为App过度索权划出“红线”，“偷脸”乱象将被整治

随着互联网的高速发展及5G、人工智能等新兴技术的快速崛起，个人隐私信息保护问题也迫在眉睫。从人脸识别被滥用到App过度收集用户个人数据，如何有效抑制个人隐私信息泄露已被相关部门提上议程。近日，国家标准《信息安全技术 人脸识别数据安全要求》征求意见稿(以下简称国标)和《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》(以下简称征求意见稿)相继发布，进一步强化个人信息安全监管与治理。

“偷脸”乱象将被整治

人脸识别是近年来被热议的话题，随着该项技术的不断发展，人脸识别应遵循哪些管理规定、如何防止滥采或泄露、收集人脸信息后如何储存和处理等问题层出不穷。

今年央视“3·15”晚会上，上海科勒卫浴、宝马等商家被发现在门店中装有特别为人脸识别使用的摄像头，用于消费者管理。而顾客进店后在完全不知情的情况下就被采集了人脸数据，这些信息一旦被泄露，将严重威胁个人的财产、隐私安全。

中国商报记者发现，国标规定了人脸识别数据的基本安全要求、安全处理要求和安全管理要求，覆盖了收集、储存、使用、委托处理、共享等全流程。首先，国标中提到了开展人脸验证或人脸辨识时应满足的要求，例如原则上不应使用人脸识别方式对不满十四周岁的未成年人进行身份识别、应提供安全措施保障数据主体的知情同意权、不应用于除身份识别之外的其他目的等。

此外，国标还对进行人脸识别的开发商提出了技术资质门槛，要求其具备相应的数据安全防护和个人信息保护能力，以防范人脸识别被“活照片”等非法破解。

在收集方面，主体收集人脸识别数据时，应向数据主体告知收集规则，包括但不限于收集目的、数据类型和数量、处理方式、存储时间等，并征得数据主体明示同意;在储存时，数据主体明示停止使用功能、服务，或撤回授权时应删除人脸识别数据或进行匿名化处理，不应存储人脸图像，经数据主体单独书面授权同意的除外;在使用时，应在完成验证或辨识后立即删除人脸图像，生成可更新、不可逆、不可链接的人脸特征;同时不应公开披露人脸识别数据，原则上不应共享、转让人脸识别数据。

业内人士认为，国标传递了对人脸识别进行“强监管”的鲜明信号。北京计算机学会数字经济专业委员会秘书长王娟对中国商报记者表示，人脸特征信息的泄露，会给社会对主体确认识别带来混乱，可能引致由身份伪造和盗用出现的一系列风险。同时，也将个人隐私完全置于高度暴露之下，给社交安全和社会秩序带来极大危害。“欧盟此前已经严格限制人脸识别及其他高风险的人工智能应用，国标的出台也是与国际环境的一种匹配与接轨”。

王娟进一步补充道，对企业来说，如果获得了人脸数据，不仅要有能力保护数据，也要尊重用户意愿及时删除数据。国标实际上是向企业再一次发出信号，告知企业强化个人隐私数据保护，这也对企业来说提出了更多要求。

为App过度索权划出“红线”

除了被泄露的人脸信息，手机App存在的强制授权、过度索权、超范围收集个人信息等问题同样不容忽视。

此次发布的征求意见稿由国家互联网信息办公室的统筹指导，工信部会同公安部、国家市场监管总局共同起草，共计20条。

在适用范围方面，征求意见稿明确，在中华人民共和国境内开展的App个人信息处理活动，应当遵守本规定。法律、行政法规对个人信息处理活动另有规定的，从其规定。在监管主体方面，征求意见稿明确了App个人信息保护的联合工作机制，国家互联网信息办公室会同工信部、公安部、国家市场监管总局健全完善App个人信息保护监督管理联合工作机制。

征求意见稿明确了“知情同意”“最小必要”两项重要原则。“知情同意”规定，从事App个人信息处理活动的，应当以清晰易懂的语言告知用户个人信息处理规则，由用户在充分知情的前提下，作出自愿、明确的意思表示，并明确了“六项应当”要求。“最小必要”规定，从事App个人信息处理活动的，应当具有明确、合理的目的，并遵循最小必要原则，不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动，并提出了“六项不得”要求。

征求意见稿对App治理的全链条、全主体、全流程予以规范，规定了App开发运营者、App分发平台、App第三方服务提供者、移动智能终端生产企业和网络接入服务提供者在App个人信息保护方面的具体义务。除此之外，文件还细化了违规处置流程和具体措施，其中特别提出，对未按要求完成整改或反复出现问题、采取技术对抗等违规情节严重的App，将对其进行直接下架;且下架后的App在40个工作日内不得通过任何渠道再次上架的管理要求。

此外，征求意见稿还提出了投诉举报、监督检查、处置措施、风险提示四方面规范要求。

赛迪顾问大数据产业研究中心分析师姚学超对记者表示，征求意见稿明确提出了“六项应当”如何做和“六项不得”做什么的具体要求，细化了App开发运营者和管理者从事App个人信息处理活动的边界和权限、底线和“红线”，能够有效规范互联网企业对App个人信息的处理活动，为用户信息和权益保护提供了可靠的制度保障。

