一、安全背景情況

　　隨著云計算、大數(shù)據(jù)、人工智能和移動互聯(lián)網(wǎng)等產(chǎn)業(yè)創(chuàng)新發(fā)展和技術(shù)快速迭代，以“數(shù)據(jù)”為中心的產(chǎn)業(yè)數(shù)字化和數(shù)字產(chǎn)業(yè)化業(yè)務(wù)如雨后春筍般地不斷涌現(xiàn)，數(shù)據(jù)成為新時期經(jīng)濟(jì)發(fā)展的新動能，數(shù)據(jù)賦能、數(shù)據(jù)匯聚、數(shù)據(jù)交易、數(shù)據(jù)共享、數(shù)據(jù)流動等新型商業(yè)模式被廣泛運用，其中的不規(guī)范行為和惡意行為也在侵犯著個人信息、重要數(shù)據(jù)和國家核心數(shù)據(jù)的安全。數(shù)據(jù)安全和個人信息保護(hù)成為全社會廣泛關(guān)注的熱點和焦點，互聯(lián)網(wǎng)治理壓力越來越大，移動智能終端APP應(yīng)用監(jiān)管發(fā)現(xiàn)的安全問題在互聯(lián)網(wǎng)業(yè)務(wù)中具有普遍性，超范圍、超權(quán)限、隱蔽功能、霸王隱私條款等侵犯個人信息，以及個人選擇權(quán)、決定權(quán)、同意權(quán)等問題越來越嚴(yán)重。移動智能終端廠商預(yù)裝應(yīng)用程序和第三方應(yīng)用程序等的數(shù)量越來越多，甚至用戶不可卸載的預(yù)裝應(yīng)用程序動輒多達(dá)幾十個，有的預(yù)裝功能不是基本功能，商業(yè)目的十分明顯，給用戶知情權(quán)、選擇權(quán)、決定權(quán)帶來影響，這種強(qiáng)制性的“霸王條款”，弱勢用戶不得不接受，連卸載操作也無法實現(xiàn)。目前，在監(jiān)管部門的治理下，單個APP應(yīng)用程序已經(jīng)很難實現(xiàn)明顯的個人信息違規(guī)收集，但操作系統(tǒng)和多個APP程序一起共同收集的方式更容易過度收集個人信息，給監(jiān)管部門的監(jiān)督管理帶來了一定難度。這種大量不可卸載的預(yù)裝應(yīng)用程序，影響了用戶的使用，帶來了潛在的安全風(fēng)險，引起了社會廣泛關(guān)注。

　　二、技術(shù)文件要求

　　近期，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布了《移動智能終端預(yù)裝應(yīng)用程序分類方法》技術(shù)文件（以下簡稱“技術(shù)文件”）并公開征求意見。技術(shù)文件規(guī)范了移動智能終端預(yù)裝應(yīng)用程序的行為，以解決移動智能終端預(yù)裝應(yīng)用程序過多且不可卸載，影響用戶使用體驗和數(shù)據(jù)安全，存在個人信息泄露風(fēng)險等問題。技術(shù)文件要求移動智能終端提供廠商，在預(yù)裝應(yīng)用程序時要考慮移動智能終端本身的特性，按照合法、正當(dāng)、必要原則，讓用戶自己選擇第三方的應(yīng)用程序并下載安裝。技術(shù)文件的主要內(nèi)容包括：

　　（一）技術(shù)文件給出了預(yù)裝應(yīng)用程序的定義，將其范圍限定在“終端出廠前安裝”、“用戶交互入口”、“可獨立使用”內(nèi)。從而排除了手機(jī)出廠后在銷售渠道過程中被安裝的應(yīng)用程序，以及操作系統(tǒng)功能組件類等沒有用戶交互入口或無法獨立使用的應(yīng)用程序。

　　（二）技術(shù)文件將預(yù)裝應(yīng)用程序分為可卸載與不可卸載兩類，給出了預(yù)裝應(yīng)用程序是否可作為不可卸載類的標(biāo)準(zhǔn)，明確給出了六種具體的不可卸載應(yīng)用程序的功能范圍，包括：保障移動智能終端接入移動通信網(wǎng)絡(luò)的基本功能，即“接打電話”、“收發(fā)短信”、“管理通訊錄”；保障移動智能終端自身操作系統(tǒng)能夠穩(wěn)定正確運行的功能，即“系統(tǒng)設(shè)置”、“顯示時間”；支撐移動智能終端智能功能使用的功能，即“應(yīng)用程序下載”。

　　（三）技術(shù)文件明確了實現(xiàn)同一功能的預(yù)裝應(yīng)用程序至多有一個可不被卸載，避免了實現(xiàn)同一功能的多款應(yīng)用程序均被設(shè)置為不可卸載的情況。

