支付宝“隐私门”解析：真相问题及该如何监管？

　　2信息收集：应守住“合法、正当、必要”底线

　　根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》，类似支付宝等网络服务提供者在业务活动中收集、使用公民个人电子信息，应当遵循“合法、正当、必要的原则”、“明示收集、使用信息的目的、方式和范围”、“并经被收集者同意”等。

　　显然，支付宝APP调用手机相关权限，申请权限获得用户同意后，必然会在用户使用过程中收集、使用个人信息。

　　从实际情况来看，支付宝APP弹出权限使用提示，似乎满足了“经被申请者同意”的条件。

　　但是，是否遵循了“合法、正当、必要”的原则，则存在很大争议。尤其是，支付宝安卓版APP在用户未开启或未使用相应功能时，支付宝自动触发“拍照、录音”等与用户个人信息甚至隐私信息密切的功能权限请求，不知情的用户很容易因为误点击，不小心开启了相应权限调用，而且此时的涉隐私信息的系统权限申请是否“正当、必要”，值得进一步探讨。

　　此外，支付宝在调用智能手机系统权限时，对可能产生的用户信息“收集、使用”的方式和范围，存在明示不全面或说明不充分。

　　简单说，如果没有这次“隐私门”事件，支付宝此番未出面正式回应，大多数人不清楚作为一个支付工具，支付宝为什么需要调用“相机、录音”等系统权限、为什么可能自动拍照或录音等收集用户信息。

　　由此可见，按照有关个人信息收集、使用需遵循“合法、正当、必要”原则的要求，包括支付宝在内的很多APP都需要调整自身的权限调用请求策略，让用户更加清晰的明白“什么时候授权”、“什么情况调用”、“采集那些信息”、“信息如何使用”等等。

　　3加强监管：避免APP成为侵害用户权益工具

　　当前，国内对于APP的监管还有一些空白亟待填补，很多有关APP的监管要求散落在一些指导意见或通知之中。

　　我国最早关于APP（官方称为“移动智能终端应用软件”）的管理要求，可以追溯到2012年。

　　由工业和信息化部制定、2012年1月1日起施行的《移动互联网恶意程序监测与处置机制》，首度从“恶意程序”角度对各类不当APP应用加以规范。.

　　按照此机制，“存在窃听用户通话、窃取用户信息、破坏用户数据、擅自使用付费业务、发送垃圾信息、推送广告或欺诈信息、影响移动终端运行、危害互联网网络安全等恶意行为”视为“恶意程序”。

　　随后，2013年11月1日起执行的工业和信息化部《关于加强移动智能终端进网管理的通知》中规定，“生产企业申请移动智能终端进网许可时，应当在申请材料中提供操作系统版本、预置应用软件基本配置信息”，并对“预装应用软件”划定“红线”，要求“不得在移动智能终端中预置5类应用软件，包括：

　　（一）未向用户明示并经用户同意，擅自收集、修改用户个人信息的；

　　（二）未向用户明示并经用户同意，擅自调用终端通信功能，造成流量消耗、费用损失、信息泄露等不良后果的；

　　（三）影响移动智能终端正常功能或通信网络安全运行的；

　　（四）含有《中华人民共和国电信条例》禁止发布、传播的信息内容的；

　　（五）其他侵害用户个人信息安全和合法权益以及危害网络与信息安全的。

　　此外，2015年11月18日，工业和信息化部发布《移动智能终端应用软件（APP）预置和分发管理暂行规定》（征求意见稿），面向公众征求意见，该规定重点从备受关注的APP“预装”和“分发”（下载）环节提出管理要求。

　　根据《移动智能终端应用软件（APP）预置和分发管理暂行规定》（征求意见稿），在权限调用方面，“移动智能终端应用软件必须符合相关标准要求，不得调用与所提供服务无关的终端功能”；在应用开启方面；“未经明示且经用户同意，不得强制开启应用软件”；在明示规则方面，“应通过用户提示、企业网站等方式明示所提供移动智能终端应用软件的信息，包括名称、功能描述、卸载方法、开发者信息、软件安装及运行所需权限列表等，明确告知用户应用软件收集、使用用户个人信息的内容、目的、方式和范围等。”

　　显然，对照上述要求，当前支付宝安卓版APP确实存在一些有待改进的地方。与此同时，由于相关监管要求不明确或立法规格不高，使得的并未引起广大APP开发者的重视，此外，当前对APP申请系统权限或调用相应功能的范围及正当性、必要性缺乏必要标准或管理要求，也使得各类APP乱象持续上演。

　　而这些问题，一方面，亟待相关部门加快监管政策或法律制定，加强对各类APP应用的规范和管理。另一方面，也需要各类APP厂商加强自律，参照相应要求，或以更高的要求不断改善用户体验，让用户更加放心的使用各类新应用或新功能。（文/李俊慧）