近日，国家网络与信息安全信息通报中心通报了65款存在违法违规收集使用个人信息情况的移动应用（APP），涉及未显著告知隐私政策、未经用户同意向第三方共享数据、未提供有效注销功能等。这已经是今年第二次对违规应用大规模“点名”。今年4月，国家计算机病毒应急处理中心已通报13款违规应用，涵盖外卖、金融、社交等多个领域。

为何APP违规收集用户个人信息的现象屡禁不止？专家认为，这与移动应用的自身特性、监管的滞后性以及企业的合规成本相关，应从监管框架、企业合规、技术防护等多维度出发，破解“隐私困局”。

违规收集用户个人信息成“顽疾”

“我也不想透露太多个人信息，但不同意隐私政策就无法正常使用。”就读于西安某高校的叶溪告诉记者，为了使用APP，她不得不“让渡”一些个人信息。

事实上，移动应用强制索权现象并不罕见。2024年，工信部通报的50款存在侵害用户权益行为的APP及软件开发工具包（SDK）中，有27款存在强制、频繁、过度索取权限的问题；2023年通报的9批APP中，强制、频繁、过度索取权限的情况共出现了143次，占比49.5%。

2024年，北京市互联网法院与市委网信办共同发布的《个人信息保护十大典型案例》中，就明确“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务”。

“冗长的隐私政策也很难让人有精力逐字看完。”叶溪说。记者在苹果操作系统（iOS）应用商店选取了5个排名靠前的免费APP，隐私政策普遍在8000字起步，有的甚至达到两万字，完整阅读需要至少半个小时。

“强制同意”和“高阅读门槛”等问题直接影响着用户行为。武汉大学网络治理研究院的一项调研显示，77.8%的用户在安装APP时“很少或从未”阅读过隐私协议，69.69%的用户会忽略APP隐私协议的更新提示。

收集乱象为何屡禁不止

目前，网络安全法、数据安全法和个人信息保护法共同构成了我国数据合规的顶层法律框架；近年来，相关部门也在持续开展APP违法违规收集使用个人信息专项治理行动。

那么，在法律规范和专项治理“双管齐下”的情况下，为何移动应用隐私不合规的现象仍屡禁不止？

“APP技术性强、收集信息具有隐匿性，且很多当事人使用时并不知情，这也说明我们用以保护个人信息的‘知情—同意’原则存在适用的困境。”吉林大学法学院副教授孟融分析称。

北京市汉鼎联合律师事务所执业律师周子川认为，随着数字经济的发展，个人信息处理数量和情形快速增长拓展，法律法规和监管具有滞后性和模糊性。

多维度破解“隐私困局”

如何破解移动应用违规收集用户个人信息的治理难题，保障用户个人信息安全？专家认为，需要从监管框架、企业合规、技术防护等多维度入手协同治理。

孟融建议，对于不同业务场景及体量的移动应用，可采取更符合主体自身情况、能兼顾个人信息保护及数据开发利用的规则标准。例如，个人信息保护法已经明确，监管部门针对小型个人信息处理者、处理敏感个人信息以及人脸识别等新技术，制定专门的个人信息保护规则和标准。

周子川表示，APP运营者应持续关注监管的披露，摸清自身行业中有关个人信息保护的合规标准。尤其是在处理大量个人信息或敏感个人信息时，需平衡追求数据价值与履行企业对个人信息的保护责任。

在技术层面，某软件公司程序员透露，其软件会把用户信息加密处理，以密文形式进行存储。此外，公司存储用户隐私数据的电脑不通外网，软件也有明确的复制、截图等限制，保障用户的隐私数据不外泄。

对于普通用户而言，掌握识别隐私政策是否合规的方法也很重要。“用户如果在第一次打开APP时，发现并无隐私政策弹窗，或出现默认勾选、缩小字号等方式干扰、影响个人对同意的判断，就需要高度警惕。”周子川提醒。

据工人日报