手机APP沦为个人信息泄露渠道饱受诟病，不管不行。

11月27日，全国APP个人信息保护监管会召开。苏宁、蚂蚁、爱奇艺、360、小米、新浪、快手、哔哩哔哩、滴滴、阿里、百度等11家互联网企业代表主要负责人向社会做出公开郑重承诺，将严格落实APP侵犯用户权益各项整治工作，保障用户合法权益。

然而比头部企业承诺更重要的，是全行业的常态化监管。据报道，工业和信息化部相关负责人在会上透露，通过全国APP技术检测平台，中国将彻底改变手工检测方式，有望在明年具备全年检测180万款的覆盖能力。

这样的科技赋能显然十分必要，毕竟APP的数量浩如烟海。据近日发布的2020年1-10月互联网和相关服务业运行情况，截至10月末，我国国内市场上监测到的APP数量为348万款。

图片来源：工信部网站

此次会议另一大值得关注的背景是，10月21日《中华人民共和国个人信息保护法(草案)》公布并公开征求社会公众意见，将为个人信息保护再添法制保障。

为何数据总是在泄露

事实上，近年来针对APP违规收集和使用个人信息的专项行动一直在不间断进行中。国家各部委层面相继出台了国家标准和指导性文件，开展了一系列专项治理行动并持续推进。今年 7 月，工信部信管局发布了《纵深推进 APP 侵害用户权益专项整治通知》。

这些行动同时揭示了APP违规收集和使用个人信息的一些规律。

今年9月，四部门（网信办、工信部、公安部、市场监管总局）发布《关于81款app存在个人信息收集使用问题的通告》，显示主要问题集中在未明示、未经用户同意、违反必要原则方面。其中有25%的APP未明示收集使用个人信息的目的和方式，23%未经用户同意使用个人信息，22%违反必要原则收集与其提供服务无关的个人信息。

移动互联网系统与应用安全国家工程实验室技术委员会副主任蒋力认为，APP个人信息泄露的重点问题包括四大方面：违规处理用户个人信息、设置障碍/频繁骚扰用户、欺骗误导用户、应用分发平台责任落实不到位 。

她近日在第十四期网络安全创新发展高端论坛上指出，个人信息泄露事件增长，既有客观原因也有主观原因。

客观原因主要是技术进步带来了新的风险。比如，新兴的物联网科技防护难度大、安全标准缺失。人工智能的发展拓宽了个人信息的内涵，如人脸等生物信息的泄露风险。云计算大数据边界模糊，增加了信息泄露的渠道。

另外，犯罪分子手法不断翻新，非法获取售卖个人信息已经形成完整的黑色产业链，不法分子通过各种渠道获取个人信息非法牟利，地下黑产数据交易造成网络诈骗事件频发。

主观原因也给数据安全带来极大挑战。一方面是管理及数据处置不当，70%的数据泄露事件源于缺乏访问控制。另一方面是数据窃取及泄密，尽管70%的数据泄露事件由外部人员造成，但内部人员造成的数据泄露事件却呈增长趋势，如利用职务便利主动泄露牟利，或由于疏忽造成被动泄露。

新法推出助力法制完善

与此同时，我国制定法律法规保护个人信息的力度在逐年加大。蒋力表示，个人信息保护在法律层面不断细化完善，特别是2017年正式生效的《网络安全法》，确定了个人信息保护的原则和框架。

据公安部第三研究所网络安全法律研究中心主任黄道丽在上述论坛上介绍，我国有近40部法律、30余部法规涉及个人信息保护，并且自2015年起相关立法进程明显加快。

2015年《国家安全法》明确要实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控，2017年《网络安全法》将个人信息、数据安全作为网络安全的重要内容。

2019年以《网络安全法》为上位法的不少规定、文件及制度建设持续推进，如《数据安全管理办法（征求意见稿）》、《个人信息出境安全评估办法（征求意见稿）》、《儿童个人信息网络保护规定》。

2020年《民法典》颁布，明确个人信息、数据、网络虚拟财产等属于合法权益。另外，《数据安全法》草案及《个人信息保护法》草案公开征求意见。

对于《个人信息保护法》的出台，黄道丽认为有利于全方位保护个人信息安全，对于个人信息保护的基本原则和基本制度，特别是政府部门、企业等个人信息处理规则，以及个人信息保护的监督管理、侵权救济、法律责任等规范性要求方面做出更为合理的规定，弥补了《网络安全法》相关规范的缺失，为政府机构、企业等收集和处理个人信息提供具有可操作性的合规指引。

同时，《民法典》、《消费者权益保护法》、《刑法》、《刑事诉讼法》等规定将成为《个人信息保护法》的重要支撑，有效保障个人信息安全。

她指出，与《数据安全法》、《网络安全法》更加侧重国家安全与公共安全不同，《个人信息保护法（草案）》更加侧重对个体个人信息权益的保障。

例如，草案确立以个人“知情-同意”为核心的数据处理规则。专章规定的个人权利，对应的个人信息处理义务章节也是以落实个人信息权益为导向。采用了民法典“个人信息处理”的概念，遵循了民法典确定的信息处理者管理思路。

值得一提的是，《个人信息保护法（草案）》在域外效力、处理的合法性基础、数据主体权利、个人信息处理者义务方面引入了欧盟GDPR的理念和相关规定，并做了中国本土化的调整。