资源描述
2021-2022移动互联网应用程序(APP) 个人信息保护治理研究报告 前 言 近年来,互联网、大数据、云计算、人工智能、区块链等新一代 信息技术迅猛发展,与经济社会发展、人民生产生活交织融合,数字 经济发展速度之快、辐射范围之广、影响程度之深前所未有。我国移 动互联网应用创新活跃,截至今年 9 月底,我国移动电话用户总数达 16.4 亿,移动互联网应用程序( APP)在架数量达 274 万款,第三方 应用商店在架应用分发总量达到 20164 亿次,各类 APP 蓬勃发展, 新模式、新业态不断涌现,渗透千行百业、便利方方面,已成为数字 经济发展的重要力量。 与此同时, APP 侵害用户权益、违规收集使用个人信息的问题日 益突 出,已成为关乎人民群众获得感、幸福感和安全感的重要问题。 党的十九届五中全会上,习近平总书记对推进国家治理体系和治理能 力现代化做出了全面部署,对保障国家数据安全、加强个人信息保护 提出了明确要求。工业和信息化部坚决贯彻党中央决策部署,坚持把 实现好、维护好、发展好最广大人民根本利益作为出发点和落脚点, 大力推进电信和互联网领域 APP 个人信息保护治理工作。这 项工作 得到了社会各界的广泛关注和积极支持。经过各方共同努力, APP 个 人信息保护政策法规不断完善,相关技术标准体系基本形成,全国 APP 技术检测平台建设稳步推进, APP 专项整治行动有效震慑违法侵 权活动, APP 个人信息保护治理工作取得了阶段性重要成果。 2021 年是中国共产党成立一百周年,也是 “十四五 ”开局之年。 2021 年 11 月 1 日,我国个人信息保护法正式施行。站在新征程 上,党中央对个人信息保护工作提出了更高要求,人民群众对个人信 息保护工作给予了更高期待。为充分总结成效经验,持续深入推进 APP 个人信息保护治理工作,在工业和信息化部指导下,中国信息通 信研究院组织编写了移动互联网应用程序( APP)个人信息保护治 理白皮书,从法律法规、标准体系、检测平台、监管实践等方面, 系统梳理了前期有关部门组织开展 APP 个人信息保护治理工作的情 况,并对下一步纵深推进治理工作提出了展望。期待白皮书能为相关 企业和广大用户了解我国 APP 个人信息保护治理工作提供有益参考。 目 录 一、 APP 个人信息保护治理的重要性紧迫性日益凸显 . 1 (一) 落实中央决策部署的重要举措 . 1 (二) 维护用户合法权益的现实需要 . 2 (三) 营造公平竞争环境的关键手段 . 2 (四) 顺应国际发展趋势的普遍做法 . 3 二、 APP 个人信息保护治理工作取得显著成效 . 4 (一)依法治理,政策法规制度持续完善 . 4 (二) 规范指引,标准体系建设基本形成 . 8 (三) 技管结合,检测平台建设稳步推进 . 11 (四) 专项整治,用户权益保护明显改善 . 16 三、 纵深推进 APP 个人信息保护治理工作 . 24 (一)补齐短板,持续完善监管制度依据 . 24 (二)加强协同,建立健全联动治理机制 . 26 (三)发挥优势,提升技术手段治理效能 . 28 (四)多元共治,推动行业发展行稳致远 . 29 图 目 录 图 1 APP 个人信息保护标准框架 . 8 图 2 全国 APP 检测平台检测流程大屏 . 13 图 3 全国 APP 检测平台总体架构图 . 15 图 4 337 号文各批次通知、通报、下架应用数量 . 17 图 5 337 号文各阶段问题数量 . 17 图 6 337 号文通知应用问题项 . 18 图 7 337 号文通报应用问题项 . 18 图 8 337 号文下架应用问题项 . 19 图 9 164 号文各批次通知、通报、下架应用问题数量 . 20 图 10 164 号文各阶段应用问题数量 . 21 图 11 164 号文通知应用问题项 . 21 图 12 164 号文通报应用问题项 . 22 图 13 164 号文下架应用问题项 . 22 表 目 录 表 1 337 号文各阶段应用类型 . 19 表 2 164 号文各阶段应用类型 . 23 一、APP个人信息保护治理的重要性紧迫性日益凸显 当前,以移动互联网为代表的新一代信息通信技术快速发展,数 字化、网络化、智能化加速推进,不断催生新业态、产生新模式,推 动各类应用程序蓬勃发展,我国 APP 在架数量和用户规模持续扩大, 已经成为个人信息保护的关键领域。