经济导报记者 刘勇

　　种种迹象表明，App过度索权的行为即将被终结。

　　国家网信办、工信部、公安部、国家市场监管总局联合发布的《常见类型移动互联网应用程序必要个人信息范围规定》(下称《规定》)已于5月1日正式实施。《规定》明确规范了App收集个人信息活动，其中13类App无须用户提供个人信息即可使用基本功能服务。

　　接受经济导报记者采访的业内人士表示，除了对App过度索权予以监管外，未来还应出台专门的个人信息保护法，对个人信息保护的规定加以细化。

　　被App绑架的用户

　　随着移动互联网的快速发展，各种App呈爆发式增长。手机App在给人们带来便利的同时，也带来诸多困扰。部分手机App过度收集、违规使用个人信息一直被诟病。

　　“说实话，如果不是因为工作原因要用各种App，我都想用老式手机，只要能打电话、发短信就行。”提起手机App软件，济南市民吕涛是又恨又爱，“随着移动互联网的发展，各种App确实给我带来了便利，但也在偷偷拿走我的隐私。”

　　吕涛告诉经济导报记者，他手机中的一个垃圾清理软件，竟然需要多达45个权限，“我都不知道他要这么多权限干啥，竟然还会在我不知情的情况下向邀请对象发送电子邮件。”

　　▲一款垃圾清理软件需要45个权限

　　“有些App，虽然我禁止自动启动，但还会被要求自动启动。我玩个游戏，你要我的地址信息干啥，还要读取我的通讯录；拍个视频，也要我的地址信息。”市民杨帆表示，“没人愿意用隐私来换取便利，这些隐私信息确实是我们在安装使用App时同意授权的，但并不都是心甘情愿的，因为你不选‘同意’就无法使用。”

　　▲系统拒绝App后台启动

　　在互联网行业安全分析师钟凯看来，正是因为App超范围收集个人信息、强制授权、过度索权等现象大量存在，违法违规使用个人信息问题十分突出，国家四部委联合制定出台了《规定》。

　　33款App同日被通报

　　就在《规定》实施的当天，33款App又被通报了。

　　5月1日，国家网信办下发通报，对输入法、地图导航等常见类型公众大量使用的部分App的个人信息收集使用情况进行检测，发现33款App违法违规收集使用个人信息。

　　经济导报记者注意到，被通报的输入法类App共计15个，包括大家常用的搜狗输入法、讯飞输入法、百度输入法以及QQ输入法。在这15款App中，大多数存在的问题是“违反必要原则，收集与其提供的服务无关的个人信息等”。而触宝输入法、酷输入法则存在“未经用户同意收集使用个人信息等”。

　　被通报的地图导航类App则有17款，包括大家熟悉的高德地图、百度地图、腾讯地图以及凯立德导航。在这17款App中，大多数存在的问题是“违反必要原则，收集与其提供的服务无关的个人信息等”。而语音导航则存在“未经用户同意收集使用个人信息等”。

　　唯一一款名为连信的即时通讯类App，则存在“诱导用户授权其读取手机通讯录信息并向通讯录联系人发送营销短信”。

　　“实际上，这只是冰山一角，很多App都存在违反必要原则，收集与其提供的服务无关的个人信息等问题。”钟凯表示。

　　正如钟凯所言，以经济导报记者手机中的软件为例，在一款名为权限图书馆App(可以查看各App的版本号以及权限)上，160个应用(包括系统软件以及后安装软件)中，要求相机权限的有121个应用，通讯录权限的有81个应用，位置信息权限的有115个应用，电话权限的131个，麦克权限线的106个，短信权限的16个，存储空间权限的138个。

    而上述App大多来自手机自带的应用商店。
    此外，工信部的最新通报显示，在2021年第一季度检测中，腾讯应用宝、小米应用商店、OPPO软件商店、华为应用市场和vivo应用商店发现问题数量分别占比14.22%、13.81%、12.80%、11.37%和11.17%，存在上架审核不严格、存量问题清理不彻底、登记核验App开发运营者信息不准确、误导用户下载等问题。

    对此，济南华星信息安全技术有限公司总经理刘华星表示，应强化应用商店的管理责任。应用商店的管理责任一旦得到严格落实，就相当于App开发运营过程中多了一个把关者，能缓解监管者肩上的压力。此外，目前市面上的安卓应用商店来源比较复杂，具体经营模式不尽相同，这导致App开发运营的标准、尺度各自为战。如果能在应用商店的层面提前建章立制，实现统一规范管理，App开发运营杂乱无章的局面将大为好转。

　　13类App无须个人信息就可使用

　　经济导报记者注意到，《规定》明确了地图导航、网络约车、即时通信、网络购物等39类常见类型移动应用程序必要个人信息范围。《规定》在明确App基本功能服务和必要个人信息范围的基础上，明确要求App运营者不得因用户不同意收集非必要个人信息，而拒绝用户使用其基本功能服务。《规定》在保障App正常运行的同时，保障了用户对App基本功能服务的使用权，以及对收集使用非必要个人信息的知情权和决定权。

　　“可以说，《规定》终结了App过度索权的问题。”钟凯表示，“以前，在安装App后首次运行就要求授权各类权限，甚至包括通讯录、地理位置，大多数用户只能无奈接受这些霸王条款，否则就无法使用这些App。而现在已经明确为保障App基本功能服务的正常运行可以收集必要个人信息，不得因为用户不同意提供非必要个人信息而拒绝用户使用。”

　　以网络约车为例，其基本功能服务为“网络预约出租汽车服务、巡游出租汽车电召服务”，必要个人信息包括：注册用户移动电话号码，乘车人出发地、到达地、位置信息、行踪轨迹，支付时间、支付金额、支付渠道等支付信息。“但对于个人通讯录等其他信息，用户即使不提供，App的运营者也不得拒绝提供服务。”钟凯表示。

　　此外，经济导报记者注意到，包括女性健康类、网络直播类、在线影音类、短视频类、新闻资讯类、运动健身类、浏览器类、输入法类、安全管理类、电子图书类、拍摄美化类、应用商店类、实用工具类在内的13类App均无须提供个人信息，即可使用基本功能服务。“也就是说，上述App无须各种授权和注册就能使用基本功能。”钟凯表示。

　　在刘华星看来，除了给过度索权的App戴上“金箍”外，还应出台专门的个人信息保护法，对个人信息保护的规定加以细化。

　　经济导报记者注意到，工信部4月26日发布了《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》，向社会公开征求意见。个人信息保护方面的相关问题有望得到破解。