據央視新聞報道，有網民手機增加了APP隱私記錄功能后，發現手機上安裝的很多常用社交、辦公、娛樂APP存在頻繁自啟動、訪問、讀取手機信息的現象。有一款移動教學軟件十幾分鐘訪問手機照片和文件近2.5萬次。我國個人信息泄露情況不容樂觀，信息泄露途徑和表現形式多樣，甚至形成了地下產業鏈。謹防APP過度索取用戶隱私，對于個人權益保護與互聯網應用良性發展具有積極意義。

高收益低風險：手機APP偷窺何以發生

用戶數據被手機APP任意收集處理的現象實際上由來已久，幾乎與移動應用市場相伴而生。中國消費者協會2018年發布的《APP個人信息泄露情況調查報告》顯示，85.2%的受訪者遭遇過個人信息泄露，近七成認為手機APP在不必要情況下獲取用戶隱私權限。其中，經營者未經本人同意收集，經營者或不法分子故意泄露、出售或非法提供，是造成個人信息泄露的前兩類原因。這表明，APP過度采集個人信息呈現普遍趨勢，移動設備的個人隱私保護現狀不容樂觀。

為保障個人信息安全，有關部門展開了一系列整治市場亂象的行動。2019年1月至12月，中央網信辦等四部門在全國范圍組織開展APP違法違規收集使用個人信息專項治理。而對于APP收集使用個人信息的邊界，相關政策法規也已明確了合法、正當、必要等原則。

隱私侵犯屢禁不止，這種“明知故犯”的背后，高收益低風險正是主要原因。

所謂“高收益”，來自于用戶隱私數據幫助企業精準營銷所創造的價值。大數據時代，企業篤信數據即價值的信條，以各種方式對用戶上傳或留痕的信息實現“變現”。采集APP功能需要之外的用戶大數據，經過分析后可輔助呈現用戶畫像，從而實現廣告的精準投放。例如，作為被強制獲取的最常見數據，地理位置信息可用于提供用戶周邊的商業服務。手機上安裝的其他應用信息有助于企業了解用戶生活習慣，智能匹配關聯服務。

隱私獲利的另一條路徑是對外售賣個人信息。部分手機APP過度索取數據調用權限，并私自共享給第三方。2019年9月，風靡網絡的AI換臉軟件ZAO因被指存在數據泄露風險而被約談。根據ZAO用戶協議的描述，該APP除了可免費使用并修改用戶肖像，還可以將它任意授權給想授權的第三方，進行信息販賣。當然，隱私販賣的非法性質過于顯露，對市場聲譽影響大，因而通常不會被正規APP直接承認。倘若部分APP追逐短期利益，可能私下與關聯度高的機構進行內部合作，或者經由少數內部人員之手將隱私信息流通市場。

與此同時，隱私被過度征用的風險，也是APP運營商反復突破隱私保護邊界的現實考慮。一方面，企業違法成本低，而消費者維權成本高。我國已經制定了信息保護的若干法律規范，如2018年5月實施的《信息安全技術個人信息安全規范》等。但實際操作上存在諸多執法難點與模糊地帶，個人信息保護政策未明確違規處罰措施，無法對互聯網企業形成有力威懾。多數APP的隱私保護政策未達到個人信息安全的規范標準。

另一方面，企業會通過操作隱私協議“制造同意”，尋求隱私收集與處理的合法化，從而在形式上降低了違法風險。現有法律規范指導下，多數APP都形成一套隱私政策與隱私協議，供用戶瀏覽并授權。但通常授權與使用相互綁定，用戶數據實際上被強制征用；應用權限和隱私政策內容過長、可讀性差，導致很少有人仔細閱讀；預先勾選、凸顯或間接遮蔽部分關鍵條款，也是APP引導用戶授權的慣用操作。經由如此授權的隱私采集，并非真正獲得了用戶的知情同意。

因此，企業對現有政策漏洞的適應進一步降低了違法成本。在精準畫像與數據販賣的豐厚營利驅使下，過度采集、隱私泄露等亂象層出不窮。工業和信息化部賽迪研究院互聯網研究所副所長陸峰指出，目前下載量較大的千余款移動APP平均申請25項權限，超過30%會申請與自身業務無關的權限。

個人數據交易的灰色產業鏈

事實上，用戶隱私泄露行為遠不止手機APP自身的參與。一些公開報道顯示，在APP自身的隱私侵犯行為之外，個人信息買賣已形成一條規模大、鏈條長、利益大的產業鏈。中國人民大學法學院博士后劉笑岑介紹，這條灰色產業鏈結構完整、分工細化，個人信息被明碼標價，包含上、中、下游完整的流通變現環節。其中，上游環節負責非法獲取或向他人提供個人信息。除了上述APP內部合作與黑客非法入侵之外，信息來源大致可以分為三類：

