App強制頻繁過度索取許可權”、“違規使用用戶個人資訊”的問題在被通報的App中各佔20%左右。

此外，工信部組織的11批檢測發現，被通報的App來自24個應用商店，以騰訊應用寶、豌豆莢、OPPO軟體商店、360手機助手、小米應用商店五大應用程式平臺為主，分別佔比24.60%、11.27%、10.83%、10.25%、9.81%。

用戶個人資訊一直被App服務提供者視之為“唐僧肉”，不管是在商業主體的“獲客引流”上，還是在資訊洩露後被用於實施電信詐騙上，違規收集來的用戶個人資訊都成為基礎資料。近年來，為違規App套上“緊箍咒”，阻止其對用戶權益的侵害，多方在立法、監管、行業自律、技術維度、用戶自我保護意識等方面尋求“良方”。

個人資訊成“唐僧肉”

“網民反映，剛剛聊到某個話題，很快就能在某個App中收到相關廣告，用戶對此感到很疑惑，這個話題也成為了用戶最為關切的問題，登上了熱搜榜第一名。”

2月5日，在工信部召開的App個人資訊保護監管座談會上，工信部副部長劉烈宏對此表示，一些即時通訊工具、輸入法和地圖導航等App，使用麥克風許可權，讀取文字輸入內容後，超出用戶許可範圍(將資訊)用於“其他途徑”，帶來了風險隱患。

事實上，用戶個人資訊一直被App服務提供者視之為“唐僧肉”。記者統計發現，在被工信部通報過的657款App中，有超過50%所涉問題為“違規收集用戶個人資訊”。

“這麼做多是為了收集用戶的經濟狀況、消費偏好、活動區域等資訊，對用戶進行精細的人物畫像，以支援産品研發更新，或精準推送廣告。”廣東省公安廳網警總隊案件科副科長黃建邦曾就超範圍收集用戶資訊行為如此指出。

記者梳理髮現，成都市中級人民法院2018年10月判決的一起網路侵權責任糾紛案中印證了部分App會將收集到的資訊用於推送廣告，以此“獲客”。

法院審理查明，早稻App的開發者繫上海合合資訊科技發展有限公司，該公司也為掃描全能王App的開發者，何某律曾下載註冊過掃描全能王App，合合公司通過掃描全能王App收集了何某律的手機號碼。

獲取資訊後，該公司向何某律以短信方式發送了內容為“【早稻】何某律，前同事評價你‘專業靠譜’並向你推薦107個人脈，還有19個好友在等你cc.co/OypRubuV3m投訴退訂回TD”的消息。何某律以收集個人資訊及向其發送商業廣告的行為侵權為由將該公司告上法庭。

另一起在2020年12月判決的隱私權糾紛二審民事判決書則直接披露部分App會“違規收集用戶個人資訊”。

法院審理查明，App“天天消消樂”開發企業樂元素科技(北京)股份有限公司收集、使用資訊的目的、方式和範圍並不明確，亦未向用戶提供《隱私政策》的相關內容，在遊戲登錄界面及用戶使用相關功能過程中也未採取其他方式提示存在收集用戶個人資訊的情況。在未取得用戶劉某博明確授權的情況下，存在“全項開啟手機應用許可權，調用用戶個人手機位置資訊”的情況。

而除了商業行為，一部分來自App違規收集的用戶個人資訊也最終為滋生電信詐騙提供了溫床。

北京市公安局網路安全保衛總隊日前發佈的一篇文章中指出，疫情期間，存在某些違規App打著疫情監測的名義，出現非授權、超範圍採集使用個人資訊等問題，這帶來了用戶個人資訊洩露、濫用的風險。而個人資訊洩露是詐騙成功實施的關鍵因素，不法分子在精準掌握用戶個人資訊的前提下，能編造出迷惑性更高的詐騙場景，得以實施欺詐。

時至今日，工信部的部長信箱仍能時不時收到用戶對App違規收集用戶個人資訊的投訴。記者僅檢索2020年2月至2021年2月一年時間的留言就發現，小米手機系統自帶軟體、58同城、拼多多、知乎、京東商城、迅雷、QQ、網易郵箱、阿裏雲等熱門App均出現在投訴名單中。

實際上，對於App違法收集使用個人資訊行為，國家網際網路信息辦公室秘書局、工業和資訊化部辦公廳、公安部辦公廳、市場監管總局辦公廳曾聯合印發《App違法違規收集使用個人資訊行為認定方法》的通知。