　　三、落實國家政策

　　移動智能終端廠商如果能按照技術(shù)文件要求執(zhí)行，是按照《數(shù)據(jù)安全法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》（征求意見稿）等法律法規(guī)的精神，積極提高網(wǎng)絡(luò)安全水平的具體體現(xiàn)。

　　一是移動智能終端廠商合法、正當(dāng)、必要的選擇不可卸載的預(yù)裝應(yīng)用程序，便于用戶對應(yīng)用程序的體驗，保證用戶的知情權(quán)、選擇權(quán)、決定權(quán)的落地。2021年11月14日，中央網(wǎng)信辦牽頭編制的《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》（征求意見稿）（以下簡稱《條例》）公開發(fā)布征求意見。其中，《條例》第十九條提出，“數(shù)據(jù)處理者處理個人信息，應(yīng)當(dāng)具有明確、合理的目的，遵循合法、正當(dāng)、必要的原則。基于個人同意處理個人信息的，應(yīng)當(dāng)滿足以下要求：（一）處理的個人信息是提供服務(wù)所必需的，或者是履行法律、行政法規(guī)規(guī)定的義務(wù)所必需的；（二）限于實現(xiàn)處理目的最短周期、最低頻次，采取對個人權(quán)益影響最小的方式；（三）不得因個人拒絕提供服務(wù)必需的個人信息以外的信息，拒絕提供服務(wù)或者干擾個人正常使用服務(wù)”。移動智能終端廠商應(yīng)當(dāng)對預(yù)裝不可卸載的應(yīng)用軟件應(yīng)當(dāng)具有明確、合理的目的，遵守合法、正當(dāng)、必要的原則，提供基本、必要的預(yù)裝應(yīng)用程序服務(wù)，并將不可卸載的應(yīng)用程序減少到最少，讓用戶有更多的知情權(quán)、選擇權(quán)、決定權(quán)。

　　二是便于移動智能終端廠商對第三方應(yīng)用程序進(jìn)行安全管理，保證移動智能終端廠商和第三方產(chǎn)品提供商履行安全義務(wù)和各自責(zé)任，減少預(yù)裝應(yīng)用程序過多帶來的安全風(fēng)險。《條例》第四十四條提出，“互聯(lián)網(wǎng)平臺運營者應(yīng)當(dāng)對接入其平臺的第三方產(chǎn)品和服務(wù)承擔(dān)數(shù)據(jù)安全管理責(zé)任，通過合同等形式明確第三方的數(shù)據(jù)安全責(zé)任義務(wù)，并督促第三方加強(qiáng)數(shù)據(jù)安全管理，采取必要的數(shù)據(jù)安全保護(hù)措施。第三方產(chǎn)品和服務(wù)對用戶造成損害的，用戶可以要求互聯(lián)網(wǎng)平臺運營者先行賠償。移動通信終端預(yù)裝第三方產(chǎn)品適用本條前兩款規(guī)定”。

　　三是便于國家和相關(guān)行業(yè)有關(guān)監(jiān)管部門的監(jiān)督管理。國家監(jiān)管機(jī)構(gòu)更容易檢測移動智能終端廠商提供的功能，區(qū)分第三方提供商應(yīng)用程序功能，便于分清責(zé)任和APP應(yīng)用的監(jiān)管。《條例》第五十九條提出“國家支持相關(guān)行業(yè)組織按照章程，制定數(shù)據(jù)安全行為規(guī)范，加強(qiáng)行業(yè)自律，指導(dǎo)會員加強(qiáng)數(shù)據(jù)安全保護(hù)，提高數(shù)據(jù)安全保護(hù)水平，促進(jìn)行業(yè)健康發(fā)展。國家支持成立個人信息保護(hù)行業(yè)組織，開展以下活動：（一）接受個人信息保護(hù)投訴舉報并進(jìn)行調(diào)查、調(diào)解；（二）向個人提供信息和咨詢服務(wù)，支持個人依法對損害個人信息權(quán)益的行為提起訴訟；（三）曝光損害個人信息權(quán)益的行為，對個人信息保護(hù)開展社會監(jiān)督；（四）向有關(guān)部門反映個人信息保護(hù)情況、提供咨詢、建議；（五）違法處理個人信息、侵害眾多個人的權(quán)益的行為，依法向人民法院提起訴訟。”

　　隨著《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》等法律的實施，以及下一步《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》（征求意見稿）等法規(guī)文件的出臺，以技術(shù)文件的形式引導(dǎo)各方對移動智能終端預(yù)裝應(yīng)用程序規(guī)范管理，是一種積極嘗試，經(jīng)過實踐檢驗后，可以快速轉(zhuǎn)化為國家標(biāo)準(zhǔn)，發(fā)揮更廣泛的作用。