来源 | 周观新金融 作者 | 周公子?

提高个人信息保护觉悟靠大家。

数据安全问题，自去年到现在都是大家热议的焦点。７月24日，工信部再次通报了一批侵害用户权益的APP名单，这已经是自5月来通报的第三批了，其中不乏天弘基金、小鹅花钱（微众银行小程序）、华夏基金管家、博时基金、买单吧（交通银行信用卡APP）等知名金融企业的APP。根据工信部要求，这些APP必须在7月30日之前完成整改，否则将开展相关处置工作。

值得一提的是，稍微留意这些APP所涉及的问题，我们会发现这几乎是各类APP应用的“通病”：超范围收集个人信息、私自手机个人信息、账号注销难、私自共享信息给第三方、不给权限不让用、强制用户使用定向推送功能、过度索取权限……

是不是似曾相识？是不是也曾深受其扰？

相信工信部通报的这批名单，只是第三批，而不是最后一批。有此类问题的APP实在是太多了。

很多APP是在你安装的时候，就给你选项授权采集包括地理位置、安装列表，金融类则通常还涉及通讯录、通话记录等敏感信息。此前，关于数据采集边界的问题，我们也曾在历史文章中探讨过，多数业内人士都认为，现有的APP数据采集其实并非全出于本身服务需要，这些APP背后的企业之所以想方设法采集有关无关的数据，主要目的是为了业务延伸。

借用一位数据安全行业资深从业者的话：有的APP，不仅超范围采集数据，还需要强制授权抓取相关数据，用户不同意就无法使用，这其实比PC时代的强制弹窗还流氓。

这种行业乱象何时休？所幸，从去年始于魔蝎科技等企业的大数据行业风波，到今年315被央视点名的SDK问题，再到近期工信部分批点名通报，数据安全乱象终于被推至台前，真正引起大家重视。

01

积极信号与监督难点

7月24日，与第三批侵害用户权益APP通报同日下发的，还有《工业和信用化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》（下简称《通知》），列出了明确的整治目标：加强监督检查，督促相关企业强化APP个人信息保护，及时整改消除违规收集、使用用户个人信息和骚扰用户、欺骗误导用户、应用分发平台管理责任落实不到位等突出问题，净化APP应用空间。2020年8月底前，上线运行全国APP技术检测平台管理系统，12月10日前完成覆盖40万款主流APP检测工作。

《通知》明确的整治人物也非常全面，包括APP、SDK违规处理用户个人信息方面；设置障碍、频繁骚扰用户方面；欺骗误导用户方面；应用分发平台责任落实不到位方面。

虽然《通知》给了消费者一剂强心针，但从实际操作层面来看，数据安全管理涉及的“边界”问题，往往难以精准把握，这也是为何近年来安全计算迅速在业内走红的原因。

举个人话版例子:

根据《信息安全技术 移动互联网应用（APP）手机个人信息基本规范》（草案），企业收集个人信息应遵循“最少信息”原则，但具体到操作层面，什么才是“最少”？

以金融借贷类的最少信息收集范围为例，很多企业的收集范围显然是超出上述范围的。经过工信部这一轮专项整治后，不少企业应该会有所收敛，但不少企业条款依然有“概括性”表述，消费者对这类偏向概括授权的条款防不胜防，陷入被动。如某些APP“可获得您联系人的相关信息”的表述，即属于概括性表述。具体是指多少相关联系人？是包含整个通讯录的联系人，还是仅仅是两个紧急联系人？这里的差距就很大了。

?再举个更行业的例子：

SDK厂商放在过去，是一个很吃香的所谓“大数据厂商”，这些服务大体上包括：通知类SDK、埋点日志类SDK、游戏语音类SDK、驱动类SDK、智能识别类SDK、设备指纹SDK、支付SDK等。

APP应用的迅速铺开，SDK有不小贡献。但是，SDK厂商如果只靠卖SDK，盈利能力是有限的，所以很多SDK厂商都会有关联的大数据公司，做数据类的增值业务。

这就涉及中间截留数据的问题，而SDK厂商能不能中间截留数据？这在业内看来，一直没有太明确的界限。SDK本身并不是一个完整的软件服务，用户更多的情况下其实对此是未知和陌生的。

举例来说，用户下载了应用市场上的某个APP，提示授权抓取地理位置等数据，对用户来说，只会意识到自己的手机数据被这个APP抓取。但是实际情况则是，这个APP采集数据用的很可能是第三方的SDK，比如埋点用A的、PUSH用B的、设备指纹用C的……

那么，问题就来了，ABC三者是否有权限来缓存这个过程中抓取的用户数据呢？如果缓存了，是否在授权协议里面有明示？如果授权明示缓存了，是否可以用于该APP服务范围的其他用途，这个过程又该如何规范管理？

02

你我都该提高警惕

罗马总不是一天建成的，行业的规范发展也一样，都是边发展边规范。

从《网络安全法》到去年的《信息安全技术 移动互联网应用（APP）手机个人信息基本规范》（草案）公开征求意见，再到各部位联合下发的《APP违法违规收集使用个人信息行为认定方法》、《移动互联网应用程序（APP）收集使用个人信息评估指南》等文件来看，足见监管规范行业发展的决心。

工信部在近日挂出的整治通知，还有个细节不容忽视：提醒消费者关于个人信息保护的投诉，也有明确投诉路径：中国互联网协会应通过互联网信息服务投诉平台（https://ts.isc.org.cn/）或12321举报中心接受群众投诉，及时汇总处理用户反映的相关问题。

正所谓，信息化时代是我家，环境靠大家。