2019年3月15日晚20点，中央广播电视总台联合国家政府部门，如期播出第29届《3·15晚会》。本次晚会以“共治共享、放心消费”为主题，聚焦产品质量、售后服务、个人信息保护、互联网消费等领域侵犯消费者权益的违法违规行为，曝光行业内幕和消费“潜规则”。其中，晚会的一大亮点在于侵犯消费者权益的违法违规行为，已经由传统的人工侵权向利用高精尖技术侵权转化。例如，此次晚会曝光了多家科技公司利用人工智能技术，违法获取个人姓名、性别、电话、收入等敏感数据，再运用机器人寻呼系统精准拨打骚扰电话，以达到企业创收目的。

实际上，随着个人信息泄露危害性的不断扩大，政府相关部门已经开始重视个人信息安全问题，并着手开展打击活动。今年3·15晚会在曝光非法收集个人数据的App运营者后，国家市场监管总局当天就在官网上发布《关于开展App安全认证工作的公告》，宣告App安全认证工作正式拉开序幕。与此同时，工信部隔天立刻展开对曝光的App运营者的核查处理，政府部门反应迅速的背后，反应的是各个政府部门针对个人信息保护，实际上已经形成了较为完善地协同联动机制。因此，App运营者要格外重视今年“3·15”晚会所释放的信号，自觉做好数据合规工作，将用户数据合法的摊在阳光下。

一、揭开骚扰电话神秘面纱

相信大家生活中，或多或少都会接到骚扰短信或者客服电话。殊不知，跟你通话的客服小姐极有可能是个机器人！今年晚会重点曝光了中科智联科技、易龙芯科人工智能科技、壹鸽科技等多家高科技公司利用机器人寻呼系统，拨打骚扰电话。据悉，人工外呼的极限是1人1天500个电话，但是机器人1天可以打出1000个电话，市场上现有的机器人一年能呼出40亿个电话，这也就是很多人都会接到骚扰电话的原因。

那么，高科技公司是如何获取我们的电话号码？实际上，市场上有种产品叫做探针盒子，将探针盒子放在人流量大的火车站、商场等地方，当用户手机无线局域网处于打开状态时，会向周围发出寻找无线网络的信号，探针盒子发现这个信号后，就能迅速识别出用户手机的MAC地址，MAC地址再和后台数据进行匹配，就能转换出用户的电话，而后台数据主要来源于用户手机上所安装的一些软件。

可见，骚扰电话背后隐藏着一条灰色产业链，即App运营者利用APP软件违法收集大量的个人数据，探针盒子利用收集到的MAC地址与后台数据进行匹配，进而转换获取附近用户的电话，再利用机器人寻呼系统拨出海量的骚扰电话！

二、标本兼治，政府部门重拳出击

魔高一寸，道高一丈。虽然App运营者借助高新技术的外衣，非法收集个人信息的方式看上去天衣无缝。然而，政府部门已经洞悉骚扰电话背后的产业链，并采取了标本兼治的措施。

在治标方面，针对骚扰电话问题，2018年7月，工业和信息化部、最高人民法院、最高人民检察院等13个部门联合下发《综合整治骚扰电话专项行动方案》的通知，要求各部门对商业营销类、恶意骚扰类和违法犯罪类骚扰电话进行整治，规范通信资源管理。2018年10月，工信部办公厅下发《关于推进综合整治骚扰电话专项行动的工作方案》的通知，将13部门的通知文件进行具体细化。2019年2月，工信部发布《关于电信服务质量的通告》，对2018年综合整治骚扰电话专项行动做了通报，该通报显示2018年有较好的整治效果。

当然，政府部门意识到单纯整治骚扰电话无法解决实质问题，于是2019年1月，中央网信办、工业和信息化部、公安部、市场监管总局联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》，宣告利用1年的时间在全国范围开展专项治理App违法违规收集使用个人信息问题。