中钢经济研究院首席研究员胡麒牧对记者表示，征求意见稿的亮点在于明确了“知情同意”“最小必要”两项重要原则、规范关键环节主体责任义务、细化违规处置流程和具体措施。由于文件明确了责任，细化了处理流程和措施，操作性强，所以应该可以有效遏制个人信息过度收集。

中央财经大学新闻系副主任、中经数字经济研究中心执行主任陈端对记者表示，征求意见稿是以“依法治理、源头治理、系统治理、综合治理”为方法论，以“知情同意”和“最小必要”两项保护原则为纲领，以App开发运营者、App分发平台、App第三方服务提供者、移动智能终端生产企业以及网络接入服务提供者五类监管对象为重点，以标准制定、自律评估、投诉举报以及处置措施作为监管抓手，纵深推进App个人信息保护治理工作，向违法违规处理App用户个人信息的行为深化精准监管的政策行为。

陈端还表示，征求意见稿明确了“专项整治和长效治理相结合”的监管模式，从“局部监管、突出问题”转为“全流程、全链条、全主体”监管，完善多元主体参与机制，体现了网络治理的精细化、精准化和法治化，对未来互联网领域的创新具有导向上的引领作用。

个人信息安全受国家各部门重视

如今，互联网数据生态治理在数字化时代已成为一项长期而重要的工程，记者梳理发现，国家各部门已经连续出台多条政策保护个人信息安全、优化网络环境。

2020年7月，中央网信办、工信部、公安部、国家市场监管总局四部门启动2020年App违法违规收集使用个人信息治理工作。工信部的App侵害用户权益专项整治行动纵深推进，截至2020年12月，四部门已对52万款App进行了技术检测工作，责令1571款违规App进行整改，公开通报了500款App，下架120款整改不到位及拒不整改的App。

今年1月1日起实施的《中华人民共和国民法典》将人格权独立成编，以“隐私权和个人信息保护”专章方式，对隐私权和个人信息的定义、保护原则、法律责任、主体权利、信息处理等问题作出规定。

国家市场监管总局发布的《信息安全技术个人信息安全规范》明确规定，在收集个人生物识别信息前，需单独向用户告知收集、使用个人生物识别信息的目的、方式和范围以及存储时间等规则，并征得用户的明示同意;个人生物识别信息要与个人身份信息分开存储，原则上不应存储原始个人生物识别信息。

除此之外，日前提请全国人大常委会审议的《中华人民共和国个人信息保护法(草案)》从立法的角度对数字时代的突出问题进行了规制，有效回应了实践中个人信息保护面临的重点和难点问题，平衡了个人信息保护、个人信息利用与流转、国家安全和社会公众利益等多方面利益。

今年3月，国家网信办、工信部、公安部、国家市场监管总局四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》，明确了地图导航、网络约车等39类常见类型移动应用程序必要个人信息范围，瞄准超范围收集用户个人信息等过度索权问题。

胡麒牧表示，从近年来国内外有关互联网个人信息安全的事件来看，监管导向已经不仅仅是对微观主体权益的维护了，个人信息安全实际上已经被上升到国家安全的高度。由于个人信息安全事件往往都是群体信息安全事件，所以监管层未来会从国家信息安全保护的角度来进一步完善相关法律法规。

大数据时代企业应担起更多责任

保护个人信息安全并非是一朝一夕之事，需要政府、企业、用户等多方的共同努力。除了政府的监管，在大量用户数据反哺作用下成长起来的互联网巨头也应承担起更多责任。

姚学超表示，一方面用户信息安全和个人隐私保护已成为社会高度关注的问题之一;另一方面互联网企业仍存在利用用户数据进行“大数据杀熟”、基于数据诱导用户冲动消费、通过数据垄断限制商业竞争等数据滥用问题。因此，如何平衡合理保护个人信息和合法合规采集、应用数据之间的关系成为数字时代发展过程中亟需解决的问题。

“作为拥有海量用户数据的互联网巨头，除了利用数据资源进行商业变现，更应该利用数据要素进行科技创新，为整个社会创造价值。如利用数据优化算法、算力等技术能力、发展第三方大数据服务产业。”姚学超补充道。

胡麒牧也表示，数据已成为生产要素，所以互联网平台作为数据的使用者，在利用数据创造价值的同时要爱护数据的产生者。维护良好的数据安全生态，既有利于互联网平台进一步做强，也有利于消费者体验的提升，这是关系到互联网平台切身利益和可持续发展的重要工作，需要以更大的自觉性主动作为，保护用户信息安全。否则无论是从行业监管的角度还是从用户用脚投票的角度，损害个人信息安全的平台都将会被市场淘汰。

陈端表示，近期对互联网企业的整肃力度加大，涵盖了信息采集、市场垄断、内容监管、资本扩张等方面，对互联网企业而言，需要把握新发展阶段、新发展格局下政策底层逻辑和价值导向，强化社会责任意识，把自身技术能力和积累优势与国家战略导向更好地结合起来。(记者 祖爽)

关键词： APP过度索权 偷脸乱象