移动互联网发展焕发新活力的同 时,也带来了一系列侵害用户个人信息权益问题,开展 APP 个人信 息保护治理成为党中央国务院高度关注、人民群众广泛关切、经济发 展迫切需要、国际社会普遍推进的重要议题。 (一)落实中央决策部署的重要举措 开展 APP 个人信息保护治理是信息通信行业落实 “以人民为中心 ” 发展思想的具体体现,也是认真贯彻党中央国务院决策部署的重要举 措。习近平总书记指出, “要适应人民期待和需求,加快信息化服务 普及,降低应用成本,为老百姓提供用得上、用得起、用得好的信息 服务,让亿万人民在共享互联网发展成果上有更多获得感”。党中央 国务院高度重视个人信息保护问题,党的十九届五中全会提出,要保 障国家数据安全,加强个人信息保护。近年来,国家互联网信息办公 室、工业和信息化部、公安部、国家市场监督管理总局等监管部门贯 彻落实党中央国务院决策部署,持续组织开展个人信息保护治理工作, 把 “以人民为中心 ”思想贯穿到工作的各个环节。工业和信息化部立足 主责主业,大力推进电信和互联网领域个人信息保护工作,聚焦人民 群众反映强烈、社会高度关注的 APP 侵害用户个人信息权益问题, 迅速出击、积极作为,切实解决人民群众最关心最直接最现实的问题。 1 (二)维护用户合法权益的现实需要 进入数字经济时代,技术发展日新月异,万物互联、人机交互使 得个人信息保护面临前所未有的挑战,不仅极大地扩展了个人信息收 集使用的规模,也加剧了个人信息泄露、滥用的风险。我国互联网产 业普遍采用 “前端免费、后端获利 ”的模式,随着信息通信技术的演进, 企业盈利模式也从在线广告向基于大数据的定向推送、精准营销转变, 用户个人信息成为企业获利的核心价值来源。虽然近年来我国个人信 息保护力度不断加大,但在现实生活中,由于企业个人信息保护能力 良莠不齐,用户个人信息收集使用规则、目的、方式和范围仍存在不 明确的地方,用户个人信息保护仍然面临诸多问题和挑战,尤其是 APP侵犯用户个人信息问题突出。截至目 前,我国移动应用程序数量 达 274 万款,部分 APP 随意收集、违法获取、过度使用个人信息情 况比较严重。例如, 2021 年央视 “315”晚会反映出 “商家安装摄像头盗 取人脸识别信息 ”“招聘平台贩卖个人简历信息 ”“APP、 SDK 违规收集 使用个人信息 ”等诸多侵害用户个人信息权益问题。深入开展 APP 个 人信息保护治理工作,维护用户个人信息合法权益,切实回应用户权 利侵害、感知差等问题已经刻不容缓。 (三)营造公平竞争环境的关键手段 用户权益保护水平的高低对数字经济发展环境具有重要影响,开 展 APP 个人信息保护治理是适应我国信息通信行业高质量发展的关 键一步。当前和今后一段时期,我国已转向高质量发展阶段,这并不 是意味着我国已经实现了高质量发展,而是指我国发展已经到了必须 以高质量发展为主要目标要求的阶段。习近平总书记在中央政治局第 2 三十四次集体学习时强调,要规范数字经济发展,坚持促进发展和监 管规范两手抓、两手都要硬,在发展中规范、在规范中发展。推进 APP个人信息保护治理不仅是一项具有重大社会效益的益民举措,也 是为数字经济持续健康发展营造公平竞争环境的重要保障。违法违规 处理用户个人信息活动不仅侵害了人民群众的切身利益,也严重扰乱 了数字经济市场秩序,要集中快速解决降低用户体验、阻碍用户使用 服务、恶化行业生态等问题,破除行业发展的制约因素。通过开展 APP 个人信息保护治理工作,进一步明确 APP 开发运营者、 APP 分 发平台、 APP 第三方服务提供者、移动智能终端生产企业以及网络接 入服务提供者等各类主体的责任;也通过监管实践,细化违规处置流 程和具体措施,明确具体时间期限,提升监管的规范性和透明度。通 过 APP 个人信息保护系列治理活动,有利于降低各类市场主体合规 成本,稳定市场预期,促进数字经济发展行稳致远。 (四)顺应国际发展趋势的普遍做法 从全球范围来看,制定个人信息保护立法、开展监管执法、强化 用户权益保护,是全球数字经济发展背景下的大势所趋,已经成为国 际社会广泛关注的重要议题和普遍做法。据不完全统计,目前已经有 近 140 多个国家和地区制定了个人信息保护立法,还有多个国家和地 区正在起草制定相关法律法规,并不断加大个人信息保护执法处罚力 度。例如,欧盟模式坚持统一立法、严格保护,树立了全球个人信息 保护标杆。 2018 年欧盟通用数据保护条例( GDPR)正式实施, 对数据控制者、处理者建立了更为严苛的监管要求。