其中明確指出，“未公開收集使用規則，未明示收集使用個人資訊的目的、方式和範圍，未經用戶同意收集使用個人資訊，違反必要原則，收集與其提供的服務無關的個人資訊，未經同意向他人提供個人資訊，未按法律規定提供刪除或更正個人資訊功能或未公佈投訴、舉報方式等資訊”等六類行為屬於違法違規收集使用個人資訊。

我們生活中所常見的“利用用戶個人資訊和演算法定向推送資訊，未提供非定向推送資訊的選項；要求用戶一次性同意打開多個可收集個人資訊的許可權，用戶不同意則無法使用”等現象也被認為是違法違規收集。

記者注意到，工信部曾公佈一則數據，對於違規收集個人資訊現象的嚴重性可窺一二。

在3480條關於App違法違規收集使用個人資訊的舉報資訊中，26%的App沒有隱私條款或未在隱私條款中明確收集個人資訊的目的、方式、範圍；31%的App在申請打開收集個人資訊相關許可權時，未明確告知用戶；20%的App收集與業務功能無關的個人資訊，如金融借貸App收集用戶通信錄；19%的App未經用戶同意，向他人提供設備ID、應用程式列表等個人資訊；13%的App強制索要與業務功能無關的許可權，如計算器、手電筒App強制要求打開地理位置許可權。

“有的App在商業利益的驅動下，未經用戶同意便違規獲取用戶的語音、文字、圖片等輸入資訊，實施大數據匯聚分析，實現用戶畫像，並進行廣告的精準推送，這些令用戶産生不安甚至焦慮。”工信部副部長劉烈宏在2月5日的監管座談會上稱。

用戶的不安攪動起輿論場的熱議，相關部門亮出“監管之刃”。

“App是否在偷聽用戶”的網路熱議之下，2月5日，工信部在“2021年第2批，總第11批”通報中，首次就“近期社會關注的麥克風、通訊錄、相冊許可權問題”公開通報26款未完成整改的App，QQ輸入法、墨跡天氣、微商輸入法、聲吧等App因違規或超範圍收集個人資訊被點名。

這也被視為監管層向外釋放出對違規收集用戶個人資訊“監管趨嚴、回應關切”的一個明確信號。

違規App中“違規收集用戶個人資訊”的超50%

針對以違規收集用戶個人資訊為代表的App侵害用戶行為，工信部在2019年11月首次決定組織開展App侵害用戶權益專項整治行動工作。這一行動也在次年7月向“縱深推進”。

2020年7月，《工業和資訊化部關於開展縱深推進App侵害用戶權益專項整治行動的通知》進一步明晰了整治的對象為“App服務提供者、軟體工具開發包(SDK)提供者、應用分發平臺”。

“企業自查自糾、監督檢查、結果處置”是工信部開展App侵害用戶權益專項整治行動的中三個階段，也是為違規App套上“緊箍咒”的步驟。

自查自糾主體為App服務提供者和分發服務提供者，屬於主動行為；監督檢查則由工信部組織第三方檢測機構對App進行技術檢測和檢查，重點抽測與群眾生活密切相關、下載使用量較大的App産品和分發平臺。

而在結果處置階段，工信部會對存在問題的App統一進行通報，依法依規予以處理，具體措施包括責令整改、向社會公告、組織App下架、停止App接入服務，以及將受到行政處罰的違規主體納入電信業務經營不良名單或失信名單。

澎湃新聞不完全統計，自2019年11月工信部開展整治行動以來，至今已通報11批657款侵害用戶權益的App被“點名”。

通報的頻率基本是月均一次，通報的數量變化呈現出“M”型。兩次波峰分別出現在2020年10月27日與2021年1月22日，單次通報數量的最高峰為“2021年第1批，總第10批”，157款App“榜上有名”。

657款遭通報App涉及教育類、生活服務類、遊戲類、社交類、醫藥健康類等16個類別，其中工具類最多，佔比達到15.68%；教育類、生活服務類、視頻直播類、遊戲類、交通出行類、電商購物類、社交類緊隨其後，佔比在7%-9%之間；母嬰親子類、招聘類較少，佔比不足2%。

