吴沈括,网络法治国际中心执行主任、博导、中国互联网协会研究中心副主任。本文是国家社会科学基金项目《新一代信息技术与个人信息保护》阶段性成果。
前言
信息化、大数据、人工智能等技术的快速发展虽然一方面给人们的生活带来了前所未有的便利,但另一方面,这些数字化的发展也引发了隐私安全问题,其中,APP软件中的隐私泄露与大数据杀熟问题最为显著。当下,对于规范APP个人信息处理,保护APP中用户个人信息已经成为国家监管执法和企业合规风控的重点所在。2021年4月26日,工信部会同公安部、市场监管总局起草的《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》(以下简称:《暂行规定》)向社会公开征求意见。它是我国首部针对App个人信息保护的专门规范性文件,为企业App相关合规风控体系建设提出了明确的业务指引。一、《暂行规定》(征求意见稿)的总体思路
《暂行规定》共有二十条,在内容上整体可以概括为五大主体、四大监管部门、三大原则、两个角度、一个地域。《暂行规定》第三条规定并区分了APP生态中的五大主体,具体为APP开发运营者、APP分发平台、App第三方服务提供者、移动智能终端生产企业及网络接入服务提供者。第一,APP开发运营者,是指从事App开发和运营活动的主体。第二,App分发平台,是指通过应用商店、应用市场、网站等方式提供App下载、升级服务的软件服务平台。第三,App第三方服务提供者,是指相对于用户和App以外的,为App提供软件开发工具包(SDK)、封装、加固、编译环境等第三方服务的主体。第四,移动智能终端生产企业,是指生产能够接入公众网络,提供预置App或者具备安装App能力的移动智能终端设备的主体。第五,网络接入服务提供者,是指从事互联网数据中心(IDC)业务、互联网接入服务(ISP)业务和内容分发网络(CDN)业务,为App提供网络接入服务的电信业务经营者。《暂行规定》第四条规定了国家互联网信息办公室会同工业和信息化部、公安部、市场监管总局建立健全完善App个人信息保护监督管理联合工作机制,统筹推进政策标准规范等相关工作。由此可以看出四个部门的工作模式是在国家互联网信息办公室作为总的统筹协调下,各个部门在各自职责范围内负责App个人信息保护和监督管理工作,同时各部门间在推进政策标准等相关工作中进行联合。《暂行规定》第五条、第六条、第七条规定了诚信原则、“知情同意”原则和“最小必要”原则,其中后两者是《暂行规定》中最新明文确立的。诚信原则要求不得通过欺骗、误导等方式处理个人信息。“知情同意”原则规定,从事App个人信息处理活动的,应当以清晰易懂的语言告知用户个人信息处理规则,由用户在充分知情的前提下,作出自愿、明确的意思表示,并明确了“六项应当”要求。“最小必要”规定,从事App个人信息处理活动的,应当具有明确、合理的目的,并遵循最小必要原则,不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动,并提出了“六项不得”要求。《暂行规定》中主要是从规范五大主体的义务和监督管理两个角度进行规定,其中第四条到第十三条规定了五大主体的义务,第十四条到第十九条规定了监管部门的监管职责以及管理制度。形成了一个APP治理主体全覆盖、治理流程闭环的管理格局。《暂行规定》仅适用于中国境内处理个人信息的APP,这些APP具体包括开放运营主体在境内的、分发平台在境内的、境内登记或备案的等等。此外,App Store中国区里的APP也适用该规定。二、《暂行规定》(征求意见稿)的业务规则(五类主体的业务规则)
上述五大主体都需要以合法、正当的方式遵循诚信原则、“知情同意”原则和“最小必要”原则,三大原则的具体内容如下表: | |
| 2) 切实保障用户同意权、知情权、选择权和个人信息安全,对个人信息处理活动负责。 |
