“在當(dāng)前的數(shù)據(jù)生態(tài)中����,由于個人信息蘊含巨大價值����,APP個人信息處理活動者對于數(shù)據(jù)的獲取有一種‘天然沖動’?�!?/p>
當(dāng)APP處于靜默狀態(tài)下,圖片�、音頻等個人信息被無感知收集;關(guān)閉定位權(quán)限后���,要求重新授權(quán)的彈窗頻繁出現(xiàn)�;在某APP平臺購物付款時��,付費方式連接的運營方也能收集到用戶的購物信息���,并被用以推送定制化廣告……
作為個人信息處理的首要環(huán)節(jié)����,“收集”是個人信息保護(hù)治理的關(guān)鍵�����。11月1日起�����,《個人信息保護(hù)法》(下稱“個保法”)正式實施�,其規(guī)定個人信息的收集遵循“最小范圍”原則����,即應(yīng)當(dāng)基于業(yè)務(wù)的處理目的收集必要信息�����,不得過度收集個人信息��。
但在應(yīng)用軟件上�����,信息超采��、權(quán)限濫用、數(shù)據(jù)外傳等違規(guī)采集個人信息的現(xiàn)象依然頻繁�,這引起了相關(guān)監(jiān)管部門的持續(xù)關(guān)注。
近日����,工信部針對QQ音樂����、小紅書、豆瓣等38款A(yù)PP�,就超范圍���、高頻次索取權(quán)限,非服務(wù)場景所必需收集用戶個人信息等問題進(jìn)行通告���,并要求其定期整改��。
隨后����,“優(yōu)化權(quán)限調(diào)用”����、 建立已收集個人信息清單和與第三方共享個人信息清單等被列入工信部從11月起展開的“信息通信服務(wù)感知提升行動”,以進(jìn)一步推進(jìn)APP侵害用戶權(quán)益的治理��。
伴隨相關(guān)規(guī)范性文件的陸續(xù)出臺�、執(zhí)法威懾力和覆蓋面的不斷增強����,APP運營商應(yīng)如何兼顧數(shù)據(jù)的商業(yè)價值和法律保護(hù)��?相關(guān)企業(yè)在合規(guī)治理過程中,又存在哪些痛點���、難點����?
監(jiān)管趨嚴(yán)
對于運營商等APP個人信息處理活動參與者而言�,落實“收集”階段保護(hù)個人信息主體責(zé)任的前提和基礎(chǔ)是明晰“合規(guī)”的標(biāo)準(zhǔn)����。
個保法第六條指出,處理個人信息應(yīng)當(dāng)具有明確���、合理的目的��,并應(yīng)當(dāng)與處理目的直接相關(guān),采取對個人權(quán)益影響最小的方式��。
那么���,什么是“超范圍”收集信息��?中國信息通信研究院互聯(lián)網(wǎng)法律研究中心高級研究員����、個人信息保護(hù)立法研究團(tuán)隊負(fù)責(zé)人楊婕對第一財經(jīng)表示����,這是指與收集、處理目的不直接相關(guān)�,不具備必要性的個人信息����。例如,地圖導(dǎo)航類的基本功能服務(wù)為“定位和導(dǎo)航”,必要個人信息為位置信息��、出發(fā)地���、到達(dá)地。
第一財經(jīng)記者注意到���,個保法實施前后�,已有部分APP推出了“基本功能模式”,該模式下�,APP不會上傳用戶的任何個人信息���,但用戶也無法享有APP提供的個性化展示服務(wù)。比如��,在美圖秀秀最新版本中的“基本功能模式”下,用戶無法使用圖片美化����、拼圖的部分子功能和視頻剪輯、美容的完整功能���。
“個保法實施后,APP若發(fā)生違規(guī)收集個人信息的行為�,相關(guān)主體要承擔(dān)較嚴(yán)格的法律責(zé)任,包括行政、民事乃至刑事責(zé)任�����,這大大增強對違法行為的威懾力��,相關(guān)企業(yè)的合規(guī)意識得到增強����?����!睏铈挤Q。
事實上����,在個保法實施之前,APP個人信息收集“合理”及“必要”的標(biāo)準(zhǔn)�����,以及相關(guān)的監(jiān)督管理工作����,就已陸續(xù)在推進(jìn)��。
2019年����,APP專項治理工作組發(fā)布《APP違法違規(guī)收集使用個人信息自評估指南》,其中明確����,當(dāng)APP運營者收集的個人信息超出必要信息范圍時�,應(yīng)向用戶明示所收集個人信息目的并經(jīng)用戶自主選擇同意�。
但該指南僅用于APP運營者對其收集使用個人信息情況的自查自糾����,效力有限�。