自 GDPR 生效以 来,欧盟监管机构执法频率高、处罚力度大,截止 2021 年 10 月,依 3 法处罚超过 800 起案件,累计罚款金额超过 12.9 亿欧元。从国际社 会来看,高水平个人信息保护的国家和地区相对比较容易在数字经济 发展国际合作中取得信任,在数据跨境流动等关键议题上建立合作关 系,例如欧盟通过充分性认定不断扩大跨境数据流动范围,美国推动 建立 APEC 跨境隐私规则体系。在我国数字产业走向全球化的过程中, 也需要以国内高水平、严要求的个人信息保护为基础,在数字经济发 展国际合作中取得充分信任,达成国际合作,释放我国数据规模优势。 二、APP个人信息保护治理工作取得显著成效 近年来,在国家网信部门的统筹协调下,国务院有关行业主管部 门积极贯彻落实党中央、国务院决策部署,立足主责主业,大力推进 本领域个人信息保护工作,持续推动完善政策法规制度和标准体系。 作为电信和互联网行业主管部门,自 2019 年以来,工业和信息化部 连续两年部署开展 APP 侵害用户权益专项整治行动,指导建设全国 APP 技术检测平台,组织开展 APP 专项整治行动,在个人信息保护 方面探索出新的治理模式,取得显著成效。 (一)依法治理,政策法规制度持续完善 法治是治国理政的基本方式,是互联网治理特别是个人信息保护 工作不可或缺的重要手段。在我国互联网产业高速发展的同时,国家 立法机构和有关部门高度重视个人信息保护工作,逐步完善相关法律 法规建设,为依法开展 APP 个人信息保护治理提供了坚实的制度基 础和可靠法律保障。 一是国家个人信息保护法律制度顶层设计基本形成。早在 2012 4 年,国家层面就认识到个人信息保护的重要性,全国人大常委会通过 全国人大常委会关于加强网络信息保护的决定,明确 “国家保护 能够识别公民个人身份和涉及公民个人隐私的电子信息 ”,这是首次 从法律层面确认个人信息保护的要求,同时也确定了 “合法、正当、 必要 ”的原则,并一直在后续立法中 得到延续。 2016 年 11 月,全国人 大常委会通过网络安全法,在 “网络信息安全 ”章节中对个人信息 保护问题作出了较为全面的规定,明确了我国个人信息保护的基本原 则和基础制度规则,为开展个人信息保护执法监督工作提供了法律依 据。 2021 年 6 月,全国人大常委会审议通过数据安全法,界定 了数据及数据安全的内涵,完善了数据安全监管机制,明确了数据安 全治理重点制度规则。 2021 年 8 月,全国人大常委会审议通过个 人信息保护法,作为我国个人信息保护领域的专门立法,个人信 息保护法坚持问题导向、回应社会需求,对公民在处理个人信息活 动中的权利、个人信息处理者的义务、个人信息跨境传输、监管部门 职责及法律责任等作出了全面的规定,为深入开展我国个人信息保护 工作提供了坚实有力的法律保障。此外,民法典刑法消费 者权益保护法电子商务法等法律中也对个人信息保护作出了相 关规定和要求。 二是行业主管部门立足自身职责积极推进本领域个人信息保护 保护管理规定。 2013 年,落实全国人大常委会关于加强网络信息 保护的决定,工业和信息化部率先制定出台了电信和互联网用户 个人信息保护规定(工业和信息化部第 24 号令),对提供电信服 5 务和互联网信息服务过程中收集、使用用户个人信息的活动进行规范 管理,要求电信业务经营者、互联网信息服务提供者在提供服务的过 程中收集、使用用户个人信息,应当遵循合法、正当、必要的原则, 并对其在提供服务过程中收集、使用的用户个人信息的安全负责。 2016 年 12 月,工业和信息化部发布移动智能终端应用软件预置和 分发管理暂行规定(工信部信管 2016 407 号),规定了移动智 能终端生产企业和互联网信息服务提供者的个人信息保护义务,要求 采取有效措施,维护网络安全,切实保护用户合法权益。 2019 年 8 月,国家互联网信息办公室审议通过儿童个人信息网络保护规定, 对通过网络从事收集、存储、使用、转移、披露儿童个人信息等活动 进行了规范,明确任何组织和个人不得制作、发布、传播侵害儿童个 人信息安全的信息,要求网络运营者应当设置专门的儿童个人信息保 护规则和用户协议,并指定专人负责儿童个人信息保护。此外,中国 人民银行、公安部等行业主管部门也先后制定出台了个人信用信息 基础数据库管理暂行办法互联网个人信息安全保护指南等个人 信息保护相关行业管理规定。 三是针对APP个人信息保护的治理规范相继出台。