当前， APP数量井喷式增长，APP已成为工作与生活中不可或缺的工具，而APP越界索权、违法违规收集使用个人信息行为也呈屡禁不止、愈演愈烈之势，侧面暴露公民个人信息保护的短板和难题，应予重视。

　　一是超范围采集个人信息，易侵犯用户隐私。大数据时代，数据成为重要的资产，手机APP超范围采集信息屡见不鲜，如天气预报、手电筒等功能单一的APP要求读取通讯录，视频类APP要求读取运动数据、资讯类APP要求开启相机和麦克风录音权限等。一方面，采集内容广泛，信息采集从一般信息向人脸、指纹、声纹、步态形体等生物识别信息蔓延，如360安全大脑监测数据发现9款金融类移动软件以提供借贷服务之名，除了非法收集用户敏感通讯数据外，还尝试对用户面部图像进行静默偷拍与上传。另一方面，采集手段更加隐蔽。部分APP通过操作隐私协议“制造同意”寻求隐私收集与处理的合法化，从而在形式上降低违法风险。部分APP在提供服务时，采取特殊方式获得用户授权，本质上仍属“未经同意”。如在用户协议中，将“同意”选项设置为较小字体，且已经预先勾选，导致部分消费者在未知情况下进行授权。

　　二是信息被不法份子利用，易衍生网络诈骗。部分APP不仅自己使用违规获取的信息，甚至将用户信息贩卖、交换个人信息来谋取自身利益，进而衍生网络诈骗。网络案件与APP结合紧密，通过窃取公民通讯录、短信等隐私信息进行敲诈勒索、网络诈骗等案件时有发生。APP对个人信息的不必要索取，是个人信息泄露、非法买卖中的重要出口，中国消费者协会发布的《APP个人信息泄露情况》显示，个人信息泄露是90%电信诈骗案件成因，个人信息被泄露后，约86.5%的受访者曾收到推销电话或短信的骚扰，约75.0%的受访者接到诈骗电话，约63.4%的受访者收到垃圾邮件。某些网络诈骗犯罪团伙正是根据有明确贷款意向的人员在手机APP等的浏览、搜索记录，分析其贷款意向，从而精准推送大量虚假贷款广告并实施诈骗。部分手机APP过度索取数据调用权限，并私自共享给第三方，如曾风靡网络的AI换脸软件ZAO将用户肖像任意授权给第三方，进行信息贩卖。

　　三是处罚手段少违法成本低，易“死灰复燃”。APP运营商的违法成本较低，一旦出了问题，最严厉的处罚就是封号、封域名、封IP地址等，有的运营商被封后变换域名或口令容易“死灰复燃”。一方面，用户隐私数据帮助企业精准营销带来“高收益”价值。采集APP功能需要之外的用户大数据，经过分析后可辅助呈现用户画像，从而实现广告的精准投放。如作为被强制获取的最常见数据，地理位置信息可用于提供用户周边的商业服务。另一方面对于APP违法违规收集个人信息的处罚手段有限。目前对APP监管以行政处罚为主，《APP违法违规收集使用个人信息专项治理报告（2019）》显示，相关部门对APP违法行为采取的惩罚措施主要有整改、通报、下架、罚款、查处、行政约谈等，震慑力度有限。如小红书APP将隐私设置定为默认允许其他人加为好友并浏览到好友部分个人隐私信息，致使用户关注的笔记以及兴趣爱好被陌生人了解，最终其公司仅被罚款5万元。

　　对此，建议：

　　一是多环节发力加强审核，规范授权操作。互联网平台应强化源头治理，提高手机APP市场准入门槛，从APP研发、资质审核、上架环节入手，从细化个人授权操作上加以规范。

　　二是建立投诉举报机制，降低用户维权门槛。为消费者诉讼企业侵犯隐私开辟绿色通道，包括低成本、高效率的集体诉讼，进一步探索用户因隐私被窃取的赔偿标准。

　　三是建立分级分类保护体系，合理合度采集个人信息。探索构建个人信息分级分类保护体系，引导行业对个人信息进行分类，明确敏感信息与一般信息各自的收集处理机制，避免信息采集主体过多、采集过度。同时建立收集重要数据备案制度，向网信部门备案。

　　四是强化企业动态监管，形成监管合力。工信、市场监管、公安等部门协同共治、动态监管，明确监管责任，将多家部门的监管效力拧成监管合力，加强对手机APP的监管和个人信息的保护，加大对违法违规APP和个人信息贩卖的黑灰产业链的打击力度，形成对违法企业的强大威慑。