2020年以來��,工信部先后發(fā)布了《關(guān)于開展縱深推進(jìn)APP侵害用戶權(quán)益專項整治行動的通知》(下稱《通知》)�����、《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》����、《移動互聯(lián)網(wǎng)應(yīng)用程序個人信息保護(hù)管理暫行規(guī)定(征求意見稿)》(下稱《暫行規(guī)定》)等���,并牽頭制定了《APP用戶權(quán)益保護(hù)測評規(guī)范》���、《APP收集使用個人信息最小必要評估規(guī)范》等標(biāo)準(zhǔn)文件���,對APP信息處理行為進(jìn)行明確要求。
其中,《通知》指出,APP�����、第三方SDK(軟件工具開發(fā)包)未告知用戶收集個人信息的目的、方式�����、范圍且未經(jīng)用戶同意����,私自收集用戶個人信息的行為����,屬于“違規(guī)收集個人信息”;APP�、第三方SDK非服務(wù)所必需或無合理應(yīng)用場景,特別是在靜默狀態(tài)下或在后臺運行時��,超范圍收集個人信息的行為�����,屬于“超范圍收集個人信息”�,上述行為均在重點整治之列�����。
《暫行辦法》則明確,網(wǎng)信辦負(fù)責(zé)統(tǒng)籌協(xié)調(diào)APP個人信息保護(hù)工作和相關(guān)監(jiān)督管理工作,建立健全由網(wǎng)信辦����、工信部、公安部及市監(jiān)總局四部門組成的APP個人信息保護(hù)監(jiān)督管理聯(lián)合工作機制�����。
“這些行業(yè)標(biāo)準(zhǔn)性文件的角度或有所不同��,可互為補充�。在效力層面,雖然這些文件的層級較低,但如果四部委以此進(jìn)行檢查,不合規(guī)會被通報�、甚至下架,實際影響力不容小覷����。”海問律師事務(wù)所合伙人楊建媛在接受第一財經(jīng)記者采訪時稱�����。
北京市京師律師事務(wù)所律師杜廣普從事網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)等領(lǐng)域法律服務(wù)多年����,他在接受第一財經(jīng)采訪時表示,當(dāng)前����,APP監(jiān)管治理工作逐漸下沉���,除了上述政府部門外�����,地方監(jiān)管部門也在開展相關(guān)的監(jiān)督管理工作��,監(jiān)管的范圍����、頻次、顆粒度不斷落細(xì)�����,監(jiān)管治理對象也不局限于頭部APP�。
根據(jù)上述《通知》,2020年12月10日前���,工信部完成覆蓋40萬款主流APP檢測工作���。
11月3日,也就是個保法實施的第三天���,針對APP存在的超范圍�����、高頻次索取權(quán)限���,非服務(wù)場景所必需收集用戶個人信息����,欺騙誤導(dǎo)用戶下載等違規(guī)行為�����,工信部通報了2021年第11批APP個人信息保護(hù)專項整治行動中的違規(guī)名單�����,其中包括了QQ音樂����、小紅書、豆瓣等38款A(yù)PP���。至此����,工信部已啟動了20批次APP個人信息保護(hù)專項整治行動�����。
根據(jù)《暫行規(guī)定》�,被提出整改的相關(guān)主體,要求5個工作日內(nèi)進(jìn)行整改及時消除隱患���;未完成整改的�,向社會公告����。對社會公告5個工作日后,仍拒絕整改或者整改后仍存在問題的���,可要求相關(guān)主體進(jìn)行下架處置����;被下架的APP在40個工作日內(nèi)不得通過任何渠道再次上架�����。
超范圍��、違規(guī)收集個人信息為何屢禁不止
伴隨APP個人信息保護(hù)相關(guān)規(guī)則不斷明確�、落細(xì),不同標(biāo)準(zhǔn)規(guī)范性文件的協(xié)調(diào)性逐漸顯現(xiàn)����,各部門執(zhí)法口徑也漸趨一致��,相關(guān)市場主體在法規(guī)適用上的困惑得以減輕�;與此同時��,伴隨監(jiān)督�����、執(zhí)法的持續(xù)從嚴(yán)�、下沉,相關(guān)企業(yè)合規(guī)的緊迫性正不斷加強�����。
在此背景下�,APP超范圍、違規(guī)收集個人信息現(xiàn)象為何仍屢禁不止�����?