随着 APP 成 为个人信息保护的关键领域,国家有关部门 开始制定发布 APP 个人 信息保护的专门规定和治理文件。 2019 年 1 月,国家互联网信息办 公室、工业和信息化部、公安部、国家市场监督管理总局联合发布关 于开展 APP 违法违规收集使用个人信息专项治理的公告(以下简 称公告),决定自 2019 年 1 月至 12 月,在全国范围组织开展 6 APP 违法违规收集使用个人信息专项治理。公告的发布推动 APP 个人信息保护治理工作进入快速发展的阶段。 2019 年 10 月,工业和 信息化部聚焦人民群众反映强烈、社会关注度高的 APP 侵害用户权 益行为,发布了关于开展 APP 侵害用户权益专项整治工作的 通知 (工信部信管函 2019 337 号),重点整治 “私自收集个人信息 ”“不 给权限不让用 ”等四个方面 8 类问题。 2020 年 7 月,针对 APP 违规收 集、使用用户个人信息和骚扰用户、应用分发平台管理责任落实不到 位等突出问题,工业和信息化部再次发布关于纵深推进 APP 侵害 用户权益专项整治行动的通知(工信部信管函 2020 164 号), 重点对 “APP、 SDK 违规处理用户个人信息 ”“欺骗误导用户 ”等四方面 10 类问题继续深入开展专项整治。 2021 年 3 月,国家互联网信息办 公室、工业和信息化部、公安部、国家市场监督管理总局共同发布常 见类型移动互联网应用程序必要个人信息范围规定,明确 39 类 APP 必要个人信息范围。与此同时,结合行业发展新形势新特点新问题, 工业和信息化部还会同相关部门起草制定了移动互联网应用程序个 人信息保护管理暂行规定(征求意见稿),并向社会公开征求意见。 2021 年 11 月,工业和信息化部印发关于开展信息通信服务感知提 升行动的通知(工信部信管函 2021 292 号),聚焦影响用户感 知的信息通信服务环节,要求相关企业建立已收集个人信息清单和与 第三方共享个人信息清单,并在 APP 二级菜单中展示,方便用户查 询。 7 (二)规范指引,标准体系建设基本形成 强化 APP 用户个人信息保护,治理侵害用户权益行为,离不开 标准规范建设。标准本质上是一种技术制度,为应对风险社会挑战, 标准越来越强调 “事前引领 ”的功能,制定好的标准能够有效实现支撑 法律法规实施和 APP 个人信息保护治理的目的。在推动开展 APP 个 人信息保护治理过程中,工业和信息化部组织中国信息通信研究院、 电信终端产业协会先后制定发布了多项团体标准和行业标准,并积极 推动国家标准编制工作,目前已经基本形成了APP个人信息保护标 准体系框架(见图 1),在开展 APP 专项整治过程中发挥了积极支撑 作用。 APP个人信息保护标准框架 APP用户权益保护测评规范 APP收集使用个人信息最 小必要评估规范 行业标准国家标准 违规收集个人信息 超范围收集个人信息 违规使用个人信息 移动应用分发平台信息展示 移动应用分发平台管理 APP收 集使 用个 人信 息最 小必 要评 估规 范 - 总则 APP收 集使 用个 人信 息最 小必 要评 估规 范 - 人脸 信息 APP收 集使 用个 人信 息最 小必 要评 估规 范 - 设备 信息 APP收 集使 用个 人信 息最 小必 要评 估规 范 - 终端 通讯 录 APP收 集使 用个 人信 息最 小必 要评 估规 范 - 软件 列表 APP收 集使 用个 人信 息最 小必 要评 估规 范 - 好友 列表 APP收 集使 用个 人信 息最 小必 要评 估规 范 - 交易 记录 APP收 集使 用个 人信 息最 小必 要评 估规 范 - 录音 信息 用户 个人 信息 保护 - 定义 及分 类 用户 个人 信息 保护 - 分级 指南 用户 个人 信息 保护 - 移动 应用 商店 用户 个人 信息 保护 - 电子 商务 用户 个人 信息 保护 - 即时 通信 服务 . . APP收 集使 用个 人信 息最 小必 要评 估规 范 - 人脸 信息 APP收 集使 用个 人信 息最 小必 要评 估规 范 - 日志 信息 APP收 集使 用个 人信 息最 小必 要评 估规 范 - 短信 信息 APP收 集使 用个 人信 息最 小必 要评 估规 范 - 图片 信息 电信和互 联网服务 - 用户个人 信息保护 技术要求 - 第1部分定 义及分类 分级 团体标准 来源:中国信息通信研究院 图 1 APP 个人信息保护标准框架 8 一是制定发布APP用户权益保护测评规范10项团体标准。 