​6月1日，全國信息安全標準化技術委員會發布《網絡安全實踐指南—移動互聯網應用基本業務功能必要信息規範》（下稱《規範》），App超範圍收集、強制授權、過度索權等個人信息安全問題有望得到進一步規範。《規範》依據個人信息收集最少夠用的原則以及不同種類App的業務範圍，對地圖導航、網上購物、餐飲外賣等16類App收集個人信息的範圍給出了參考。隨著《規範》的發佈，移動互聯網的隱私安全問題是否有望得以解決呢？

為App隱私安全立法勢在必行

App竊取用戶隱私一直是網絡安全的重災區，隨便打開一款新安裝的App，啟動界面就會接連跳出多項權限申請。要想進一步使用App的功能，註冊時還必須一併同意其附帶的《隱私政策》。細讀這些條款，充斥著大量技術專用名詞，將收集隱私美其名為“保護隱私”，卻對收集後如何安全保存避而不談。不給權限，不同意《隱私政策》，就只能退出應用界面。

2018年底，中國消費者協會發布的《100款App個人信息收集與隱私政策測評報告》顯示，10類100款App中，多達91款App列出的權限存在涉嫌“越界”過度收集用戶個人信息的問題。特別是在有關隱私條款上，報告顯示當前許多手機App存在諸如隱私條款籠統不清，不主動向用戶展示或展示內容晦澀冗長，沒有為用戶提供訪問、更正、刪除個人信息的途徑，大量收集與所提供服務無直接關聯的個人信息等典型問題。

2019年1月25日，中央網信辦、工信部、公安部、市場監管總局四部門聯合發佈《關於開展App違法違規收集使用個人信息專項治理的公告》，決定自2019年1月至12月，在全國範圍組織開展App違法違規收集使用個人信息專項治理。

App運營者收集使用個人信息時，不得收集與所提供服務無關的個人信息，不得以默認、捆綁、停止安裝使用等手段變相強迫用戶授權。為規範App收集、使用用戶信息特別是個人信息的行為，市場監管總局、中央網信辦還從2019年3月起開展App安全認證工作，並鼓勵搜索引擎、應用商店等明確標識並優先推薦通過認證的App。

▲iOS系統針對權限劃分的三種使用方式值得Android借鑑，可以避免App後臺調用非必要權限。

《規範》明確界定16類基本業務功能

《規範》指出，移動互聯網應用個人信息收集活動，主要依據《信息安全技術個人信息安全規範》的“個人信息安全基本原則”，遵循權責一致、目的明確、最少夠用、選擇同意、公開透明、確保安全六個原則。針對App的基本業務功能，明確界定了保障其正常運行所需收集的個人信息，給出了每類業務功能相關的必要信息範圍。

同時，《規範》首次對《中華人民共和國網絡安全法》提出的“合法、正當、必要”原則中的“必要原則”給出具體界定，將App“非越界”索取的信息分為了通用功能相關必要信息與基本業務功能相關必要信息兩類。其中，基本業務功能是指滿足個人信息主體選擇使用App的最主要需求和根本期待的業務或功能。

《規範》清晰界定了地圖導航、網絡約車、即時通訊社交、社區社交、網絡支付、新聞資訊、網上購物、短視頻、快遞配送、餐飲外賣、交通票務、婚戀相親、求職招聘、金融借貸、房產交易、汽車交易等16類基本業務功能相關的必要信息範圍。

其中，地圖導航類應用的基本業務功能必要信息僅為位置信息，包括精準定位信息和行蹤軌跡；短視頻類應用只能獲取用戶關注的賬號信息，但自媒體用戶則需要提供姓名、證件和證件號碼等用於實名認證的信息，大大縮小了獲取範圍。

針對目前較多App讀取用戶通訊錄的要求，《規範》也給出了明確的範圍限制。比如針對金融借貸類應用，《規範》要求應允許用戶手動輸入兩位緊急聯繫人信息；即時通訊社交應用應該允許用戶手動添加好友，而不應強制讀取用戶的手機通訊錄。

《規範》中還指出，瀏覽、搜索、點擊等操作記錄通常是非必要信息，收集時應告知用戶並徵得其同意；保存和使用個人上網記錄時，對個人信息進行去標識化處理；使用個人上網記錄用於分析用戶畫像進行個性化展示和推薦時，告知用戶使用目的，並提供用戶退出定向推送模式選項。

以新聞資訊類應用為例，存在聚合類新聞應用需收集用戶的瀏覽操作記錄。根據《規範》，該業務功能應告知用戶並徵得其同意，如果用戶拒絕，App應提供讓其退出定向推送模式的渠道。

《規範》之外，我們還能做什麼？

需要注意的是，《規範》並沒有限定App完全不能超出必要性範疇收集信息，但是必須得有充分的理由，或者額外的規定，比如國家的法律法規或行業管理要求等等，並且允許用戶自主選擇同意。這給了App可乘之機。

根據《規範》，“求職招聘”類App可以索取的必要信息包括用戶註冊的手機號碼、賬號信息、求職者基本信息、教育信息和工作經歷信息等。但在截稿前，我們在正規應用商店下載的《智聯招聘》，依然需要讀取應用列表、位置、通訊錄等與上述可索取信息並不相干的權限，且並未提示為何開啟這些權限。

▲部分App仍未針對《規範》進行整改，獲取非必要信息時未告知用戶使用目的和理由。

對於位置信息，我們還能理解為推薦附近的工作機會，但通訊錄和應用列表完全與求職招聘業務無關。與之對比，同屬於“求職招聘”類的《Boss直聘》與《前程無憂》只開啟了位置信息。由此可見，除了法律方面的不斷完善，企業加強自律，從源頭上減少被洩露的信息量，作為使用者的用戶依然需要加強自我防範意識。

在使用手機的過程中，我們應當積極管理手機隱私權限，在安裝軟件時就將有些涉及隱私信息但又不必要的權限關閉；選擇正規的下載渠道，安裝過程中認真閱讀App要求的訪問權限和隱私條例；提高自我隱私安全保護意識，不要輕易授權密碼記錄等核心隱私數據。

“隱私換便利”並不會隨著《規範》的出臺而終結，但我們應該明白：針對功能的必要隱私可以犧牲，但非必要隱私萬萬不可洩露。