多數App在通報後能及時整改，再次被通報的情況較少，但360清理大師、叮嗒出行、千千音樂等26款App被兩次點名。

從通報的App所涉問題看，2019年11月的“工信部信管函〔2019〕337號”整治工作通知將違規App涉及的問題分成“違規收集用戶個人資訊、違規使用用戶個人資訊、不合理索取用戶許可權、賬號登出難”四大類及八小類，前五批通報也遵循了這一説法。

2020年7月，“工信部信管函〔2020〕164號164號”整治行動通知則將問題分為“App、SDK違規處理用戶個人資訊，設置障礙、頻繁騷擾用戶，欺騙誤導用戶，應用分發平臺責任落實不到位”四大類及十小類，後五批通報也沿用了調整後的問題表述。

綜合上述兩次分類並考慮到統計方便，記者把違規App所涉問題分為“違規收集用戶個人資訊、違規使用用戶個人資訊、App強制頻繁過度索取許可權、欺騙誤導用戶、應用分發平臺責任落實不到位、為用戶賬號登出設置障礙”六類。

經不完全統計，多數App存在的問題數量控制在3類以內，但是王者榮耀助手、閃送、賓果消消消等15款App存在5類及以上的違規問題。有超過50%的違規App所涉問題為“違規收集用戶個人資訊”，而“App強制頻繁過度索取許可權”、“違規使用用戶個人資訊”的問題在被通報的App中各佔20%左右，其餘問題佔比較小。

每一批通報發出後，工信部會組織第三方檢測機構核查復檢，對未按要求完成整改或者逾期不整改的App再行通報，並下架處理。

記者不完全統計發現，工信部官網公佈的多批次下架名單共涉及169款App，草莓視頻是唯一一個被兩次通報下架的App。下架App中工具類仍然最多，佔比16.67%；生活服務、電商購物類、遊戲類、視頻直播類、社交類App緊隨其後，佔比在8%-11%之間；整改通報中較多出現的教育類App則較少被下架。

此外，工信部組織的十一批檢測發現，被通報的App來自24個應用商店，以騰訊應用寶、豌豆莢、OPPO軟體商店、360手機助手、小米應用商店五大應用程式平臺為主，分別佔比24.60%、11.27%、10.83%、10.25%、9.81%。

就此，工信部已督促相關平臺企業嚴格落實《移動智慧終端應用軟體預置和分發管理暫行規定》要求，落實企業主體責任。

“一共實現對62萬款App的技術檢測工作，責令2234款違規App進行整改。”在2021年1月26日國新辦舉行的2020年工業和資訊化發展情況發佈會上，工信部資訊通信管理局局長趙志國公佈了連續兩年開展的專項行動數據。

不過，據公開資料，我國國內市場檢測到的App數量超過500萬款，這一數字也在不斷增長。就此，由中國資訊通信研究院研發的全國App技術檢測平臺已經啟動，試圖通過整合領先企業的技術檢測能力，力爭到2021年實現全年檢測180萬款App的目標。

違法成本低？App治理需打組合拳

如何對違規App套上“緊箍咒”，阻止對用戶權益的侵害。近年來，多方在立法、監管、行業自律、技術維度、用戶自我保護意識等方面試圖尋求“良方”。

記者注意到，除了舉起“監管之刃”，近年來《網路安全法》、《個人資訊保護法》、《數據安全管理辦法》、《個人資訊出境安全評估辦法》、《規範網際網路資訊服務市場秩序若干規定》、《電信和網際網路用戶個人資訊保護規定 》、《移動智慧終端應用軟體預置和分發管理暫行規定》等系列法律法規的出臺完善也試圖紮緊對個人資訊保護的“制度籬笆”，以規範秩序。

最新消息也顯示，針對App強制授權、過度索權、超範圍收集個人資訊等現象大量存在，違法違規使用個人資訊問題突出，《移動網際網路應用程式個人資訊保護管理暫行規定》即將出臺。

《暫行規定》共計22條。以App開發運營者、App分發平臺、App第三方服務提供者、移動終端電信設備生産者和網路技術服務提供者作為重點監管服務的對象，規定了五類主體應當遵循的個人資訊保護總體要求和應承擔的義務。相關主體如果違反規定，將依次按照通知整改，公開通報，下架處置，斷開接入流程進行處置。