| 1) 应当在App登录注册页面及App首次运行时,通过弹窗、文本链接及附件等简洁明显且易于访问的方式,向用户告知涵盖个人信息处理主体、处理目的、处理方式、处理类型、保存期限等内容的个人信息处理规则;3) 应当尊重用户选择权,在取得用户同意前或者用户明确表示拒绝后,不得处理个人信息;个人信息处理规则发生变更的,应当重新取得用户同意;4) 应当在对应业务功能启动时,动态申请App所需的权限,不应强制要求用户一揽子同意打开多个系统权限,且未经用户同意,不得更改用户设置的权限状态;5) 需要向本App以外的第三方提供个人信息的,应当向用户告知其身份信息、联系方式、处理目的、处理方式和个人信息的种类等事项,并取得用户同意;处理种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等敏感个人信息的,应当对用户进行单独告知,取得用户同意后,方可处理敏感个人信息。 |
| 1) 处理个人信息的数量、频次、精度等应当为服务所必需,不得超范围处理个人信息;2) 个人信息的本地读取、写入、删除、修改等操作应当为服务所必需,不得超出用户同意的操作范围;3) 用户拒绝相关授权申请后,不得强制退出或者关闭App,不得提前申请超出其业务功能或者服务外的权限,不得利用频繁弹窗反复申请与当前服务场景无关的权限;4) 在非服务所必需或者无合理场景下,不得自启动或者关联启动其他App;5) 用户拒绝提供非该类服务所必需的个人信息时,不得影响用户使用该服务;6) 不得以改善服务质量、提升使用体验、研发新产品、定向推送信息、风险控制等为由,强制要求用户同意超范围或者与服务场景无关的个人信息处理行为。 |
除了都需要遵循上述三大原则外,各个主体也有着不同的业务规则。具体如下表: | |
| 1) 将个人信息保护要求落实到产品设计、开发及运营环节;以显著、清晰的方式定期向用户呈现App的个人信息收集使用情况;2) 基于个人信息向用户提供商品或者服务的搜索结果的,应当保证结果公平合理,同时向该用户提供不针对其个人特征的选项,尊重和平等保护用户合法权益;3) 使用第三方服务的,应当制定管理规则,明示APP第三方服务提供者的名称、功能、个人信息处理规则等内容;应与第三方服务提供者签订个人信息处理协议,并对其的个人信息处理活动和信息安全风险进行管理监督。4) 对于不影响其他服务功能的独立服务功能模块,应当向用户提供关闭或者退出该独立服务功能的选项,不得因用户采取关闭或者退出操作而拒绝提供其他服务5) 加强前端和后端安全防护、访问控制、技术加密、安全审计等工作,主动监测发现个人信息泄露等违规行为,及时响应处置要求 |
| 1) 登记并核验App开发运营者、提供者的真实身份、联系方式等信息;2) 在显著位置标明App运行所需获取的用户终端权限列表和个人信息收集的类型、内容、目的、范围、方式、用途及处理规则等相关信息;4) 对新上架App实行上架前个人信息处理活动规范性审核,对已上架App在本规定实施后1个月内完成补充审核,并根据审核结果进行更新或者清理;5) 建立App开发运营者信用积分、风险App名单、平台信息共享及签名验证等管理机制;6) 按照监督管理部门的要求,完善报送机制,及时配合监督管理部门开展问题App上报、响应和处置工作;7) 设置便捷的投诉举报入口,及时处理公众对本平台所分发App的投诉举报; |
| 2) 以明确、易懂、合理的方式向App开发运营者公开其个人信息处理目的、处理方式、处理类型、保存期限等内容,其个人信息处理活动应当与公开的个人信息处理规则保持一致;3) 未经用户同意或者在无合理业务场景下,不得自行进行唤醒、调用、更新等行为;4) 采取足够的管理措施和技术手段保护个人信息,发现安全风险或者个人信息处理规则变更时应当及时进行更新并告知App开发运营者;5) 未经用户同意,不得将收集到的用户个人信息共享转让; |
| 1) 完善终端权限管控机制,及时弥补权限管理漏洞,持续优化和规范敏感行为的记录能力,主动为用户权限申请和告知提供便利;2) 建立终端启动和关联启动App管理机制,为用户提供关闭自启动和关联启动的功能选项;3) 持续优化个人信息权限在用状态,特别是录音、拍照、视频等敏感权限在用状态的显著提示机制,帮助用户及时准确了解个人信息权限的使用状态;4) 建立重点App关注名单管理机制,完善移动智能终端App管理措施;5) 对预置App进行审核,持续监测预置App的个人信息安全风险;6) 在安装过程中以显著方式告知用户App申请的个人信息权限列表; |