随着移动互联网应用种类和数量呈爆发式增长, APP 侵害用户权益事 件层出不穷,个人信息保护态势愈加严峻,如何保护用户个人信息权 益受到国家和社会公众高度关注。该标准体系根据网络安全法等 相关法律要求,依据工业和信息化部关于开展纵深推进 APP 侵害 用户权益专项整治行动的通知( 164 号文)提出了检测细则。针对 164 号文要求整治的违规问题,该标准体系明确了具体评估规范,包 括对违规收集个人信息、超范围收集个人信息、违规使用个人信息等 10 类突出问题,提出了明确的规范要求。 二是制定发布APP收集使用个人信息最小必要评估规范17 项团体标准。 针对 APP 侵害用户权益中的典型问题,工业和信息化 部组织相关机构按照收集用户个人信息 “最小必要化 ”等原则有针对 性地制定了 最小必要评估规范 系列标准,涉及图片、通信录、设备信 息、人脸、位置、录像、软件列表等信息收集使用规范。该系列标准 按照信息分类明确不同场景下个人信息收集使用的最小必要原则。 APP 开发运营者可以对照最小必要这一系列的标准设计开发符合最 小必要原则的 APP 产品,相关测评机构也可以依据这份标准开展最 小必要符合性的评估。 三是制定发布电信和互联网服务 用户个人信息保护系列行 业标准。该系列行业标准属于通信服务标准,弥补了国内空白,系列 标准的实施发布有效支撑了政府监管和企业内部管理。首先,制定 YD/T 2781-2014 电信和互联网服务 用户个人信息保护 定义及分 9 类 YD/T 2782-2014 电信和互联网服务 用户个人信息保护 分级指 南两项标准作为顶层设计,不同类型的电信互联网业务可依据这两 项标准进行个人信息分类分级。其次,针对用户个人信息规模较大的 电信互联网业务,优先制定了 YD/T 3106-2016 电信和互联网服务 用户个人信息保护技术要求 移动应用商店 YD/T 3105-2016 电信 和互联网服务 用户个人信息保护技术要求 电子商务 YD/T 3327-2018 电信和互联网服务 用户个人信息保护技术要求 即时通 信服务三项技术要求标准,指导相应企业根据该系列标准建立个人 信息保护管理制度和技术手段,提升个人信息保护水平。与此同时, 该系列标准面向新业态、新服务不断完善。 四是积极推进电信和互联网服务用户 个人信息保护技术要求 第1部分定义及分类分级国家标准的制定工作。电信和互联网服 务用户 个人信息保护技术要求 第 1 部分定义及分类分级国家标准, 是为了适应电信和互联网行业的快速发展形势,保证用户个人信息保 护相关行业标准能够在更广泛的领域应用,根据电信和互联网服务 用户个人信息保护系列行业标准完善形成的国家标准。该标准综合 考虑电信和互联网服务中用户个人信息的属性和类型特征,将电信和 互联网用户个人信息进行分类。同时,根据所处理用户个人信息的敏 感性,对电信和互联网服务进行用户个人信息保护级别划分,要求服 务提供方按照所对应级别的规定,在处理收集和使用个人信息过程中 提供相应的保护机制。 10 (三)技管结合,检测平台建设稳步推进 目前, APP 在架数量大,且保持平均两周一次的频繁迭代更新, 对 APP 个人信息保护工作提出了新的更高要求。原有技术监管手段 由于自动化检测能力低、覆盖范围受限,很难实现全面均衡监管。为 解决此问题,提升全面监管能力, 实现 “以产业管产业、以技术管技 术 ”,在工业和信息化部指导下,中国信息通信研究院联合部分互联 网企业组织开展移动互联网应用用户个人信息保护自动化监测检测 公共服务能力提升和全国 APP 技术检测平台建设工作。这种行之有 效的技术检测做法为监管部门进行 APP 个人信息保护检查和企业进 行合规检测提供了有力支撑。 一是以技治技,利用技术平台支撑监管治理。全国 APP 技术检 测平台推动 APP 侵害用户权益整治规范化、标准化、统一化,立足 于丰富 APP 检测技术手段,提升 APP 自动化测评能力,在强化自动 化检测等技术手段能力的同时,建立线上线下、联防联控的管理体系。 检测平台建立 “用数据说话、用数据决策、用数据管理、用数据创新 ” 的管理机制,通过统一规则、统一标准、统一平台,对内实现信息共 享、业务协同办理,推进 APP 全局的监测检测、高效运行和精准管 理。通过积累的多源数据以及任务检测数据,完成深层次的数据挖掘, 支撑日常监管决策。 