4月10日，据新华社报道，在近期“净网2020”专项行动中，国家计算机病毒应急处理中心（CVERC），通过互联网监测发现25款存在隐私不合规行为的应用软件，包括luckin coffee、叮当快药、每日优鲜、春雨医生等，问题涉及未说明收集使用个人信息规则，未向用户明示申请的全部隐私权限等，应用软件合规问题再度引发关注。

　　除国家计算机病毒应急处理中心（以下简称“CVERC”）通过互联网监测并披露违法应用软件外，工业和信息化部（以下简称“工信部”）也在每个季度的《关于电信服务质量的报告》中披露该季度抽查发现问题的应用软件名单。2019年10月23日，工信部发布《关于开展APP侵害用户权益专项整治工作的通知》（工信部信管函〔2019〕337号），决定组织开展APP侵害用户权益专项整治行动工作，并于2019年12月19日与2020年1月9日先后发布《关于侵害用户权益行为的APP（第一批）通报》与《关于侵害用户权益行为的APP（第二批）通报》，进一步落实对应用软件用户权益的保护。

一 数据整理与分析

　　为更好地把握应用软件合规整治工作的规律，本团队整理了①CVERC 2017年10月至2020年4月发布的20次违法应用软件通报名单；②工信部2014年第一季度至2019年第二季度发布的《关于电信服务质量的报告》中对问题应用软件的披露名单；以及③工信部在APP侵害用户权益专项整治行动工作中通报的问题应用软件名单。

　　（一）2017年10月至2020年4月CVERC违法应用软件通报情况汇总[1]

　　（二）2014年第一季度至2019年第二季度工信部问题应用软件通报情况汇总[2]

　　（三）工信部关于侵害用户权益行为的应用软件通报情况汇总[3]

　　（四）数据分析

　　对比CVERC与工信部的违法应用软件通报情况可发现，总体而言CVERC更关注应用软件的“安全性”，而工信部则更重视应用软件是否对用户的“使用自由”造成影响。CVERC的通报情况侧重于应用软件存在的恶意代码对用户财产和隐私造成的潜在风险；而工信部则更侧重于用户是否根据其自身意愿自由地使用应用软件，而不会遇到“不给权限不让用”“过度索取权限”等违背其自身意愿的情况。

　　分析前述数据，还可发现CVERC与工信部的违法应用软件通报情况的共同点——“未经同意收集个人信息”与“强行捆绑推广其他应用软件”是应用软件违规的重灾区。未经同意收集个人信息在前述表格中分别占到13.94%（第二位）、7.91%（第二位）与26.15%（第一位），而强行捆绑推广其他应用软件在2014年第一季度至2019年第二季度工信部问题应用软件通报情况汇总中甚至达到了80.42%。下文将通过着重分析这两个问题为应用软件合规提出建议。

二 同意应为个人信息处理行为的合法性基础

　　公示个人信息收集使用规则并经用户同意后收集使用个人信息是《网络安全法》对应用软件提供者设置的基本要求。要合法合规收集使用个人信息，其必须证明已取得用户同意，且能证明用户同意的时间点先于收集使用行为。2019年12月30日印发的《App违法违规收集使用个人信息行为认定方法》认为以下行为可被认定为“未经用户同意收集使用个人信息”：

　　1.征得用户同意前就开始收集个人信息或打开可收集个人信息的权限；

　　2.用户明确表示不同意后，仍收集个人信息或打开可收集个人信息的权限，或频繁征求用户同意、干扰用户正常使用；

　　3.实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围；

　　4.以默认选择同意隐私政策等非明示方式征求用户同意；

　　5.未经用户同意更改其设置的可收集个人信息权限状态，如App更新时自动将用户设置的权限恢复到默认状态；

　　6.利用用户个人信息和算法定向推送信息，未提供非定向推送信息的选项；

　　7.以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限，如故意欺瞒、掩饰收集使用个人信息的真实目的；

　　8.未向用户提供撤回同意收集个人信息的途径、方式；

　　9.违反其所声明的收集使用规则，收集使用个人信息。

　　在实践中，一部分应用软件提供者出于节约成本的考虑出现未经用户同意或者通过默认选择同意隐私政策等非明示方式征求用户同意收集使用个人信息的情况，在前述的数据汇总中可看出这一现象非常普遍且是执法机关打击的重点。为了降低应用软件的违规风险，建议应用软件提供者应尽可能在获取用户明示同意的情况下收集使用个人信息。明示同意需由用户主动作出肯定性动作，包括主动作出电子或纸质形式的声明、主动勾选、主动点击“同意”“注册”“发送”“拨打”等。实践中，对于“主动勾选、主动点击”的行为，本团队理解应不仅限于“手动勾选”“点击”等行为，比如用户通过“语音识别”功能用声音发出指令的行为也应视为明示同意。

三 保障用户充分的知情选择权

　　“强制捆绑推广其他无关应用软件”是应用软件监管的重灾区，从2014年第一季度至2019年第二季度工信部问题应用软件通报情况汇总表中可以看到，因“强制捆绑推广其他无关应用软件”被认定为违规应用软件达到834款之多，占到了总量的80.42%。在CVERC的通报中，强制捆绑推广其他无关应用软件被细分为“存在捆绑恶意广告插件行为，该插件在后台无提示私自下载推广软件（8.17%）”“私自下载安装移动应用（6.73%）”“强制要求用户完成推广应用下载任务才可以正常使用（1.92%）”以及“通过复制、感染、投递、下载等方式将自身、自身的衍生物或其他恶意代码进行扩散（0.96%）”。

　　强制捆绑是指在用户不知情的情况下下载其他无关应用软件的安装包，最终可能由用户选择是否安装，也可能未经允许直接安装。强制捆绑本质上相当于一种广告，下载量少的应用软件可通过与知名度较高的应用软件进行捆绑而增加自身的推广度和用户量，同时这对知名度较高的应用软件而言也是一种变现方式。[4]

　　若应用软件提供者希望通过捆绑推广获利，为了降低违规风险，本团队建议应对用户进行充分的告知。在用户下载应用软件时，应用软件提供者可对用户说明其他应用软件的功能并建议同时下载，但必须尊重用户的选择权，在用户拒绝后，不得自行下载安装或在用户使用应用软件的过程中反复提示。此外，还建议应用软件提供者对合作的应用软件进行检测保证其安全性并在签订合同时明确责任分配情况，以防该被捆绑软件出现违规情况时对应用软件提供者本身造成影响。

四 结语

　　我国目前的应用软件规制总体依旧遵循“告知-同意”的框架，执法机关亦从这两个角度对应用软件的合法合规性进行监督。“强行捆绑推广其他应用软件”与“未经同意收集个人信息”分别对应着应用软件提供者的“告知”义务和“征求同意”义务，是执法机关的关注重点。2020年1月3日，人人视频（4.3.3/4.3.4）、春雨计步器（2.5.4）与微唱-原创音乐（1.1.0）因未按照要求完成整改而被工信部下架[5]，网络服务提供者切不可为了节约成本盲目追求利益而忽视了法定义务的履行，这不仅会对商誉带来影响，亦可能面临下架的风险。

　　作者：吴丹君律师 张振君律师助理

　　来源：微信公众号“大数据法律研究”