未来网天津9月19日电（何欣）“要加快立法，细化个人信息收集使用规范。”针对目前一些APP强制授权、过度索权、超范围收集个人信息的现象，中国信息通信研究院安全研究所所长魏亮表示，要推动《个人信息保护法》的出台，明确个人信息保护的义务、权利，加强对APP违法违规行为的追究，同时也是对数据所有权、数据资产保护等问题的分析研判厘清法律边界。

　　据统计，截至2018年12月，我国手机网民规模达8.17亿，网民中使用手机上网的比例高达98.6%，我国市场上监测到在架移动互联网应用程序(App)数量高达400多万款，第三方应用商店分发App累计数量超过1.8万亿次。伴随着 App繁荣发展，一些App 强制授权、过度索权，用户担心自己的个人信息是否已经泄露。

　　在2019年国家网络安全宣传周期间，由天津市委网信办主办，App专项治理工作组承办，中国电子技术标准化研究院、中国网络空间安全协会协办的“个人信息保护”分论坛在天津梅江会展中心举行。

　　近日，由天津市委网信办主办，App专项治理工作组承办，中国电子技术标准化研究院、中国网络空间安全协会协办的“个人信息保护”分论坛在天津梅江会展中心举行。（未来网记者 何欣摄）

　　现象：APP隐蔽收集用户信息、强制授权

　　“隐蔽收集用户信息、误导用户同意、强制授权、过度索权，超出用户心理预期获取个人信息、第三方SDK安全风险、账号注销困难等都是一些APP中所存在的典型问题。”魏亮以误导用户同意为例，有些APP在使用时会让用户选择“允许开启手机通讯录权限，以便读取联系人电话号码，进行充值”。“这就是一个误导，它要获取你的通讯录信息。”

　　根据国家互联网应急中心CNCERT发布的《2019年上半年我国互联网网络安全态势》显示，经监测分析发现，在目前下载量较大的千余款移动APP中，每款应用平均申请25项权限，其中申请了与业务无关的拨打电话权限的APP数量占比超过30%；每款应用平均收集20项个人信息和设备信息，包括社交、出行、招聘、办公、影音等；大量APP存在探测其他APP或读写用户设备文件等异常行为，对用户的个人信息安全造成潜在安全威胁。

　　治理：推行APP安全认证工作 建立技术规则体系

　　“App的个人信息安全治理是一个新问题，但个人信息安全治理并非是从零开始的新课题。”中国网络安全审查技术与认证中心科技与国际部副主任甘杰夫表示，目前，由国家市场监管总局和中央网信办联合建立的App安全认证制度已落地运行，相关试点工作即将完成。

　　甘杰夫表示，APP安全认证作为我国首个，也是唯一一个支撑App安全治理并且是国家推行的自愿性认证制度，主要聚焦三个方面，一是约束信息收集，即规范App收集个人信息的行为和隐私政策。二是防止信息滥用，控制App运营者对个人信息的使用、共享。三是加强信息保护，保护个人信息主体权益，引导App运营者提升安全保障能力。

　　此外，甘杰夫表示，App安全认证技术体系和运行体系已基本就绪，相关工作正有序推进。目前已经基本建立技术规则体系；初步建立认证技术平台，包括认证业务管理平台、持续监督平台等；选取首批试点认证App；试点运行认证程序，经技术专家审查通过后将颁发首批证书，监督工作也将随之启动；确定首家合作应用商店，发挥应用商店在App市场导向和持续监督中的作用等。

　　据甘杰夫介绍，截止到2019年8月底，共收到27家企业，79款App安全认证申请。按照基础较好、影响较大、收集个人信息种类较多等试点对象选取原则，确定了首批28款APP进行试点。

　　成果：督促200余款App进行整改 整改问题点达800余个

　　今年年初，中央网信办、工信部、公安部、市场监管总局等四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》（以下简称《公告》）。

　　《公告》指出，App运营者收集使用个人信息时要严格履行《网络安全法》规定的责任义务，对获取的个人信息安全负责，采取有效措施加强个人信息保护。遵循合法、正当、必要的原则，不收集与所提供服务无关的个人信息。

　　此外，自2019年1月至12月，在全国范围组织开展App违法违规收集使用个人信息专项治理，并委托相关单位成立专项治理工作组。

　　据App专项治理工作组成员何延哲介绍，截至8月31日，专项治理组通过微信公众号“App个人信息举报”已收到8000余条民众举报，选取近600款用户数量大、与民众生活密切相关的App进行评估，督促问题严重的200余款App进行整改，涉及整改的问题点达800余个，无隐私政策、强制索权、超范围收集个人信息等问题得到显著改善。

　　建议：加快立法 细化个人信息收集使用规范

　　而应该如何进一步提升App个人信息保护水平？

　　魏亮建议，要加快对《个人信息保护法》的立法进程，细化个人信息收集使用规范。“ App个人信息安全是复杂多样，涉及多个主体，社会关注度很高，需要政府部门、相关企业、App企业、SDK企业、手机企业、应用商店企业、行业组织、研究机构共同处理。”

　　此外，魏亮还表示，要做一些安全升级，贯彻隐私保护的设计理念。“不管是App厂家，还是SDK厂家，研发、编码的过程中就要关注到隐私保护的理念，贯彻到代码和设计思路和整体架构中，这样才能够保护到一些个人信息，提高个人信息保护的水平。”

　　“还要运用大数据、人工智能，提升安全防护的能力，加强数据安全技术研发。”魏亮表示。