杜廣普稱�����,當(dāng)前,APP信息超采��、權(quán)限濫用等問題越來越頻繁地被提及�����,這不僅是因為相關(guān)違法違規(guī)行為本身在增多����,也是因為合規(guī)標(biāo)準(zhǔn)對APP個人信息處理活動參與者責(zé)任的明細(xì)化�����,使得原本存在的問題逐漸暴露出來�����。
北京師范大學(xué)網(wǎng)絡(luò)法治國際中心執(zhí)行主任吳沈括則認(rèn)為��,APP信息超采�����、違規(guī)收集等問題頻頻發(fā)生的背后,是因為個人信息本身蘊含著巨大價值�。
“在當(dāng)前的數(shù)據(jù)生態(tài)中,由于個人信息蘊含巨大價值�����,APP個人信息處理活動者對于數(shù)據(jù)的獲取有一種‘天然沖動’���,即試圖通過獲取更多的數(shù)據(jù)來提供更多的產(chǎn)品和服務(wù)��,從而達(dá)到提高競爭力的目的���。”吳沈括告訴第一財經(jīng)�。
他進(jìn)一步表示,由于早期合規(guī)工作基礎(chǔ)薄弱��,相關(guān)企業(yè)也可能存在積弊難改的情況�����?���!鞍殡S標(biāo)準(zhǔn)性文件不斷出臺和更新��,企業(yè)端需投入大量的時間和經(jīng)濟成本�����,進(jìn)行合規(guī)治理���,相關(guān)工作不能一蹴而就�。”
安恒信息(688023.SH)高級副總裁���、首席科學(xué)家劉博對此表示認(rèn)同����。他還指出���,對于APP個人信息處理活動參與者而言�����,違規(guī)收集所面臨的法律風(fēng)險可能遠(yuǎn)遠(yuǎn)小于可以獲得的商業(yè)利益�,這使得其合規(guī)意愿并不強烈����,乃至存在僥幸心理�。
與此同時��,劉博認(rèn)為�����,在相關(guān)法規(guī)的執(zhí)行和推行的初期�,還存在一些規(guī)則細(xì)節(jié)不夠明確的問題。例如�,現(xiàn)行法律政策對于重大信息安全事件尚無明確規(guī)定。
“監(jiān)管程度也同樣存在不到位的現(xiàn)象����。”劉博稱���,一方面���,由于認(rèn)證是自愿進(jìn)行,未通過認(rèn)證的APP如何管理依然沒有得到徹底有效的解決�����;另一方面,目前對于通過認(rèn)證的APP主要的監(jiān)管手段依然是以企業(yè)自查為主�����。
“大多數(shù)APP運營商�����,在管理層面����,對自己平臺產(chǎn)品和相關(guān)供應(yīng)商產(chǎn)品很難做到有效的監(jiān)督��;在技術(shù)層面����,使用第三方SDK及其他第三方服務(wù),已經(jīng)成為APP開發(fā)���、運行過程中常見的技術(shù)手段��,這在幫助APP功能服務(wù)快速實現(xiàn)的同時����,也引發(fā)個人信息收集階段的安全風(fēng)險?�!眲⒉┓Q�����。
針對這一問題����,在近日工信部發(fā)布的《關(guān)于開展信息通信服務(wù)感知提升行動的通知》中提到,建立個人信息保護(hù)“雙清單”�����。其中���,為了讓用戶清晰掌握個人信息在APP�、SDK及其他第三方間的共享情況�,工信部要求企業(yè)在二級菜單中列出APP與第三方共享的用戶個人信息基本情況,包括與第三方共享的個人信息種類�����、使用目的�、使用場景和共享方式等�����。
中國電子技術(shù)標(biāo)準(zhǔn)化研究院網(wǎng)絡(luò)安全研究中心測評實驗室副主任何延哲在接受第一財經(jīng)采訪時稱����,此前�����,存在著對第三方責(zé)任規(guī)制不夠清晰的問題���,使得追究第三方責(zé)任欠缺具體的指導(dǎo)細(xì)則���,還會產(chǎn)生APP經(jīng)營者將自身責(zé)任推卸給第三方的現(xiàn)象�����?!半p清單”公布后,通過督促第三方“言行一致”����,有利于壓實第三方的主體責(zé)任��。
不過�,在吳沈括看來���,要求企業(yè)自身主動建立清單依然屬于企業(yè)自查的范疇��,為切實減少APP在個人信息收集過程中的違法違規(guī)行為�,還需加強第三方監(jiān)督�,包括用戶監(jiān)督;與此同時���,監(jiān)管部門應(yīng)建立相應(yīng)的追責(zé)機制����,重點治理相關(guān)企業(yè)虛假��,或不完整披露的行為��。
關(guān)鍵詞:
個人信息
app
用戶
工信部
信息處理
權(quán)限
企業(yè)
清單
保法
數(shù)
營業(yè)執(zhí)照公示信息