App违规授权成重灾区 网络安全立法酝酿大突破

本篇文章2730字，读完约7分钟

2019年2月11日，根据去年10月的抽查和访谈，上海市互联网信息办公室对上海市最常用的23种移动互联网应用(如1号店、品多多多等)的用户权利整改情况进行了重新测算和公示。结果显示，截至1月中旬，158个不合理权限和98个“合理但有风险”的权限已得到纠正。

2017年6月1日，《中华人民共和国网络安全法》正式实施；2017年底，个人信息安全规范国家标准正式发布。业内人士称2018年是中国“数据合规的第一年”。2019年1月25日，中央网络信息办、工业和信息化部、公安部和市场监管总局联合发布了《关于应用程序收集和使用个人信息专项治理的公告》，决定从2019年1月至12月组织开展全国应用程序收集和使用个人信息专项治理。应用运营商在收集和使用个人信息时，不得收集与所提供服务无关的个人信息，也不得强迫用户默认进行变相授权、捆绑或停止安装和使用。

接受《证券时报》采访的专家认为，这四个部门的专项治理行动可以称得上是针对中国网络安全问题的专项行动，涉及面最广，措施最严格，效果值得期待。在此过程中，有必要进一步确定一个国家机关来负责“自然人信息保护”，同时有必要对《行政处罚法》和《网络安全法》进行相应的具体修改。一些专家还建议制定单独的《自然人信息保护法》。

在2018年全国人大会议期间，360安防科技有限公司董事长周表示，对用户隐私的保护可以遵循三个原则，即数据的所有权、用户的知情权和选择权以及互联网公司对用户数据的保护。周认为，在大数据时代，我们必须平衡互联网的使用与个人信息的安全。

“数据合规性”

还需要努力工作

在2018年12月于深圳召开的“腾讯隐私保护白皮书大会”上，杜南大数据研究所个人信息保护研究中心副主任姜琳表示，在个人信息保护相关法律标准陆续出台、相关部委开展隐私政策专项审查工作的大环境下，国内应用隐私政策的透明度较2017年整体有所提高，但仍有70%以上的应用隐私政策不合格。

2017年6月1日，《网络安全法》正式实施，业界称2018年为中国“数据合规第一年”。但是，据有关统计，任务的艰巨性不言而喻，“压葫芦浮瓢”现象依然突出。

根据上海互联网信息办公室的抽查，样本中约30%的应用权限与所提供的服务没有对应关系，这是不合理的。只有严格限制应用程序向用户索要不合理的许可，才能从源头上降低个人信息被泄露和滥用的可能性。抽查中所指的“风险”是指应用授权被恶意利用后可能产生的风险，与技术风险不同。

对于应用程序要求用户权限的现象，相关部门已经明令禁止。2016年8月生效的《移动互联网应用信息服务管理条例》指出，收集地理位置、阅读通讯录、使用摄像头、启用记录等功能。不允许与服务无关的功能，以及捆绑安装无关的应用程序。

腾讯社会研究中心和dcci互联网数据研究中心于2018年8月发布了《网络隐私安全和网络欺诈研究分析报告》，统计了1144个移动应用对用户隐私权的访问情况。结果显示，有权“打开摄像头”的应用比例达到89.9%，有权“用麦克风录音”的应用比例达到86.2%，两者都涉及用户的核心隐私信息。

姜琳告诉《证券时报》记者，用户在使用app时，可以仔细查看app下载页面的许可列表，并注意隐私政策中“个人信息收集和使用”的相关条款，以便更好地了解。对于敏感的权限弹出窗口，未使用的功能将被拒绝，然后在必要时再次打开。

电子商务领域专家、北京金城通达(上海)律师事务所合伙人王良认为，数据不仅是一种资产，还涉及国家利益、商业秘密和个人隐私，具有财产权和人格权的双重属性。一旦个人信息受到侵犯，有很多方法可以维护权利，如12377中央网络办公室举报中心、12321网络不良和垃圾邮件举报受理中心、12315国家互联网平台。当然，如果发生诈骗等网络犯罪，你应该及时向公安部门报案。

网络安全立法

“三步走”

根据中伦律师事务所2018年网络安全年度法律观察，根据全国人大常委会2017年“一法一决定”执法检查报告，“九龙治水”情况在《网络安全法》执法中依然存在。根据法律规定，国家网络信息主管部门负责网络安全工作和相关监督管理工作的协调与配合，而电信主管部门、公安部门和其他有关机关在各自的职责范围内负责网络安全保护、监督管理工作。事实上，几个行政执法主体之间存在着权责不清、交叉执法等问题。然而，根据现有案例的统计，虽然三大执法部门存在执法重叠的问题，但它们仍有各自的侧重点。

记者注意到，在2018年9月第十三届全国人民代表大会常务委员会公布的立法计划中，《个人信息保护法》和《数据安全法》被列入第一类项目，即全国人大认为这两部法律的立法条件相对成熟，建议在本届任期内提交审议。

知识产权领域专家、律师事务所合伙人陈律师表示，域外立法对中国企业的影响不容忽视。中国一直是经济全球化的实践者和受益者，中国企业与外国的相关因素非常广泛。考虑到世界各国的数据立法层出不穷，而且许多国家都具有域外管辖权的长臂效应，中国企业在走向世界的过程中不得不关注域外数据立法对企业的影响。陈表示，这主要包括2018年8月特朗普总统签署的《欧盟数据保护总条例》、《美国澄清海外数据合法使用法案》和《外国投资风险审查现代化法案》。

“考虑到中国的网络安全法是一个框架立法，许多法律要求不是很明确。这些标准和准则对企业合规和执法管理的指导和参考作用非常明显。”陈对说道。

同济大学法学院副院长刘对《证券时报》记者表示，2017年10月1日生效的《民法通则》作为一部基本民法，并未规定自然人的信息权。根据民法理论，个人信息仅用于保护合法利益，尚未上升为民事权利。第二步是在《网络安全法》的基础上，进一步修订和调整《行政处罚法》乃至《网络安全法》，以明确对侵犯自然人信息相关行为的处罚。

《中伦法律观察报告》认为，预计中国的数据跨境监管计划最终将于2019年出台；重点信息基础设施安全保护配套法规将颁布实施，对运营商网络安全保护义务履行情况的执法检查将进一步加强；将实施网络安全等级保护2.0系统，公安部门将进一步加强对这项工作的管理和检查。

陈表示，作为第三步，一般法律完善后，各行业主管部门将对本行业特别是金融、医疗、电子商务等数据敏感行业的网络安全和数据保护实施细则进行立法和执法。届时，数据合规性将成为企业普遍接受的概念。

王良说，我们的立法需要在个人信息、隐私保护和商业价值之间进行权衡和平衡。首先，应该明确的是，个人信息和隐私保护的基础不能动摇；其次，在个人信息的收集、处理和利用方面，应逐步建立收集限制和目的特异性等国际惯例和准则；最后，个人信息保护的水平和强度应根据我国当前的社会和经济发展水平来决定，隐私和行业发展都不应被忽视。