二是平台通过凝聚产业力量,不断提升自动化检测水平和能力。 全国 APP 技术检测平台积极利用相关技术手段,做到关口前移,及 时发现解决问题,不断提升行业治理能力和水平。摸清我国 APP、分 11 发平台等关联环节的底数,掌握 APP 发展动态,持续丰富监管手段, 有效支撑 APP 的发现、检测和处置,形成 APP 大数据监管能力,为 从静态监管转向动态监管、从重点监管转向全面监管、从分散监管转 向协同监管提供有效支撑。目前,全国 APP 技术检测平台先后建立 了移动 APP 监测能力、移动应用个人信息保护合规检测能力、个人 信息保护合规监测预警能力、大数据应用能力以及对外公共服务能力 等多项有效的行业监管和产业服务能力。 全国APP技术检测平台建立移动APP监测能力,获取主流 APP 分发平台和其他渠道上架、更新应用数据,实现各级主管部门之间的 数据互联互通、资源共享,有利于开展多个部门的联合监管。 全国APP技术检测平台建立移动应用个人信息保护合规检测能 力,集成多家技术检测引擎对 APP 进行自动化的个人信息保护合规 性检测,发现可能存在的侵犯用户权益的问题或者风险。 全国APP技术检测平台建立个人信息保护合规监测预警能力, 通过收集全国范围的移动互联网应用数据,平台可以对各类数据进行 检测、聚合、分析,形成可视化的产业监管情报信息,对存在的合规 风险实现监管预警。 全国APP技术检测平台建立大数据应用能力,平台借助大数据 技术手段,进行分析研判,提供科学、合理、有效的辅助决策方案, 为监管机构提供切实可靠的决策辅助参考。 全国APP技术检测平台建立对外公共服务能力,通过数据共享、 资源共享的方式进行高效监管整合,同时,面向市场提供 APP 用户 12 个人信息保护在线检测等公共服务,保障移动互联网产业健康创新发 展。 来源:中国信息通信研究院 图 2 全国 APP 检测平台检测流程大屏 三是以点及面,推进平台建设全网覆盖。全国 APP 技术检测平 台建设采取 “三步走 ”策略:第一步是平台建设期。以搭建 APP 技术 检测平台主体框架、初步形成一定规模的自动化测评能力为主要目标。 在工业和信息化部的指导下,中国信息通信研究院联合多家企业推进 平台建设工作。平台管理系统于 2020 年 7 月正式上线试运行,为专 项整治行动提供了有效的技术支撑。第二步是平台扩容期。以提升 APP 自动获取和自动化检测批量处理能力为主要目标,不断完善基础 数据、线索信息、投诉信息的报送和采集机制,扩展自动化检测引擎 部署,加强应用分发市场对接,进一步提升平台自动化检测的广度和 深度。第三步是平台全面升级期。建立中心式数据处理和服务体系, 实现数据清洗汇聚、关联标识与挖掘分析,通过对 APP 相关数据的 综合分析与研判,实现 APP 态势感知和跟踪预警,有效支撑 APP 的 监督检查、溯源取证和违法处置等工作,为静态监管转向动态监管、 重点监管转向全面监管、分散监管转向协同监管提供精准支撑,推动 13 APP 产业全面提升个人信息保护水平。 四是引领汇聚,平台架构集成引擎集群。全国 APP 技术检测平 台由全网监测系统、自动化检测系统、 APP 大数据中心、任务管理系 统、公共服务系统五部分组成。全网监测系统主要对主流应用分发平 台上的每日新增和每日更新应用,以及用户关注度高、投诉多、问题 严重的应用开展常规监测,通过主动监测、数据报送、线索报送等方 式,形成主动发现获取 APP 基础数据、违法违规线索、投诉举报信 息的能力。自动化检测系统是集成按照 337 号文和 164 号文配套标准 规范开发的自动化检测引擎,形成交叉验证、大规模的 APP 自动检 测能力。 APP大数据中心建立中心式数据处理和数据服务体系,实现 数据清洗汇聚、关联标识与挖掘分析,通过对 APP 相关数据的综合 分析与研判,实现 APP 态势感知和跟踪预警,提升数据利用效益, 形成对 APP 全面监管的大数据支撑能力。任务管理系统实现 APP 监 管任务的下达、检测、审核、通知、复测、通报等管理工作,支撑部 省监管联动,为地方信息通信管理局开展 APP 治理工作提供检测支 撑。公共服务系统向 APP 开发者、应用分发服务提供者、 SDK 提供 者等行业用户提供统一接入门户,实现行业信息共享共建,建立 APP 治理联动机制。 14 来源:中国信息通信研究院 图 3 全国 APP 检测平台总体架构图 五是全线支撑,形成线上线下联防联控。