国家信息技术安全研究中心 李京春 

一、安全背景情况

随着云计算、大数据、人工智能和移动互联网等产业创新发展和技术快速迭代，以“数据”为中心的产业数字化和数字产业化业务如雨后春笋般地不断涌现，数据成为新时期经济发展的新动能，数据赋能、数据汇聚、数据交易、数据共享、数据流动等新型商业模式被广泛运用，其中的不规范行为和恶意行为也在侵犯着个人信息、重要数据和国家核心数据的安全。数据安全和个人信息保护成为全社会广泛关注的热点和焦点，互联网治理压力越来越大，移动智能终端APP应用监管发现的安全问题在互联网业务中具有普遍性，超范围、超权限、隐蔽功能、霸王隐私条款等侵犯个人信息，以及个人选择权、决定权、同意权等问题越来越严重。移动智能终端厂商预装应用程序和第三方应用程序等的数量越来越多，甚至用户不可卸载的预装应用程序动辄多达几十个，有的预装功能不是基本功能，商业目的十分明显，给用户知情权、选择权、决定权带来影响，这种强制性的“霸王条款”，弱势用户不得不接受，连卸载操作也无法实现。目前，在监管部门的治理下，单个APP应用程序已经很难实现明显的个人信息违规收集，但操作系统和多个APP程序一起共同收集的方式更容易过度收集个人信息，给监管部门的监督管理带来了一定难度。这种大量不可卸载的预装应用程序，影响了用户的使用，带来了潜在的安全风险，引起了社会广泛关注。

二、技术文件要求

近期，全国信息安全标准化技术委员会发布了《移动智能终端预装应用程序分类方法》技术文件（以下简称“技术文件”）并公开征求意见。技术文件规范了移动智能终端预装应用程序的行为，以解决移动智能终端预装应用程序过多且不可卸载，影响用户使用体验和数据安全，存在个人信息泄露风险等问题。技术文件要求移动智能终端提供厂商，在预装应用程序时要考虑移动智能终端本身的特性，按照合法、正当、必要原则，让用户自己选择第三方的应用程序并下载安装。技术文件的主要内容包括：

（一）技术文件给出了预装应用程序的定义，将其范围限定在“终端出厂前安装”、“用户交互入口”、“可独立使用”内。从而排除了手机出厂后在销售渠道过程中被安装的应用程序，以及操作系统功能组件类等没有用户交互入口或无法独立使用的应用程序。

（二）技术文件将预装应用程序分为可卸载与不可卸载两类，给出了预装应用程序是否可作为不可卸载类的标准，明确给出了六种具体的不可卸载应用程序的功能范围，包括：保障移动智能终端接入移动通信网络的基本功能，即“接打电话”、“收发短信”、“管理通讯录”；保障移动智能终端自身操作系统能够稳定正确运行的功能，即“系统设置”、“显示时间”；支撑移动智能终端智能功能使用的功能，即“应用程序下载”。

（三）技术文件明确了实现同一功能的预装应用程序至多有一个可不被卸载，避免了实现同一功能的多款应用程序均被设置为不可卸载的情况。

三、落实国家政策

移动智能终端厂商如果能按照技术文件要求执行，是按照《数据安全法》《网络数据安全管理条例》（征求意见稿）等法律法规的精神，积极提高网络安全水平的具体体现。

一是移动智能终端厂商合法、正当、必要的选择不可卸载的预装应用程序，便于用户对应用程序的体验，保证用户的知情权、选择权、决定权的落地。2021年11月14日，中央网信办牵头编制的《网络数据安全管理条例》（征求意见稿）（以下简称《条例》）公开发布征求意见。其中，《条例》第十九条提出，“数据处理者处理个人信息，应当具有明确、合理的目的，遵循合法、正当、必要的原则。基于个人同意处理个人信息的，应当满足以下要求：（一）处理的个人信息是提供服务所必需的，或者是履行法律、行政法规规定的义务所必需的；（二）限于实现处理目的最短周期、最低频次，采取对个人权益影响最小的方式；（三）不得因个人拒绝提供服务必需的个人信息以外的信息，拒绝提供服务或者干扰个人正常使用服务”。移动智能终端厂商应当对预装不可卸载的应用软件应当具有明确、合理的目的，遵守合法、正当、必要的原则，提供基本、必要的预装应用程序服务，并将不可卸载的应用程序减少到最少，让用户有更多的知情权、选择权、决定权。

二是便于移动智能终端厂商对第三方应用程序进行安全管理，保证移动智能终端厂商和第三方产品提供商履行安全义务和各自责任，减少预装应用程序过多带来的安全风险。《条例》第四十四条提出，“互联网平台运营者应当对接入其平台的第三方产品和服务承担数据安全管理责任，通过合同等形式明确第三方的数据安全责任义务，并督促第三方加强数据安全管理，采取必要的数据安全保护措施。第三方产品和服务对用户造成损害的，用户可以要求互联网平台运营者先行赔偿。移动通信终端预装第三方产品适用本条前两款规定”。

三是便于国家和相关行业有关监管部门的监督管理。国家监管机构更容易检测移动智能终端厂商提供的功能，区分第三方提供商应用程序功能，便于分清责任和APP应用的监管。《条例》第五十九条提出“国家支持相关行业组织按照章程，制定数据安全行为规范，加强行业自律，指导会员加强数据安全保护，提高数据安全保护水平，促进行业健康发展。国家支持成立个人信息保护行业组织，开展以下活动：（一）接受个人信息保护投诉举报并进行调查、调解；（二）向个人提供信息和咨询服务，支持个人依法对损害个人信息权益的行为提起诉讼；（三）曝光损害个人信息权益的行为，对个人信息保护开展社会监督；（四）向有关部门反映个人信息保护情况、提供咨询、建议；（五）违法处理个人信息、侵害众多个人的权益的行为，依法向人民法院提起诉讼。”

随着《网络安全法》《数据安全法》《个人信息保护法》等法律的实施，以及下一步《网络数据安全管理条例》（征求意见稿）等法规文件的出台，以技术文件的形式引导各方对移动智能终端预装应用程序规范管理，是一种积极尝试，经过实践检验后，可以快速转化为国家标准，发挥更广泛的作用。