一、安全背景情況

　　隨著云計算、大數據、人工智能和移動互聯網等產業創新發展和技術快速迭代，以“數據”為中心的產業數字化和數字產業化業務如雨后春筍般地不斷涌現，數據成為新時期經濟發展的新動能，數據賦能、數據匯聚、數據交易、數據共享、數據流動等新型商業模式被廣泛運用，其中的不規范行為和惡意行為也在侵犯著個人信息、重要數據和國家核心數據的安全。數據安全和個人信息保護成為全社會廣泛關注的熱點和焦點，互聯網治理壓力越來越大，移動智能終端APP應用監管發現的安全問題在互聯網業務中具有普遍性，超范圍、超權限、隱蔽功能、霸王隱私條款等侵犯個人信息，以及個人選擇權、決定權、同意權等問題越來越嚴重。移動智能終端廠商預裝應用程序和第三方應用程序等的數量越來越多，甚至用戶不可卸載的預裝應用程序動輒多達幾十個，有的預裝功能不是基本功能，商業目的十分明顯，給用戶知情權、選擇權、決定權帶來影響，這種強制性的“霸王條款”，弱勢用戶不得不接受，連卸載操作也無法實現。目前，在監管部門的治理下，單個APP應用程序已經很難實現明顯的個人信息違規收集，但操作系統和多個APP程序一起共同收集的方式更容易過度收集個人信息，給監管部門的監督管理帶來了一定難度。這種大量不可卸載的預裝應用程序，影響了用戶的使用，帶來了潛在的安全風險，引起了社會廣泛關注。

　　二、技術文件要求

　　近期，全國信息安全標準化技術委員會發布了《移動智能終端預裝應用程序分類方法》技術文件（以下簡稱“技術文件”）并公開征求意見。技術文件規范了移動智能終端預裝應用程序的行為，以解決移動智能終端預裝應用程序過多且不可卸載，影響用戶使用體驗和數據安全，存在個人信息泄露風險等問題。技術文件要求移動智能終端提供廠商，在預裝應用程序時要考慮移動智能終端本身的特性，按照合法、正當、必要原則，讓用戶自己選擇第三方的應用程序并下載安裝。技術文件的主要內容包括：

　　（一）技術文件給出了預裝應用程序的定義，將其范圍限定在“終端出廠前安裝”、“用戶交互入口”、“可獨立使用”內。從而排除了手機出廠后在銷售渠道過程中被安裝的應用程序，以及操作系統功能組件類等沒有用戶交互入口或無法獨立使用的應用程序。

　?。ǘ┘夹g文件將預裝應用程序分為可卸載與不可卸載兩類，給出了預裝應用程序是否可作為不可卸載類的標準，明確給出了六種具體的不可卸載應用程序的功能范圍，包括：保障移動智能終端接入移動通信網絡的基本功能，即“接打電話”、“收發短信”、“管理通訊錄”；保障移動智能終端自身操作系統能夠穩定正確運行的功能，即“系統設置”、“顯示時間”；支撐移動智能終端智能功能使用的功能，即“應用程序下載”。

　?。ㄈ┘夹g文件明確了實現同一功能的預裝應用程序至多有一個可不被卸載，避免了實現同一功能的多款應用程序均被設置為不可卸載的情況。

　　三、落實國家政策

　　移動智能終端廠商如果能按照技術文件要求執行，是按照《數據安全法》《網絡數據安全管理條例》（征求意見稿）等法律法規的精神，積極提高網絡安全水平的具體體現。

　　一是移動智能終端廠商合法、正當、必要的選擇不可卸載的預裝應用程序，便于用戶對應用程序的體驗，保證用戶的知情權、選擇權、決定權的落地。2021年11月14日，中央網信辦牽頭編制的《網絡數據安全管理條例》（征求意見稿）（以下簡稱《條例》）公開發布征求意見。其中，《條例》第十九條提出，“數據處理者處理個人信息，應當具有明確、合理的目的，遵循合法、正當、必要的原則?；趥€人同意處理個人信息的，應當滿足以下要求：（一）處理的個人信息是提供服務所必需的，或者是履行法律、行政法規規定的義務所必需的；（二）限于實現處理目的最短周期、最低頻次，采取對個人權益影響最小的方式；（三）不得因個人拒絕提供服務必需的個人信息以外的信息，拒絕提供服務或者干擾個人正常使用服務”。移動智能終端廠商應當對預裝不可卸載的應用軟件應當具有明確、合理的目的，遵守合法、正當、必要的原則，提供基本、必要的預裝應用程序服務，并將不可卸載的應用程序減少到最少，讓用戶有更多的知情權、選擇權、決定權。

　　二是便于移動智能終端廠商對第三方應用程序進行安全管理，保證移動智能終端廠商和第三方產品提供商履行安全義務和各自責任，減少預裝應用程序過多帶來的安全風險?！稐l例》第四十四條提出，“互聯網平臺運營者應當對接入其平臺的第三方產品和服務承擔數據安全管理責任，通過合同等形式明確第三方的數據安全責任義務，并督促第三方加強數據安全管理，采取必要的數據安全保護措施。第三方產品和服務對用戶造成損害的，用戶可以要求互聯網平臺運營者先行賠償。移動通信終端預裝第三方產品適用本條前兩款規定”。

　　三是便于國家和相關行業有關監管部門的監督管理。國家監管機構更容易檢測移動智能終端廠商提供的功能，區分第三方提供商應用程序功能，便于分清責任和APP應用的監管?！稐l例》第五十九條提出“國家支持相關行業組織按照章程，制定數據安全行為規范，加強行業自律，指導會員加強數據安全保護，提高數據安全保護水平，促進行業健康發展。國家支持成立個人信息保護行業組織，開展以下活動：（一）接受個人信息保護投訴舉報并進行調查、調解；（二）向個人提供信息和咨詢服務，支持個人依法對損害個人信息權益的行為提起訴訟；（三）曝光損害個人信息權益的行為，對個人信息保護開展社會監督；（四）向有關部門反映個人信息保護情況、提供咨詢、建議；（五）違法處理個人信息、侵害眾多個人的權益的行為，依法向人民法院提起訴訟?！?/p>

　　隨著《網絡安全法》《數據安全法》《個人信息保護法》等法律的實施，以及下一步《網絡數據安全管理條例》（征求意見稿）等法規文件的出臺，以技術文件的形式引導各方對移動智能終端預裝應用程序規范管理，是一種積極嘗試，經過實踐檢驗后，可以快速轉化為國家標準，發揮更廣泛的作用。