拿什么制约APP索要权限的手！
 

APP竟能“远程删照”
　　
拿什么制约APP索要权限的手！

　　
　　四川法治报全媒体记者 刘文慧 王晗阳
　　
　　1月12日，一名网友爆料某购物平台APP“远程”删除了自己手机相册当中的照片。该名网友称，被删除的照片是自己参与该平台活动保留的截图证据，用以揭发其“活动套路”。该名网友称，与平台工作人员联系后，工作人员提出了以30元代金券作为经济补偿。
　　
　　1月12日晚7点，该平台官方微博发布声明称，“在APP内客服聊天页面，如果发送照片之前要对其进行编辑，那么APP会保存一张原图到系统相册，起到类似于‘缓存’的作用。编辑完成并发送后，APP会删除缓存图片，并保留编辑后发送的图片，这导致手机系统认为有删除图片的操作。”
　　
　　不过，这一解释显然不能服众。不少网友指出，手机相册中的图片和APP缓存有着本质区别，还有些网友直接将APP滥用权限、删除用户照片的行为比作“入室行窃”，并呼吁相关部门介入调查。
　　
　　乱象玩个游戏还要读取通话记录
　　
　　“登录听书软件，不给位置权限就无法使用”“想玩个游戏，还要授权软件读取通话记录，新建、删除日历”“一个网盘为什么要读取通话记录，为什么要能打电话发短信，读取我们的信息”……记者搜索手机APP权限相关问题，类似的吐槽随处可见。
　　
　　“我已阅读并同意上述条款”，可能是每个人这辈子撒过最多的谎。2018年，中国消费者协会开展了APP个人信息收集与隐私政策测评。结果显示，在纳入测评的100款APP中，有59款涉嫌过度收集“位置信息”，28款涉嫌过度收集“通讯录信息”，23款涉嫌过度收集“身份信息”等。对此，多数用户却没有仔细阅读“服务条款和隐私保护提示”的习惯，这为诸多APP运营者过度索要权限、滥用权限打开了方便之门。即便用户对相关条款心有疑虑，最大的反击也不过是勾选“不同意并退出”。
　　
　　与用户方的无奈相比，APP运营者却显得十分强势。从技术层面看，APP运营者与用户显然出现了地位不对等情况，部分APP为尽可能多的获取权限许可，不仅会一次性向用户索要多种权限，还会将不必要的权限与APP的基本业务功能强行绑定，如果用户不同意提供非必要的权限，就不被允许使用APP的基本业务功能。迫于这样的“技术霸凌”，多数用户只能甘当“技术鸵鸟”——以一种视而不见的态度，用权限换服务。
　　
　　困境力度有限监管难以形成震慑
　　
　　诚然，手机APP为了向用户提供服务，必须在一定程度上获取手机的管理权限。然而现实的乱象无不提醒我们，APP对于权限的索取已经远超其服务必要性。面对APP运营者日趋膨胀的“权限欲”，必须要以合法合规的手段加以监管。否则，个人信息保护将成一纸空文。
　　
　　2019年1月，中央网信办、工信部、公安部、市场监管总局四部门联合在全国范围组织开展APP违法违规收集使用个人信息专项治理，并成立APP违法违规收集使用个人信息专项治理工作组（以下简称“APP专项治理工作组”）。该工作组于2020年5月26日发布了《APP违法违规收集使用个人信息专项治理报告（2019）》，在报告中，关于“你认为应该采取哪些措施，进一步加强APP个人信息保护”这一问题，有68.61％和53.14％的用户分别将票投给了“监管部门加大处罚力度”与“推动个人信息保护立法”选项。
　　
　　尽管在2019年，全国信息安全标准化技术委员会发布了《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》，国家网信办、工信部、公安部、市场监管总局联合制定了《APP违法违规手机使用个人信息行为认定方法》等文件，对APP必要权限收集范围、认定违法收集个人信息行为提供了标准。不过，行政法规、规章等文件毕竟约束力有限，“限期整改”“责令下架”“自查自纠”等处罚措施同样无法对众多APP运营者形成震慑。
　　
　　根据工信部数据，截至2020年4月，我国国内市场上监测到的APP数量已达到359万款。面对海量的APP，加强相关领域立法，整治APP运营者过度索要、滥用权限刻不容缓。
　　