全国 APP 技术检测平 台运用人工智能、大数据等新技术,致力于拓展检测深度和广度,大 幅提升监管自动化、智能化、标准化水平,实现监测检测全覆盖。全 国 APP 技术检测平台主体框架功能上线以来,监测采集范围和检测 引擎数量不断扩展。平台将 APP 监测能力与检测能力相融合,打造 集数据报送、监督检查、监测预警、通报处置、协同共享、公共服务 为一体的综合管理平台,利用 APP 运营者、 APP 开发者、 APP 检测 者和 APP 监管者的数据分析碰撞,破解工作难题,形成从全国到地 区、从全范围到具体领域分类的整体监管能力。全国 APP 技术检测 平台建立了 APP 基本信息库,实现全国范围内 APP 资产的检索和自 动化检测,对 APP 资产进行持续监测分析和展示,支撑监管机构及 15 时获取业务信息资源。全国 APP 技术检测平台汇总互联网信息服务 投诉平台和 12321 举报中心的用户投诉信息,支持投诉信息检索,有 效支持对于 APP 监管情况的掌控。此外,全国 APP 技术检测平台汇 总了多源数据,实现了从地域、违规情况、监管处置、舆论等多维度 进行统计分析输出,形成对 APP 监测对象及违规应用的综合分析能 力,为监管决策提供支撑。 (四)专项整治,用户权益保护明显改善 为维护用户个人信息安全,保障用户权益,工业和信息化部先后 发布工业和信息化部关于开展 APP 侵害用户权益专项整治工作的 通知(工信部信管函 2019 337 号)和工业和信息化部关于纵 深推进 APP 侵害用户权益专项整治行动的通知(工信部信管函 2020 164 号),持续开展 APP 侵害用户权益专项整治行动。截止目前, APP 专项整治行动共开展 21 批,对 5406 款 APP 发出整改通知,公 开通报 2049 款整改不到位的 APP,下架 540 款仍存在问题的 APP。 其中,违规收集个人信息、强制频繁过度索取权限、违规使用个人信 息和定向推送问题最为突出。 按照 337 号文部署, APP 侵害用户权益专项整治行动共开展 5 批,累计通知 539 款违规 APP 进行整改,公开通报 145 款应用,占 通知应用的比重为 26.90%,下架 11 款应用,占通知应用的比重为 2.04%。 16 来源:中国信息通信研究院 图 4 337 号文各批次通知、通报、下架应用数量 在通知应用整改阶段,问题数量排前 4 位的包括私自收集个人信 息,账号注销难,过度索取权限,私自共享给第三方,分别占比 20%、 16%、 15%和 14%。在通报 阶段, 私自收集个人信息问题占比达 25%。 来源:中国信息通信研究院 图 5 337 号文各阶段问题数量 17 来源:中国信息通信研究院 图 6 337 号文通知应用问题项 来源:中国信息通信研究院 图 7 337 号文通报应用问题项 18 来源:中国信息通信研究院 图 8 337 号文下架应用问题项 从违规应用的类型分布来看,教育学习类应用占比最高,达 53 款,占全部违规应用的 9.83%。金融服务类、新闻资讯类和实用工具 类数量分别达 42 款、 37 款、 36 款,分列违规应用类型数量的第二、 三、四位,占全部违规应用的比重分别为 7.79%、 6.86%和 6.67%。 在下架应用中,游戏娱乐类应用占比最高,达 3 款,占全部下架应用 的 27.27%。(详见表 1) 表 1 337 号文各阶段应用类型 办公商务 博客论坛 餐饮外卖 地图导航 房屋集市 健康医疗 通知 18 16 15 6 10 16 通报 2 4 2 0 2 5 下架 1 1 0 0 0 1 健康运动 教育学习 金融服务 快递速运 旅游出行 上网输入 通知 13 53 42 6 30 7 通报 4 17 14 2 7 0 下架 1 0 0 0 0 0 摄影图像 生活日常 实用工具 通讯社交 图书阅读 网上购物 通知 21 24 36 17 18 29 通报 4 5 10 4 4 5 下架 0 0 0 0 0 0 19 新闻资讯 音乐音频 影音播放 应用商店 游戏娱乐 招聘婚恋 通知 37 16 23 2 29 16 通报 16 3 8 0 11 7 下架 1 1 1 0 3 1 直播短视频 安全管理 交通票务 通知 29 6 4 通报 8 1 0 下架 0 0 0 来源:中国信息通信研究院 按照 164 号文部署,工业和信息化部切实加强用户个人信息保护, 为人民群众提供更安全、更健康、更干净的信息环境,开展纵深推进 APP 侵害用户权益专项整治行动。