以法律手段维护用户权益,纵深推进App个人信息保护治理工作
中国信息通信研究院院长余晓晖
云栖网:2021年4月26日,在国家互联网信息办公室的统筹指导下,工业和信息化部会同公安部、市场监管总局发布《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》(以下简称《规定》),对移动互联网应用程序(以下简称App)个人信息处理活动作出专门规定。《规定》全文共二十条,以“依法治理、源头治理、系统治理、综合治理”为方法论,以“知情同意”和“最小必要”两项保护原则为纲领,以App开发运营者、App分发平台、App第三方服务提供者、移动智能终端生产企业以及网络接入服务提供者等五类监管对象为重点,以标准制定、自律评估、投诉举报以及处置措施作为监管抓手,纵深推进App个人信息保护治理工作,向违法违规处理App用户个人信息的行为精准亮剑。
一、《规定》以四个治理理念为方法论
党中央高度重视国家治理体系和治理能力现代化工作,习近平总书记指出要坚持问题导向,把专项治理和系统治理、综合治理、依法治理、源头治理结合起来。《规定》以“依法治理、源头治理、系统治理、综合治理”作为总体框架,为深入开展App个人信息保护治理工作提供了强有力的制度基础。一是坚持依法治理,充分衔接现有法律依据。依法治理要求贯彻法治思维和法治方式。《规定》中的制度设计以《网络安全法》等上位法为依据,为App个人信息处理活动划出了底线和红线,明确了App个人信息保护的具体要求。二是坚持源头治理,聚焦最突出的问题。源头治理要求坚持问题导向,针对App行业发展面临的突出问题、薄弱环节进行规制,对症下药、精准发力。《规定》对App违规收集个人信息、超范围收集个人信息、违规使用个人信息、强制用户使用定向推送功能、强制频繁过度索取权限等人民群众关注的重点问题,作出了有针对性制度规定。三是坚持系统治理,做好整体统筹协调。系统治理要求坚持系统谋划,立足长远。《规定》明确了“专项整治和长效治理相结合”的监管模式,从“局部监管、突出问题”转为“全流程、全链条、全主体”监管,将有效提升行业领域个人信息保护监管水平。四是坚持综合治理,完善多元主体参与机制。综合治理要求多元主体之间齐抓共管、群策群力、良性互动。《规定》秉持“多元共治”的思维,明确了政府机构、行业组织、企业、用户等多元主体在App个人信息保护工作中相应的法律义务和社会责任。
二、《规定》以两项保护原则为纲领
《规定》以“知情同意”和“最小必要”两项个人信息保护基本原则为纲领,在具体应用场景中细化了“知情同意”“最小必要”的认定标准,为App个人信息处理活动提供了明确的指引,能够有效解决实践中用户个人信息收集使用规则、目的、方式和范围不明确的问题。一是《规定》第七条明确了“知情同意”原则的具体管理要求,规定从事App个人信息处理活动的,应当以清晰易懂的语言告知用户个人信息处理规则,由用户在充分知情的前提下,作出自愿、明确的意思表示,并明确了“六项应当”要求。二是《规定》第八条明确了“最小必要”原则的具体规定,规定从事App个人信息处理活动的,应当具有明确、合理的目的,并遵循最小必要原则,不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动,并提出了“六项不得”要求。
三、《规定》以五类监管对象为重点
党的十八大,尤其是党的十九大以来,以移动互联网为代表的现代信息技术日新月异,新一轮科技革命和产业变革蓬勃发展,数字化、网络化、智能化加速推进,不断催生新业态、新模式,推动各类应用程序蓬勃发展,App在架数量和用户规模持续扩大,已经成为个人信息保护的关键领域。但各类App在开发、运营、预置、分发等不同环节中涉及的主体较多,个人信息保护责任难以界定。同时,不同环节中相应主体从事的服务类型不同,在App个人信息保护方面既有共通性要求也有差异性要求。为此,《规定》以App开发运营者、App分发平台、App第三方服务提供者、移动智能终端生产企业以及网络接入服务提供者等主体作为重点监管对象,采取“共性+个性”的规范思路。《规定》既明确了各类主体应当共同遵循的个人信息保护总体性要求,也分别规定了各类主体在App个人信息保护方面应当承担的个性化义务,以实现App治理全链条、全主体、全流程规范。
四、《规定》以四大监管举措为抓手
《规定》以标准制定、自律评估、投诉举报以及处置措施作为监管抓手。一是完善政策标准制定。《规定》明确,监督管理部门推进政策标准规范等相关工作,加强信息共享及对App个人信息保护工作的指导。此前,针对App治理中发现的问题,在工业和信息化部的指导下,电信终端产业协会联合终端厂商、互联网企业、安全企业等行业力量,制定发布了《App用户权益保护测评规范》《App收集使用个人信息最小必要评估规范》两个系列标准。下一步,还需要继续完善App治理标准体系,推动将已发布的团体标准上升为行业标准,进一步细化App收集使用个人信息规范要求,推动制定终端、SDK、分发平台等有关权限管控、集成接口、上架明示等配套标准,与App个人信息保护标准做好衔接,为企业合规经营提供明确的指引。二是开展评估认证。《规定》明确,相关行业组织和专业机构按照有关法律法规、标准及本规定,开展App个人信息保护能力评估、认证。行业只有通过不断的自律发展,更多的履行国家和社会责任,更好的发挥政府和市场各自的作用,才能使行业发展走向良性循环,才能满足人民的需要,才能在国际上更具有竞争力。下一步相关行业组织和专业机构需要积极运用人工智能、大数据等新技术新手段,组织优势力量,有力保障、持续优化、高效推进评估认证工作,开展违法行为监测和检测活动,实现线上线下、联防联控管理体系。三是推动投诉举报。《规定》指出,任何组织和个人发现违反本规定行为的,可以向监督管理部门或者中国互联网协会、中国网络空间安全协会投诉举报。此举有助于畅通社会监督表达渠道,下一步应用好互联网信息服务投诉平台以及中国互联网协会网络不良与垃圾信息举报受理中心两大投诉渠道,加大对于两大投诉渠道的宣传力度,推动举报投诉工作标准化、规范化,及时处理相关举报案件。四是明确处置措施。《规定》明确了违法行为的处置措施,依次按照责令整改、社会公告、下架处置、断开接入等流程进行处置,并明确具体时间期限。其次,《规定》也对整改反复出现问题的App规定了处置要求,包括监督管理部门可以指导组织App分发平台和移动智能终端生产企业在集成、分发、预置和安装等环节进行风险提示,情节严重的采取禁入措施。最后,《规定》设置了衔接性的法律责任条款,规定从事App个人信息处理活动侵害个人信息权益的,将依照有关规定予以处罚;构成犯罪的,公安机关依法追究刑事责任。下一步需要加大对于违法行为的处置力度,集中力量对广大人民群众深恶痛疾、反映强烈的违规行为进行严厉打击,用好用足现有处罚措施。同时,及时公布典型处罚案例,加大对与违法行为惩戒曝光力度,充分发挥反面案例的警示和教育作用。