　　2012年全国人大常委会通过的《关于加强网络信息保护的决定》中提出，收集公民的个人信息应当遵循合法、正当、必要的原则。《消费者权益保护法》和《网络安全法》也相继明确了上述规定，《民法典》第一千零三十五条规定：“处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理”“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”
　　
　　尽管国家正逐渐完善个人信息收集领域的法律法规，但是纵观我国立法对于收集个人信息的规定，仍呈现出明显的“碎片化”“原则化”特征，而缺乏施行细则。这种局面不仅将造成规则适用的不确定性，不同位阶的法条可能还会存在冲突，损害司法权威。
　　
　　建议加强立法明确信息使用规范
　　
　　事实上，我国目前并未设置单独的监管部门专门规制APP不当收集个人信息的现象，现整治APP“过度索取用户权限”“不当收集个人信息”等乱象，是通过工商管理机构、信息通信管理机构、公安机关等多部门共同监管实现的。比如，依据《APP违法违规收集使用个人信息专项治理报告（2019）》显示，通过中央网信办、工信部、公安部、市场监管总局四部门的专项执法行动，存在“未经用户同意收集使用个人信息”“违反必要性原则，收集与提供服务无关的个人信息”等问题的APP比例呈现不断下降的趋势，APP运营者履行个人信息保护责任义务的能力和水平得到有效提升。不过，基于各部门职能分工的不同，其对APP信息收集的执法尺度和审查标准也会存在一定的差异，从而影响执法的稳定性和可预测性。
　　
　　上海对外经贸大学教授张继红在《论我国金融消费者信息权保护的立法完善》中表示，我国宜采用“民法框架下个人信息权保护的一般性规定——分领域（医疗、生物、传媒、金融等）个人信息权保护具体规则”的路径构建相关法律体系。明确不同行业运营者获取用户信息的范围标准。
　　
　　北京大学法学院教授张平在《大数据时代个人信息保护的立法选择》中认为，我国行政立法中关于个人信息保护的空白，使执法机构对运营者恶意侵权事件不能有效快速地进行制止。
　　
　　2020年10月21日，全国人大法工委公开就《个人信息保护法（草案）》征求意见。2020年12月1日，国家网信办发布关于《常见类型移动互联网应用程序(APP必要个人信息范围)公开征求意见的通知》，针对地图导航、网络约车、即时通信等38类常见类型APP的必要个人信息范围进行了列举式的规定，进一步明确了个人信息的合法使用规范。
　　
　　评论
　　
　　APP和用户之间权利不对等
　　
　　不只是“存储”权限，任何一个权限都存在理论上被滥用的可能，滥用之所以危害巨大，是一旦发生一起，将会对用户安全感产生“致命”危害，即便是后续做很多合规工作也难以挽回用户的“信任”，是一条不能碰的“高压线”。
　　
　　此次的事件折射的是APP和用户之间权利不对等关系，APP获取存储权限之后，既可执行对应的产品功能，也可以在用户无感的情况下进行操作，甚至违规收集、删除用户数据。很明确的是，如果APP对用户数据的操作行为未能让用户知晓，则可能会被认定为未能履行好明示收集、使用个人信息规则，未经用户同意或违反双方约定收集、使用个人信息。
　　
　　此次的事件本身已经提供了一个非常值得参考的防范风险的思路，即由手机操作系统对疑似高风险行为进行记录、提示。如果相关行为由用户自行发起，用户自然不会产生怀疑，如果是APP的私自行为，则会因为暴露而被曝光。而通过庞大的社会监督力量，便可促使APP的行为更加“规矩”。
　　
　　显然，推动安卓手机操作系统能够具备将APP读写公共存储区等敏感行为进行记录、提示将是防范该风险最为有效的方式之一。
　　
　　据APP专项治理工作组微信号
　　
　　◎结语
　　
　　大数据时代，个人信息不仅涉及到用户的切身利益，更是诸多APP运营者觊觎的“核心资源”。相关部门应加强立法工作，集中行政监管职能，完善个人信息保护监督管理机制，明确企业违法收集个人信息、滥用权限等违法行为的处罚标准，切实将APP索要权限的“手”制约在法律的框架内。