35款App違法違規收集使用個人信息 AI成“重災區”

中經記者 曲忠芳 北京報道

5月21日,國家網絡與信息安全信息通報中心通報,經公安部計算機信息系統安全產品質量監督檢驗中心檢測,在騰訊旗下移動應用商店“應用寶”中的35款App存在“違法違規收集使用個人信息”情況,檢測時間爲4月16日至5月15日。

《中國經營報》記者注意到,此次通報的違法違規收集使用個人信息情況總共涉及11類,其中告知形式違法、超範圍收集信息、收集頻率與業務功能無關這3類最爲突出,分別有18款、12款、10款App上榜。與此同時,被通報點名的35款App中有約15款視頻剪輯工具、11款AIGC(AI生成內容)工具,4款AI教育工具等,這反映出新興生成式AI技術領域對用戶數據的依賴性,以及運營企業合法合規意識不足的問題。

北京高勤律師事務所高級合夥人、律師王源向記者指出,目前公開通報中雖然並未列出是否需要整改、整改時限,以及到期未整改的後果等信息,但一般情況下,此類專項執法行動是會向涉事企業下發整改文件的。如果沒有接到整改文件,需要企業主動及時聯繫通報部門。如果未及時整改,將面臨App下架或者運營者受到行政處罰的後果。

AI應用成爲“重災區”

通報當日,記者從某主流品牌安卓手機下載了應用寶軟件,對通報App進行一一搜索,發現目前這些涉事App在商店中仍可以正常下載和使用。不過,多款涉事App的版本自5月16日以來已有迭代升級。

在被通報的35款App中,最引人關注的是兩家AI大模型明星公司,即智譜華章旗下的“智譜清言”和月之暗面公司旗下的Kimi。智譜清言存在“實際收集的個人信息超出用戶授權範圍”問題,而Kimi則是“實際收集個人信息的頻率與業務功能沒有直接關聯”。

事實上,除了智譜清言和Kimi之外,美圖秀秀旗下的“Wink”、本站有道參與投資的“AI音樂學園”、掌樂信息旗下的“妙剪”等,也在被通報之列。此外,電動車品牌臺鈴集團的臺鈴電動App、無線藍牙耳機品牌QCY等同樣“上榜”。

觀察這35款App的名稱,並綜合對照應用寶平臺的顯示信息、天眼查數據等,很容易就會發現,與視頻剪輯及生成相關的App高達15款,AI娛樂工具及社區約有11款,AI教育學習類軟件4款。需要說明的是,無論是視頻的剪輯和生成,還是數字人娛樂、聊天交友工具,背後應用的底層技術均是生成式AI、AI大模型新技術。

一位行業技術人士解釋稱,因生成式AI的技術特徵之一便是大規模數據的預訓練,需要在訓練中訓練大量數據,數據量與生成結果的準確性存在正向關聯。儘管國內已有《中華人民共和國個人信息保護法》《生成式人工智能服務管理暫行辦法》等法律法規實施,但部分運營企業在意識層面仍存在不足。

關於被通報之後的整改措施,記者向涉及企業一一聯繫採訪,不過截至發稿,涉事企業均未做出迴應。其中一名來自某企業的人士透露,確實已收到相關的整改要求,但具體信息不方便透露。

王源指出,在近幾年App個人信息保護執行行動中,尤其是近兩年裡一般以工信部爲主導,工信部每年均會定期開展App監測通報行動,公安部對於個人信息保護主要涉及構成電信詐騙、非法買賣個人信息的嚴重違法犯罪行業。而本次通報是公安部首次主動就App違法收集使用個人信息早期就已介入其中,這是否會形成長效機制還需要觀察。

專項行動持續 企業亟須重視

王源指出,此次檢測通報的法律依據是“上位法”《中華人民共和國網絡安全法》和《中華人民共和國個人信息保護法》,其直接依據是中央網信辦、工信部、公安部、市場監管總局四部門聯合印發的《關於開展2025年個人信息保護系列專項行動的公告》。從通報內容來看,除了覆蓋收集使用個人信息的告知形式、告知內容、告知頻率、徵得同意時間等違法違規,用戶權益保護不當的方面之外,還包括廣告投放違法,廣告存在誤導、欺騙用戶行爲的情況。因此,通報的法律依據還涉及《中華人民共和國廣告法》《互聯網廣告管理辦法》。

記者瞭解到,《關於開展2025年個人信息保護系列專項行動的公告》自今年4月印發通知,重點問題覆蓋App、智能終端、軟件開發工具包、公共場所、線下消費場景的違法違規收集使用個人信息,以及個人信息相關違法犯罪案件。

我國於2021年8月出臺了第一部個人信息保護的專門性法律《中華人民共和國個人信息保護法》,以此爲核心構建起涵蓋網絡安全、數據安全、隱私權保護的法律框架,並通過司法解釋細化規則。與此配套的細則也通過行政法規、部門規章和行業標準等進一步細化。例如,今年5月1日起,《個人信息保護合規審計管理辦法》正式施行。

在監管日益嚴格的趨勢下,App運營者要愈發重視個人信息收集使用的合法合規問題。對此,王源提醒道,網絡安全和個人信息保護領域的合法合規問題涉及的行業主管部門衆多,比如網信部門是個人信息保護主管部門,同時還負責網絡內容和人工智能監管。在生成式AI領域,《生成式人工智能服務管理暫行辦法》仍然是目前中國人工智能監管最全面的規定,人工智能技術和應用不僅涉及個人信息,還涉及內容安全、倫理等其他重要問題。

App違法收集個人信息表現形式多樣,可以從以下幾個方面進行規避:首先App運營者需要符合《中華人民共和國個人信息保護法》中個人信息收集使用的基礎性要求;其次關注不同主管部門的具體要求,不要出現重大違法行爲;同時密切關注階段性新執法措施,在出現問題後及時按照主管部門的要求進行整改。

值得一提的是,在用戶消費者端,除了增強個人保護意識之外,公安部上線了國家網絡身份認證公共服務平臺,目前用戶在移動端可以下載“國家網絡身份認證App”,申領網絡身份,在其他App需要認證“你是你的時候”用國家身份信息來認證自己,這相當於國家給自己發了一件“個人信息防彈衣”,讓對方無法拼湊出你的完整個人信息和網絡畫像,保護個人信息安全。

(編輯:吳清 審覈:李正豪 校對:翟軍)