APP专项治理两年了,有哪些新风向?

文 | 《财经》E法  张剑 编辑 | 鲁伟  

2021年01月22日 18:07  

本文3864字,约6分钟

中国的APP数量达346万款,治理之路仍任重道远。

1月12日,有网友爆料称,某知名APP“远程”将自己手机相册里的照片删除了。此事再度引发公众对个人隐私保护的广泛关注。对此,该APP运营方通过官方微博回应,承认了是其App删除了该用户照片,但同时表示并非通过侵犯手机信息达成,而是由于产品设置所致。回应称,将对产品进行改进。

1月14日, APP违法违规收集使用个人信息专项治理工作组(下称“APP治理工作组”)在其官方公众号“发声”,称APP在获取“存储”权限后,确实具备读增删改图片等的能力。如果App对用户数据的操作行为未能让用户知晓,则可能会被认定为未能履行好明示收集、使用个人信息规则,未经用户同意或违反双方约定收集、使用个人信息。“手机操作系统、APP在权限使用机制上还需进一步创新发展,以压缩滥用的可能和空间。”

这是APP治理工作组对公众关注的热点事件的积极反馈,这个工作组由中央网信办、工信部等四部门联合成立。从2019年1月APP治理工作组成立以来,至今已整整两年时间。过去两年中,APP治理颇有成效,比如APP强制授权等问题得到遏制、行业规范不断完善、用户体验不断提升,但新的问题也不断出现。

《财经》E法从多位接近APP治理工作组的人士处获悉,在2020年,账号注销难的问题成为治理头号问题,面对百万量级的APP总数量,是否该让应用市场也分担更多治理责任,成为APP治理的新风向。此外,越来越多的APP使用人脸识别技术,针对公众普遍对于此技术安全性的担忧,该如何进行有效规制,也是治理的一个新方向。

政务APP也被列为治理对象

2020年11月13日,APP治理工作组发布了当年度的最后一份通报,发现35款APP存在个人信息收集使用问题,第一次包括了“鄂汇办”“皖事通”等多个政务平台APP。

通报指出,“鄂汇办”存在“未提供有效的注销用户账号功能”、“明文上传用户账户、密码”、“在申请打开可收集个人信息的位置权限时,未同步告知用户其目的”等问题。“皖事通”则存在“收集用户身份证等个人敏感信息时,未同步告知用户其目的”、“未明示收集的用户详细地址、支付宝账号、社保账号等个人信息的目的、方式和范围”等问题。

APP治理工作组表示,建议相关APP运营者及时对存在的问题进行整改,并自即日起30日内反馈整改情况。

“鄂汇办”APP由湖北省政府办公厅主办、湖北省楚天云公司开发,定位为湖北群众和企业办事的首选窗口,与湖北政务服务网共同构成一体化的“互联网+政务服务”平台。“皖事通”由安徽省数据资源管理局主办,是安徽省推动政务事项“掌上办”、“指尖办”的重要平台,目前已涵盖交通、医疗、教育、社保、公积金等多个行业和领域,通过线上查询、申请、办理等操作,实现让公众办事少跑腿、不排队。

1月15日,《财经》E法从接近APP治理工作组的人士处了解到,2019年治理的重点集中在APP超范围收集数据和强制索权。经过治理,在2020年这类问题已经很少。2020年治理的首要领域是APP注销账号难。

上述人士还指出,账号注销问题的解决难度大,需要区分的问题类型和场景多且复杂。例如,有用户举报一款网络信贷类APP不允许其注销账户,但调查后发现,是此人尚未完全还清拖欠的借款,没有达到注销条件,所以不能注销。

如何规制人脸识别?

2020年11月20日,中国“人脸识别第一案”宣判,杭州市富阳区法院判决杭州野生动物世界删除原告郭兵相关面部信息,并赔偿郭兵合同利益损失及交通费共计1038元。作为法律专业人士的郭兵在胜诉后仍表示会上诉。原因是,他觉得,前述判决对人脸识别滥用的警示作用不明显。

事实上,在2020年10月末,《杭州市物业管理条例(修订草案)》提请杭州市十三届人大常委会第三十次会议审议。该修订草案提出:禁止强制业主通过指纹、人脸识别等生物信息方式进入小区。业界普遍认为,该管理条例如获通过,将成为中国首部提出人脸识别禁止性条款的地方法规。

不过,公众对于人脸识别技术可能泄露隐私的担忧仍普遍存在。《财经》E法注意到,2020年上半年,APP治理工作组曾进行过一场涉及人脸识别的线上调研,参与调查的人数超过2万,覆盖不同地区、年龄和学历水平。对于APP所使用的六种验证手段,人脸识别方式排在倒数第二,受欢迎率仅有不到四成,而指纹、手机验证码和密码这三种方式的受欢迎率接近或超过50%,另有超过六成的受访者认为人脸识别已经呈现被滥用的趋势。