此外，針對一些企業在整改過程中存在推諉、阻撓、故意拖延的現象，監管層召集掌握大量網際網路用戶資訊的主要商事主體負責人，督促就此公開表態。

2020年11月27日，在全國App個人資訊保護監管會上，蘇寧控股、螞蟻集團、愛奇藝、360、小米集團、新浪微網志、快手、嗶哩嗶哩、滴滴、阿里巴巴集團、百度集團等11家網際網路公司主要負責人就加強用戶權益與個人資訊保護、規範資訊蒐集使用模式、建立健全投訴反饋機制、落實企業主體責任和法定義務等內容做出了公開承諾。

“要把App侵犯用戶權益整治工作作為各家企業的核心工作來抓，要一把手負總責。”2月5日的監管座談會上，劉烈宏稱，對有令不行、整改不徹底、反覆出現問題、搞技術對抗的企業和App採取停止接入、行政處罰及信用管理等措施嚴厲處置。

但現實案例反映，僅僅靠監管、立法、企業自覺踐行主體責任等並非能一勞永逸。

在2月5日的監管座談會上，劉烈宏也坦言，需打好綜合治理組合拳，需要全社會群策群力。“多方共治、協同發力。”記者採訪中，多位長期關注保護用戶個人資訊安全領域的專家也給出了共同意見。

“現在的情況是我們立了法，但法律太松了。”資訊安全專家何展強在接受澎湃新聞採訪時認為，整改違規App，儘量降低個人資訊洩露的可能性，出臺法律條例只是第一步，提高相關法規的懲罰力度才是關鍵。

他認為，每個月發一次公告的震懾力確實有限，很多App開發者換個版本就能繼續上線，最重也不過是幾十萬元罰款，違規所付出的成本遠遠低於它帶來的收益，而諸多擁有國有背景的App運營商同樣存在違規問題也是“立法不嚴”的原因之一。

“一些App開發者的行為已經違反法律了，單靠工信部通報是沒有用的，需要實質性處罰，比如罰款、市場禁入、甚至判刑。”獨立通信專家付亮對澎湃新聞坦言。

通信世界全媒體總編輯劉啟誠認為，除處罰力度小之外，用戶不重視自己的數據洩露問題也為App一再違規提供了縫隙，李彥宏曾備受爭議的“隱私換便利”觀點在中國隨處可見。使用者需有自我保護意識和維權意識，減少非必要App使用的同時，聯合起來跟過度索取資訊的不良廠商説“不”。

賽迪智庫網路安全研究所所長劉權在接受媒體採訪時建議，應進一步細化個人資訊採集邊界，通過配套標準規範“明確”不同類型、不同應用場景下的App獲取用戶許可權的範圍，引導開發商只獲取與業務功能相關的許可權，壓縮運營者的自由裁量空間。還可以通過建立獎懲機制，讓應用商店積極參與到審核工作中來。

從技術維度層面看，可以從移動端系統考慮，比如在App安裝前禁止自動打開許可權，安裝後通過應用日誌監管許可權打開情況。若App存在“偷聽”、“偷看”等違法收集個人資訊行為，系統通過某種方式給用戶做出提示。

同樣，《中國電子報》綜合多位專家觀點後寫到，在個人隱私數據保護方面，數據輸出方、數據採集方和平臺監管方皆需承擔相應的責任。

對於App開發和運營商而言，一方面應加強自律，仔細研究相關法律、法規，嚴格遵守知情同意、最小必要等基本原則；另一方面也要提高網路安全意識，防範數據竊取、違規爬取、採集傳輸泄密等安全風險。而對於應用商店平臺而言，需要進一步樹立責任意識，規範App審核上架機制，加強作業系統許可權管理能力，積極應用新技術提升監管效率。

對於個人用戶而言，要在使用App過程中加強自我保護意識，謹慎對待收集、使用個人資訊行為，善於拒絕不必要的許可權申請。

“App使用者應提升個人資訊保護的意識，應該成為一種上網自覺。”西安交通大學人工智慧方向一位在讀研究生向記者吐露，排除偷偷讀取用戶資訊，他現在打開App，看到要讀取通訊錄、位置、相機、照片、麥克風等資訊，都會先思考下看是否是正常使用App的必要條件，有些完全是過度索權，不同意也不影響正常使用。“這樣做，是給個人資訊自我‘加鎖’。”

(本文原始數據來源：工信部官網)

澎湃新聞記者 趙思維 實習生 段景文