第一類是網絡爬蟲等方式非法爬取的數據信息。《新京報》曾報道，一些機構以“大數據營銷”為名，依靠銷售非法爬蟲工具獲利，從淘寶、京東等電商平臺商家爬取數據，還有公司稱可以獲取任意網頁及APP訪客的手機號。這些網絡爬蟲業務通過數據販賣和流量牽引牟利，不僅給用戶帶來了惡意營銷、網絡攻擊等干擾，也影響了網站的正常服務與用戶體驗。但隨著監管趨向嚴格和反爬蟲技術的進步，此類現象正逐漸減少。

第二類是開發山寨APP騙取用戶上傳數據。山寨APP通常仿冒同類知名公司，引誘不明真相的用戶上鉤，進而竊取并販賣位置、通訊錄、身份證照片等數據，或者是以平臺名義聯系客戶索要手續費等。這背后衍生出包括山寨APP開發者、偽造人員等團隊參與的一整套產業鏈。3月，寧波、高平等多地警方發布關于山寨貸款APP的風險提示，其核心運作模式正與此相似。

第三類是能夠接觸到個人信息的內部工作人員盜取出售信息。“內鬼交易”的泄露方式與企業管理制度完善程度和員工個人道德水平有關，多發生在保險、物流等行業。少數員工利用職務之便非法出售高價值信息，為客戶隱私帶來巨大風險。

這些灰色數據經采集后，中游環節負責對其進行處理與再加工，通過買賣、交換等形式形成規模化市場，隨后便將所獲個人信息應用于電信詐騙、惡意營銷等不法渠道以牟取高額利潤。蘇寧金融研究院發布的報告指出，數據變現的獲利模式主要有工作室合作、倒賣收費與雇傭分成三種。有關組織在QQ群、論壇、暗網等各種渠道出售個人信息，同時，不同雇傭人員之間又存在信息倒賣關系。

更復雜的變現手段旨在使用網絡技術獲取用戶私有財產。只要掌握姓名、身份證號、銀行卡號、預留手機號等敏感信息，尋找銀行網上支付、第三方快捷支付等支付漏洞，就能用盜取的銀行卡信息進行盜刷或轉賬。比如，2019年年末央視網報道稱，有QQ群提供技術手段幫人破解各類APP人臉認證的付費服務，進而破解并倒賣對方的實名社交賬號。相比于推銷與騷擾，這無疑對用戶利益造成了實質性損害。

規范行業亂象，保障用戶隱私安全

APP對個人信息的不必要索取，是個人信息泄露、非法買賣中的重要出口。不僅直接傷害用戶權益，也影響到整體的網絡治理效果，不利于互聯網應用生態的健康長遠發展。面對困擾已久的隱私泄露難題及其衍生的信息交易灰色產業鏈，有關部門除了敦促APP企業自覺自律，還需要采取一系列實質行動規范行業亂象。

第一，提高手機APP市場準入門檻，降低用戶維權成本，多環節發力規范行業經營模式。不少APP把個人授權與功能開放捆綁，打著用戶同意的旗號過度收集與處理隱私。強化源頭治理，不妨就從APP研發、資質審核、上架環節入手，從細化個人授權操作上加以規范。比如，激發手機“應用市場”責任潛力，發揮出類似零售行業進貨、上架核查、退貨等功能。同時，大幅度降低消費者的維權門檻，如為消費者訴訟企業侵犯隱私開辟綠色通道，包括低成本、高效率的集體訴訟。對消費者因隱私被竊取的賠償標準，可進一步探索。

第二，完善細化有關法律法規，探索個人信息分級分類保護體系，收集個人重要數據或敏感數據需備案。技術發展倒逼法律完善。進一步規范網絡爬蟲等自動化手段收集網站數據，對于妨礙網站運營或非法侵占數據的行為，制定明確的處罰措施。同時探索構建分級分類保護體系，引導行業對個人信息進行分類，明確敏感信息與一般信息各自的收集處理機制，避免信息采集主體過多、采集過度。也可以考慮建立收集重要數據備案制度，向網信部門備案。

第三，強化企業動態監管，各方形成監管合力，為行業有序發展提供堅實保障。手機APP的監管和個人信息的保護，需要工信、市場監管、公安、網安等部門協同共治、動態監管。明確個人信息保護的監管責任機制，將多家部門的監管效力擰成監管合力，形成對違法企業的強大威懾。加大對個人信息販賣的黑灰產業鏈的打擊力度，將執法范圍輻射到網絡邊緣地帶，促成常態化監管機制。

（作者：人民網新媒體智庫研究員 張力、見習助理研究員 郭雨璠）

(責編：袁勃、陳泰然)