不可否认的是,人脸识别的便利不言而喻,最为常见的场景就是乘坐飞机和高铁时的身份验证效率大幅提高。2020年11月,中国消费者协会的一次研讨会上,与会人员提及未成年人使用父母手机给各类直播主播巨额打赏的案例屡发,建议各直播平台用技术手段解决此问题。现场得到的最佳解决方案基本一致,即超过一定打赏数额必须人脸识别。

有业内人士指出,在网络互信机制不建全的情况下,人脸识别的使用有可能变得更为广泛。在前述线上调研中,同样有一些受访者对于人脸识别表达了一些期待。例如,希望出台法律法规或国家标准来规范人脸识别的应用、提高行业的准入门槛、具体应用中必须考虑风险、保障用户知情和选择权等。

一些互联网安全人士告诉《财经》E法,人脸识别技术是基于人的脸部特征信息进行身份识别的一种生物识别技术。存储这些信息的数据库如果被黑客盗取,或自身防范不过关而遭泄露,这很可能导致个人财产被窃或隐私被公开,其损失往往无法挽回。

App治理工作组曾指出,某刷脸解锁手机APP存在“反复明文传输人脸图片”“未提供注销账号等渠道支持用户删除人脸信息”“使用照片即可通过刷脸核验”等现象和问题;某粉丝追星社区APP存在“强制要求用户使用人脸识别”“传输身份证等图片且可被互联网公开访问”“未提供注销账号等渠道支持用户删除人脸信息”等现象和问题。

人脸识别技术应如何实现合规?中国电子技术标准化研究院信安中心测评实验室副主任何延哲告诉《财经》E法,从场景评估、数据特征、使用限制、安全增强等四个方面,人脸识别的合规应包含如下要点:目的合理、正当、必要,在影响个人重大利益或社会公共利益的情形下考虑优先使用人脸识别;要保障用户的选择权,不宜将人脸设置为唯一的身份核验手段,不应强制要求或频繁推荐用户开通;要确保授权同意后采集,未经用户同意或法律法规授权,不得通过高清摄像头私自采集,不得使用人脸信息追踪个人行为;明示收集使用规则,防止人脸信息被滥用、非法提供给第三方;最小化存储和使用,原则上应仅取人脸特征信息完成身份核验后及时删除原始样本;要提高准确度和安全性,加强技术、系统和设备的安全性检测与认证。

2020年10月1日,全国信息安全标准化技术委员会(下称“信息安全技委会”)修订发布的《个人信息安全规范》(GB/T 35273-2020)开始实施,这一规范对人脸信息等生物识别信息保护提出“增强型”要求。同一个月,《个人信息保护法(草案)》面向社会公开征求意见,其中对包括人脸信息在内的个人生物特征等敏感个人信息的处理提出要求。此外,信息安全技委会也在推动制定《生物特征识别信息保护要求》《人脸识别数据安全要求》等规范。

应用商店如何发挥更大作用

据工信部数据显示,截至2020年11月末,中国国内市场上监测到的APP数量为346万款。其中,本土第三方应用商店APP数量为205万款,苹果商店(中国区)APP数量为141万款。面对如此海量的APP,治理该如何开展?

一位APP治理资深人士告诉《财经》E法,经过两年的治理,诸如隐私政策不达标等传统的个人信息保护问题基本得到解决,但也发现一此新问题。比如,有些APP因为经营不善也为“僵尸APP”,它们即便被发现有问题,一般也无力整改。“有时候接到举报后去检测,可能检测到一半,运营方已经倒闭了”。该人士认为,如果一个一个的去整改,想完成有效治理的难度将极大。

APP都是在应用商店中,应用商店一直对各款APP在上架前和上架后进行审核。有知情人士告诉《财经》E法,行业内曾讨论过一种治理方案的可行性,即将对APP治理的官方举报平台与各大应用商店的举报系统联合起来,基于此制定一套处置方案,及时通知APP运营者进行整改。

据《财经》E法了解,监管层在2020年开始着手出台应用商店对APP审核管理的指导意见,未来应用商店将在APP治理中发挥重要作用。但业内也有担忧,如果这个指导意见最终形成并实施,可能使得很多APP无法通过应用商店的审核,可能导致APP市场大幅缩水。

另外,这一方案还存在执行的难度,因为不同的应用商店审核标准不一。如果严加审核,可能会影响到某一应用商店的下载量,这可能会使得应用商更倾向于降低APP的前置审核标准。