喜欢听演唱会的人对大麦App都不陌生,近日,这个“票务专家”却被下架了,原因是侵害用户权益,违规收集个人信息,App强制、频繁、过度索取权限等。
5月21日,国家互联网信息办公室对105款App违法违规收集使用个人信息情况进行了通报。通报要求,针对检测发现的问题,相关App运营者应当于本通报发布之日起15个工作日内完成整改。
为加强移动互联网应用程序(App)个人信息保护,规范App个人信息处理活动,在国家互联网信息办公室的统筹指导下,工业和信息化部会同公安部、市场监管总局起草了《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》向社会公开征求意见。
征求意见稿共20条,界定了适用范围和监管主体;确立了“知情同意”“最小必要”两项重要原则;细化了App开发运营者、分发平台、第三方服务提供者、终端生产企业、网络接入服务提供者五类主体责任义务;提出了投诉举报、监督检查、处置措施、风险提示等四方面规范要求。
网经社电子商务研究中心特约研究员赵占领在接受《法治日报》记者采访时表示,App收集个人信息的问题已是老生常谈,涉及相关内容的法律规范也较多,此次征求意见稿是专门针对App处理个人信息的专项规定,将近年来成熟的经验做法和管理措施转换为制度性规范文件,从全链条、全主体、全流程的角度全面强化了对App个人信息保护的管理。
明确“知情同意”“最小必要”原则
是否允许授权打开相册、是否允许授权打开通讯录、是否允许开启定位……如今在使用一款App的时候,人们似乎已经习惯了“默认”平台方的这些授权要求,毕竟如果点击关闭或拒绝,可能面临无法正常使用服务,甚至App直接闪退的情况。有些App更是“贴心”地为用户自动选择了默认勾选,在看似便利中轻易获得了用户的各类个人信息。
在北京德恒律师事务所合伙人张韬看来,用户无奈地“默许”恰恰体现了App在处理用户个人信息上存在诸多问题。
App为了向用户提供相关服务,在告知并取得用户同意等合法前提下收集必要的个人相关信息是合理的,但当前部分App运营者存在“过度索权”“超范围索取”以及未经用户同意“非法获取”,甚至“非法出售”用户个人信息的问题。
赵占领曾接触过多起App违规收集用户个人信息的案件,他发现当前比较常见的违规方式有两种:一是收集用户的个人信息与所要提供的业务没有必要的关联性,即超范围收集用户个人信息;二是用户如果不同意App收集用户个人信息的要求,App则不向用户提供相关的产品或服务,以这种方式强迫用户同意App收集个人信息。
针对这些问题,此次征求意见稿明确,从事App个人信息处理活动的,应遵循“知情同意”“最小必要”两项重要原则,同时,征求意见稿特别指出,应当采取非默认勾选的方式征得用户同意。
“知情同意”要求从事App个人信息处理活动的,应当以清晰易懂的语言告知用户个人信息处理规则,由用户在充分知情的前提下,作出自愿、明确的意思表示;“最小必要”则要求从事App个人信息处理活动的,应当具有明确、合理的目的,并遵循最小必要原则,不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。
范围广惩处严
此次征求意见稿给赵占领的第一感觉是范围广、惩处严。
“广”体现在全方位对App涉及的各方主体责任与义务进行明确与细化。这意味着,包括App开发运营者、分发平台、第三方服务提供者、移动智能终端生产企业、网络接入服务提供者在内的各方主体都被纳入个人信息保护的责任人范畴中。
“严”则体现在细化了违规处置流程和具体措施,明确从事个人信息处理活动的有关主体违反要求的,依次按照通知整改、社会公告、下架处置、断开接入、信用管理流程进行处置,并明确具体时间期限要求。
征求意见稿特别提出,对未按要求完成整改或反复出现问题、采取技术对抗等违规情节严重的App,将对其进行直接下架;且下架后的App在40个工作日内不得通过任何渠道再次上架的管理要求。
在中央财经大学中国互联网经济研究院副院长欧阳日辉看来,一些App平台之所以“肆无忌惮”,是因为违法违规成本过低,尤其是对于一些尚未形成声誉的中小平台而言,规范对它们的约束力会更小。
征求意见稿中“对相应违规主体,可纳入信用管理,实施联合惩戒”的规定引起了欧阳日辉的注意,他认为这一规定将对违规者起到极大的震慑作用,将违规者纳入信用管理以后,对其实施联合惩戒,同时还应考虑采取禁止市场准入的方式,这对违规者能起到很大的震慑作用。
针对“累犯”,征求意见稿给予了最高可禁入的惩处。征求意见稿第十七条规定,对整改反复出现问题的App及其开发运营者开发的相关App,监督管理部门可以指导组织App分发平台和移动智能终端生产企业在集成、分发、预置和安装等环节进行风险提示,情节严重的采取禁入措施。
从严规范App对外提供个人信息
个人信息泄露是诈骗成功实施的关键因素,而个人信息泄露的一大源头就是App。
张韬注意到,征求意见稿在规范App使用个人信息的同时,对App对外提供个人信息作出了从严规范。
征求意见稿第六条规定,需要向本App以外的第三方提供个人信息的,应当向用户告知其身份信息、联系方式、处理目的、处理方式和个人信息的种类等事项,并取得用户同意。
相比既有法律规定,此前均未明确要求App要向用户告知第三方的身份信息、联系方式等事项。比如,网络安全法第四十二条规定,未经被收集者同意,网络运营者不得向他人提供个人信息。
“征求意见稿对此作出了更为详尽的规定,充分保障了用户的知情权。”张韬说。
不过,在中伦律师事务所合伙人刘新宇看来,这一规定的可行性仍需探讨。在实践中,很多App对外提供个人信息涉及的第三方主体较多,而且这些第三方主体也并非一成不变,有的变化频率较高,这些因素都加剧了告知第三方身份信息、联系方式的难度。
与个人信息保护法相衔接
不论是网络安全法,还是电子商务法,近年来,我国对于网络个人信息保护的力度持续加强。仅针对App收集使用个人信息,近两年便出台了多份规范。
不仅如此,与个人信息保护更为直接相关的个人信息保护法草案也正在审议中。
张韬注意到,征求意见稿中的很多规定都与个人信息保护法草案相呼应。比如,“敏感个人信息”一词首次出现于个人信息保护法草案第二十九条中,征求意见稿第六条第六项要求处理敏感个人信息应单独告知并取得同意,沿用了个人信息保护法草案的规定,对敏感个人信息的列举也保持一致。
此外,征求意见稿的相关内容与个人信息保护法草案在立法精神、原则等方面也是基本一致的,包括“告知—同意原则”“最小必要原则”等。
在张韬看来,征求意见稿第二条指出“法律、行政法规对个人信息处理活动另有规定的,适用其规定”,这为征求意见稿与个人信息保护法未来的衔接预留了充足和必要的空间。