截至目前,整治行动共开展 16 批 次,针对 4867 款 APP 下发整改通知,公开通报 1904 款应用,占通 知应用的比重为 39.12%,下架 529 款应用,占通知应用的比重为 10.87%。相比于针对 337 号文开展的专项行动,针对 164 号文的检测 数量显著增加,同时处罚力度也明显加大。 来源:中国信息通信研究院 图 9 164 号文各批次通知、通报、下架应用问题数量 20 来源:中国信息通信研究院 图 10 164 号文各阶段应用问题数量 在通知应用整改阶段,问题数量排前 3 位的包括违规收集个人信 息, APP 强制、频繁、过度索取权限,违规使用个人信息,分别占比 36%、 24%和 14%。 在通报阶段,违规收集个人信息问题 占比 46%。 来源:中国信息通信研究院 图 11 164 号文通知应用问题项 21 来源:中国信息通信研究院 图 12 164 号文通报应用问题项 来源:中国信息通信研究院 图 13 164 号文下架应用问题项 从违规应用的类型分布来看,实用工具类应用占比最高,达 680 款,占全部违规应用的 13.97%。网络游戏类、在线影音类和学习教 育类数量分别达 521 款、 359 款、 326 款,分列违规应用类型数量的 22 第二、三、四位,占全部违规应用的比重分别为 10.70%、 7.38%和 6.70%。 在下架应用中,实用工具类应用占比最高,达 63 款,占全部下架应 用的 11.91%。(详见表 2) 表 2 164 号文各阶段应用类型 安全管理 本地生活 餐饮外卖 地图导航 电子图书 短视频 通知 47 241 169 93 216 72 通报 14 130 130 74 45 25 下架 4 48 30 17 10 9 二手车交易 房屋租售 婚恋相亲 即时通信 交通票务 酒店服务 通知 13 49 53 84 86 29 通报 9 9 31 27 25 4 下架 0 2 9 11 6 1 浏览器 旅游服务 女性健康 拍摄美化 求职招聘 实用工具 通知 46 64 39 118 137 680 通报 9 18 13 38 120 225 下架 0 4 2 14 32 64 手机银行 输入法 投资理财 网络借贷 网络社区 网络游戏 通知 19 39 79 50 185 521 通报 0 14 24 29 64 157 下架 2 2 5 9 25 47 网络约车 网络支付 网络直播 网上购物 问诊挂号 新闻资讯 通知 65 14 98 273 130 132 通报 21 9 30 82 29 38 下架 5 1 9 25 6 12 学习教育 演出票务 应用商店 用车服务 邮件快件 寄递 邮箱云盘 通知 326 8 47 84 19 24 通报 82 3 31 40 12 6 下架 16 3 7 8 1 0 远程会议 运动健身 在线影音 通知 11 148 359 通报 7 74 206 下架 3 19 61 来源:中国信息通信研究院 23 三、纵深推进APP个人信息保护治理工作 纵深推进 APP 个人信息保护治理工作是贯彻落实党中央国务院 决策部署,践行以人民为中心发展思想的具体行动,是一项具有广泛 社会影响力和重大社会效益的益民举措。虽然前期 APP 专项整治工 作取得了阶段性明显成效,但移动互联网行业发展变化快,新情况新 问题不断出现,需要持续深入推进。尤其是随着 2021 年 9 月 1 日 数 据安全法和 11 月 1 日个人信息保护法先后正式生效施行,也 对 APP 个人信息保护治理工作提出了新的要求。站在建党百年和 “十 四五 ”开局之年的历史交汇点,应坚持以人民为中心的发展原则,落 实相关法律法规要求,补齐制度短板,完善治理机制,推动形成政府、 企业、相关社会组织、公众共同参与 APP 个人信息保护的良好环境, 为经济社会高质量发展提供有力支撑。 (一)补齐短板,持续完善监管制度依据 随着数据安全法个人信息保护法出台施行,我国个人信 息保护法律体系基本形成。但相比其他行业和领域,移动互联网领域 有创新能力强、迭代周期短、形态变化多样等特征,小程序、快应用、 H5 页面等新应用形态不断出现, SDK、加固壳等新对象不断增加, 麦克风窃听、通信录窃取、相册非授权读写等新问题不断曝出,行业 持续快速发展带来了
展开阅读全文