提高個人信息保護(hù)覺悟靠大家。

數(shù)據(jù)安全問題，自去年到現(xiàn)在都是大家熱議的焦點。7月24日，工信部再次通報了一批侵害用戶權(quán)益的APP名單，這已經(jīng)是自5月來通報的第三批了，其中不乏天弘基金、小鵝花錢（微眾銀行小程序）、華夏基金管家、博時基金、買單吧（交通銀行信用卡APP）等知名金融企業(yè)的APP。根據(jù)工信部要求，這些APP必須在7月30日之前完成整改，否則將開展相關(guān)處置工作。

值得一提的是，稍微留意這些APP所涉及的問題，我們會發(fā)現(xiàn)這幾乎是各類APP應(yīng)用的“通病”：超范圍收集個人信息、私自手機(jī)個人信息、賬號注銷難、私自共享信息給第三方、不給權(quán)限不讓用、強(qiáng)制用戶使用定向推送功能、過度索取權(quán)限……

是不是似曾相識？是不是也曾深受其擾？

相信工信部通報的這批名單，只是第三批，而不是最后一批。有此類問題的APP實在是太多了。

很多APP是在你安裝的時候，就給你選項授權(quán)采集包括地理位置、安裝列表，金融類則通常還涉及通訊錄、通話記錄等敏感信息。此前，關(guān)于數(shù)據(jù)采集邊界的問題，我們也曾在歷史文章中探討過，多數(shù)業(yè)內(nèi)人士都認(rèn)為，現(xiàn)有的APP數(shù)據(jù)采集其實并非全出于本身服務(wù)需要，這些APP背后的企業(yè)之所以想方設(shè)法采集有關(guān)無關(guān)的數(shù)據(jù)，主要目的是為了業(yè)務(wù)延伸。

借用一位數(shù)據(jù)安全行業(yè)資深從業(yè)者的話：有的APP，不僅超范圍采集數(shù)據(jù)，還需要強(qiáng)制授權(quán)抓取相關(guān)數(shù)據(jù)，用戶不同意就無法使用，這其實比PC時代的強(qiáng)制彈窗還流氓。

這種行業(yè)亂象何時休？所幸，從去年始于魔蝎科技等企業(yè)的大數(shù)據(jù)行業(yè)風(fēng)波，到今年315被央視點名的SDK問題，再到近期工信部分批點名通報，數(shù)據(jù)安全亂象終于被推至臺前，真正引起大家重視。

01

積極信號與監(jiān)督難點

7月24日，與第三批侵害用戶權(quán)益APP通報同日下發(fā)的，還有《工業(yè)和信用化部關(guān)于開展縱深推進(jìn)APP侵害用戶權(quán)益專項整治行動的通知》（下簡稱《通知》），列出了明確的整治目標(biāo)：加強(qiáng)監(jiān)督檢查，督促相關(guān)企業(yè)強(qiáng)化APP個人信息保護(hù)，及時整改消除違規(guī)收集、使用用戶個人信息和騷擾用戶、欺騙誤導(dǎo)用戶、應(yīng)用分發(fā)平臺管理責(zé)任落實不到位等突出問題，凈化APP應(yīng)用空間。2020年8月底前，上線運(yùn)行全國APP技術(shù)檢測平臺管理系統(tǒng)，12月10日前完成覆蓋40萬款主流APP檢測工作。

《通知》明確的整治人物也非常全面，包括APP、SDK違規(guī)處理用戶個人信息方面；設(shè)置障礙、頻繁騷擾用戶方面；欺騙誤導(dǎo)用戶方面；應(yīng)用分發(fā)平臺責(zé)任落實不到位方面。

雖然《通知》給了消費者一劑強(qiáng)心針，但從實際操作層面來看，數(shù)據(jù)安全管理涉及的“邊界”問題，往往難以精準(zhǔn)把握，這也是為何近年來安全計算迅速在業(yè)內(nèi)走紅的原因。

舉個人話版例子:

根據(jù)《信息安全技術(shù)移動互聯(lián)網(wǎng)應(yīng)用（APP）手機(jī)個人信息基本規(guī)范》（草案），企業(yè)收集個人信息應(yīng)遵循“最少信息”原則，但具體到操作層面，什么才是“最少”？

以金融借貸類的最少信息收集范圍為例，很多企業(yè)的收集范圍顯然是超出上述范圍的。經(jīng)過工信部這一輪專項整治后，不少企業(yè)應(yīng)該會有所收斂，但不少企業(yè)條款依然有“概括性”表述，消費者對這類偏向概括授權(quán)的條款防不勝防，陷入被動。如某些APP“可獲得您聯(lián)系人的相關(guān)信息”的表述，即屬于概括性表述。具體是指多少相關(guān)聯(lián)系人？是包含整個通訊錄的聯(lián)系人，還是僅僅是兩個緊急聯(lián)系人？這里的差距就很大了。

再舉個更行業(yè)的例子：

SDK廠商放在過去，是一個很吃香的所謂“大數(shù)據(jù)廠商”，這些服務(wù)大體上包括：通知類SDK、埋點日志類SDK、游戲語音類SDK、驅(qū)動類SDK、智能識別類SDK、設(shè)備指紋SDK、支付SDK等。

APP應(yīng)用的迅速鋪開，SDK有不小貢獻(xiàn)。但是，SDK廠商如果只靠賣SDK，盈利能力是有限的，所以很多SDK廠商都會有關(guān)聯(lián)的大數(shù)據(jù)公司，做數(shù)據(jù)類的增值業(yè)務(wù)。

這就涉及中間截留數(shù)據(jù)的問題，而SDK廠商能不能中間截留數(shù)據(jù)？這在業(yè)內(nèi)看來，一直沒有太明確的界限。SDK本身并不是一個完整的軟件服務(wù)，用戶更多的情況下其實對此是未知和陌生的。

舉例來說，用戶下載了應(yīng)用市場上的某個APP，提示授權(quán)抓取地理位置等數(shù)據(jù)，對用戶來說，只會意

熱點：云幣網(wǎng) 幣網(wǎng) 金融