《关于开展App违法违规收集使用个人信息专项治理的公告》发布后不到一个月，全国信息安全标准化技术委员会随后发布了《信息安全技术 个人信息安全规范（草案）》，面向社会公开征求意见。草案重点新增了app软件等收集用户信息的平台“不得强迫收集个人信息的要求”等重点内容。紧接着，App专项治理工作组3月份正式对外亮相，同时下发《App违法违规收集使用个人信息自评估指南》，要求App运营者对照指南做合规整改；指南下发的同一天，App专项治理工作组还对外宣布已经设立了“App个人信息举报”微信公众号和“pip@tc260.org.cn”专用邮箱两种举报渠道，欢迎消费者举报维权，试图利用民众的举报倒逼App运营者做合规整改。半个月后，国家市场监管总局接着发布了《市场监管总局中央网信办关于开展App安全认证工作的公告》，鼓励App运营者主动向有关机构申请App安全认证。

可以看出，不仅综合整治骚扰电话专项行动取得了较为明显的效果，而且政府在切断App对用户数据违规违法收集上，更是不予余力。今年仅仅三个月之间，政府相关部门就密集推出各项举措，眼花缭乱，亮点突出。足见政府部门两手都有准备，两手同样强硬。最关键的是，面对个人信息不断泄露的问题，政府监管的达摩克利斯之剑已经渐渐升起，App运营者无法规监管，任意收集个人信息的时代将一去不复返。

三、用户数据如何合法摊在阳光下

App运营者目前的当务之急应是做好合规整改工作，那么，App运营者如何才能将用户数据合法地摊在阳光下接受检验呢？本文认为，App运营者主动向有关机构申请App安全认证，是将潜在隐患扼杀在摇篮里的最好办法。因为一旦申请了APP安全认证，就等于得到了政府的信用背书，对内面对用户，可以增加用户对企业的信任度；对外面对权力机关，可以预防被惩处的潜在风险，一举多得。

那么，App运营者该如何才能顺利申请到App安全认证呢？实际上，近日，国家认证认可监督管理委员会发布了《移动互联网应用程序（App）安全认证实施规则》，该文件对申请流程做了具体介绍。笔者通过研读该《实施规则》，对申请App安全认证的流程做了如下归纳，可供App运营者参考。

首先，App运营者应保证自己是通过App向用户提供服务的网络运营者，且已取得市场监督管理部门或有关机构注册登记的法人资格。其中，如果App运营者有违反相关法律法规；在12个月内发生重大信息安全事件；所持同类证书在撤销认证影响期内或者认证机构规定的其他情况的，不得申请认证。在申请认证中，App运营者应提交指定的文件和材料。

其次，认证机构对App运营者的申请资料进行审核后，做出是否受理的决定。认证机构不管是否受理，都应向App运营者反馈情况。如果认证机构受理了认证申请，App运营者还应按照申请书填写的送样方式提交样本，送样副本应反映所有发布渠道App副本与认证相关的技术特性；不能反映时，还应选送申请单元内其他App副本。

再次，受理申请后，检测机构应按照技术验证规范实施技术验证，并按照认证机构有关规定出具技术验证报告。发现不符合时，检测机构应向App运营者出具不符合报告，并要求其限期整改；App运营者逾期未完成整改的，检测机构中止认证过程。

再次，如果技术验证顺利通过后，认证机构还需依据GB/T35273《信息安全技术个人信息安全规范》，对App运营者进行现场审核，并按认证机构有关规定出具现场审核报告。如果发现不符合时，认证机构要向App运营者出具不符合报告，并要求限期整改；App运营者逾期未完成整改的，认证机构中止认证过程。

最后，认证机构会根据申请资料、技术验证结论和现场审核结论等进行综合评价，做出认证决定。认证决定通过后，由认证机构向App运营者颁发认证证书，并授权获证App运营者使用规定的认证标志。认证决定不通过的，认证机构终止认证。在认证证书有效期内，获证App运营者可将证书在网站、工作场所和宣传资料中展示，但不应进行误导性宣传。

在获取安全证书后，App运营者应持续进行获证后自评价，并配合认证机构的监督活动。认证机构应对获证App和App运营者实施持续监督，监督方式包括日常监督和专项监督。而如果App运营者认证不通过的，App运营者可在收到认证结果通知后10个工作日内通过认证机构指定的申诉渠道进行申诉。