| 1) 在为App提供网络接入服务时,登记并核验App开发运营者的真实身份、联系方式等信息;2) 按照监督管理部门的要求,依法对违规App采取停止接入等必要措施,阻止其继续违规侵害用户个人信息和其他合法权益; |
三、《暂行规定》(征求意见稿)的责任规定
《暂行规定》中主要规定了三种监督方式,第一种是自我监督,指从事APP个人信息处理活动的相关主体,应当加强人员教育培训,制定个人信息保护内部管理制度,落实网络安全等级保护和应急预案等制度要求采取加密、去标识化等安全技术措施,防止未经授权的访问及个人信息泄露或者被窃取、篡改、删除等风险;需要认证用户真实身份信息的,应当通过国家统一建设的公民身份认证基础设施所提供的网上公民身份核验认证服务进行。第二种是社会监督,指任何组织和个人发现违反本规定行为的,可以向监督管理部门或者中国互联网协会、中国网络空间安全协会投诉举报。第三种是监督管理部门依法监督。监管部门发现从事个人信息处理活动的相关主体违反本规定的,监督管理部门可依据各自职责采取以下处置措施: | |
| 对检测发现问题App的开发运营者、App分发平台、第三方服务提供者及相关主体提出整改,要求5个工作日内进行整改及时消除隐患;未完成整改的,向社会公告 |
| 对社会公告5个工作日后,仍拒绝整改或者整改后仍存在问题的,可要求相关主体进行下架处置;对反复出现问题、采取技术对抗等违规情节严重的,将对其进行直接下架;被下架的App在40个工作日内不得通过任何渠道再次上架。 |
| 下架后仍未按要求完成整改的,将对其采取断开接入等必要措施。 |
| 被下架的App完成整改,并完善技术和管理机制及作出企业自律承诺后,可向作出下架要求的监督管理部门申请恢复上架。 |
| 被断开网络接入的App完成整改后,可向作出断开接入要求的监督管理部门申请恢复接入 |
| |
| 对整改反复出现问题的App及其开发运营者开发的相关App,监督管理部门可以指导组织App分发平台和移动智能终端生产企业在集成、分发、预置和安装等环节进行风险提示,情节严重的采取禁入措施 |
| 从事App个人信息处理活动侵害个人信息权益的,将依照有关规定予以处罚;构成犯罪的,公安机关依法追究刑事责任。 |
据监管部门统计,今年以来已累计完成29万款APP技术检测,对1862款违规APP提出整改要求,公开通报319款整改不到位APP,组织下架了107款拒不整改的APP。《暂行规定》出台之后,对于企业的合规提出了更高的要求。根据《暂行规定》的规范提出具体建议如下:1. 风险识别。识别风险是企业合规的基础与前提。识别风险首先得区分主体,根据《暂行规定》中的规定,企业得先确定APP中业务属于五大主体中的哪一个。在确认主体之后,需要确定相关主体需要遵守的义务。在这个过程中识别出APP中的隐私政策或者相关应用可能存在的风险。2. 风险分析。在确定了APP存在的义务和风险之后,需要将APP中具体隐私政策和APP与《暂行规定》中的规范进行比对分析,从而分析出隐私政策或者应用存在哪些风险。3. 风险规避。分析完风险之后,应该如何规避风险将企业的损失降到最低是企业合规中最为重要和最为有价值的一步。对于如何规避风险主要有以下方法:第一,根据《暂行规定》的要求对APP隐私政策进行完善,避免隐私政策违法规定。第二,APP系统需要将保护个人信息的相关措施融入设计之中,可以讲个人信息保护的相关要求以代码的形式嵌入系统设计。第三,需求外部法律力量。让专业的人做专业的事,《暂行规定》的出台只是个人信息保护多层次法律制度的一环,企业想要使自己的产品完全合规,在个人信息相关法律法规层出不穷的时期,光靠企业自身的力量是有限的。这个时候要想使得产品不仅“走得好、走得快”,而且要使得产品“走得稳、走得远”就需要寻求外部法律服务。![]()
文章来源: http://mp.weixin.qq.com/s?__biz=MzAxNzM4MDY3NA==&mid=2651370648&idx=5&sn=3c91a61596f859cdb3aa827399cdd9a6&chksm=801a70b5b76df9a3f557ac39c6a34797937bc24157c0e4c8b1801e980f2f055eac3c14a54d77#rd
如有侵权请联系:admin#unsafe.sh