封面评论 - 提升App抽检测试频次，持续强化个人信息保护

□蒋璟璟

近期，中国网络空间安全协会对“餐饮外卖类”公众大量使用的部分App收集个人信息情况进行了测试。本次测试选取了19家应用商店累计下载量达到1亿次的“餐饮外卖类”App，包含美团、饿了么、盒马、叮咚买菜等共计7款App。测试发现，7款App在5种场景下调用了位置、设备信息、应用列表、剪切板、存储5类系统权限。此外测试发现，7款App上传了5种类型的个人信息。（澎湃新闻）

概括这份“餐饮外卖类”App个人信息收集情况测试报告，最直观的感受，就是平淡无奇。因为其中缺乏“猛料”“爆点”“新闻点”，故而自然在舆论场内波澜不惊。从测试结果看，这7款餐饮外卖类App，在调用权限、上传个人信息等指标上，表现基本可算是“老实本分”，并没有被查出有严重的违规出格之举。这一结果是值得肯定的，也是大众所乐见的。应该说，其并不是孤立的，而是与现阶段App整体的行业状态相一致的。

众所周知，《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规落地实施以来，“最小必要”原则，正式被确定为App收集使用用户个人信息的基本规范。具体到本次被测试的几大餐饮外卖App，其对于位置、设备信息、剪切板、存储的调用不难理解，而对“应用列表”调用也可解释成为了“第三方支付等关联应用快读启动”，似乎没什么大毛病——只不过需要追问的是，在静默场景下，此类App调用系统权限的次数需要这么频繁吗？某外卖App后台调权竟多达16次，这显然有悖于“最小必要”原则。

“餐饮外卖类”App的特殊性在于，其作为工具类App，功能定位相对单一，底层架构也较为简单，这客观上使得对其收集使用用户信息是否合乎“最小必要”原则的判断比较容易。与之相较，某些无所不包、无限延展的生态型App，则要复杂得多，也留下了更大的诡辩空间。比如说，前段时间一度招致巨大争议的“手一抖就跳到广告”现象，就被指部分头部App存在恶意调用陀螺仪的操作。对于这种巨无霸型App，其“最小必要”原则如何定义、由谁定义，着实耐人深思。

必须看到，在制度建设、长效治理和高频抽检多项并举之下，App违规收集和使用个人信息的状况已经获得极大改观。以工信部发布的《关于侵害用户权益行为的APP（SDK）通报》为例，发布30余批次以来，名单上“大App”“头部App”已基本绝迹，被通报的主要剩下一些“不知名App”“小APP”。而此番对主流餐饮外卖App的检测结果，同样确认了这种大趋势的好转。在这种背景下，如何进一步推动“最小必要”原则的细化、标准化和全场景的可验证化，理应成为下一阶段的努力方向和行动的重点。

【如果您有新闻线索，欢迎向我们报料，一经采纳有费用酬谢。报料微信关注：ihxdsb，报料QQ：3386405712】