作为互联网大国,我国在2012年迎来了移动互联网市场的爆发式增长。据中国互联网络信息中心发布的统计报告,2012年12月底,手机就已成为我国第一上网终端,且网民比例持续上升。移动互联网应用程序在促进经济社会发展、服务民生等发面发挥了不可替代的作用,但其违法违规收集使用个人信息的问题也日益突出,加大治理力度成为国家网信部门的重要关切。
  为构建清朗网络空间出击
  党的十八大以来,面对国内外网络安全和信息化发展的复杂形势,党中央审时度势,推动互联网管理领导体制改革,成立中央网络安全和信息化领导小组,统筹协调政治、经济、军事、文化等领域网络安全和信息化重大问题,网信工作的总体框架基本确立。近年来,国家网信部门除了在整体上构建网络安全基本制度外,也着力于移动互联网领域的监管,助力保障公民个人信息安全。
  2016年,国家互联网信息办公室发布《移动互联网应用程序信息服务管理规定》,明确移动互联网应用程序提供者的信息安全责任和互联网应用商店作为服务提供者的管理职责。针对前者,要求其建立健全用户信息安全保护机制,依法保障用户知情权和选择权;针对后者,要求其督促移动互联网应用程序提供者保护用户个人信息。
  紧接着,为落实网络安全法有关用户信息保护制度的各项要求,2017年,中央网信办、工信部、公安部、国家标准委联合启动个人信息保护提升行动之“隐私条款专项工作”,分批选取重点网络产品和服务,分析评审其隐私条款、展示方式、征得用户同意等内容,强化对个人信息收集环节的管控。
  2019年,针对移动互联网应用程序强制授权、过度索权、超范围收集个人信息等问题,中央网信办、工信部、公安部、市场监管总局等4部门联合发布公告,决定开展App违法违规收集使用个人信息专项治理,涵盖App隐私政策和个人信息收集使用情况评估、违法违规行为监管处罚、侵犯公民个人信息违法犯罪行为打击、App个人信息安全认证制度等方面。此次行动完成了近千款用户数量大、与民众生活密切相关的App隐私政策和个人信息收集使用评估工作。相较于以往的个人信息保护行动,参评App范围更广、评估更深入、治理更加体系化。
  推进个人信息科学治理
  不久前,中央网信办、工信部、公安部、市场监管总局等4部门立足于App个人信息安全治理监管及执法实践的需求,联合发布《App违法违规收集使用个人信息行为认定方法》(以下简称《认定方法》)。
  《认定方法》结合专项治理行动中发现的App隐私政策和收集使用个人信息存在的典型问题,对网络安全法、消费者权益保护法等法律法规中的不确定概念加以解释,明确App违法违规收集使用个人信息行为的具体表现形式,涵盖未公开收集使用规则,未明示收集使用个人信息的目的、方式和范围,未经用户同意收集使用个人信息,违反必要原则收集与其提供的服务无关的个人信息,未经同意向他人提供个人信息,未按法律规定提供删除或更正个人信息功能或未公布投诉、举报方式等共6大类行为的判定标准,为相关监管和执法工作提供了参考,是我国移动互联网领域个人信息科学治理的重要成果。
  1.细化“告知—同意”模式具体要求
  “告知—同意”模式为国际通行的个人信息保护路径,我国网络安全法在第四十一条也予以明确。其中,针对“公开收集使用规则”,《认定方法》具体落实为App隐私政策的相关要求,包括隐私政策的展示时间与形式,是否完整、是否易于访问、是否便于阅读理解等。
  针对“明示收集使用个人信息的目的、方式和范围”,《认定方法》着重对常见的软件开发工具隐瞒收集个人信息、App权限申请及收集个人敏感信息等问题加以规范。例如,《认定方法》明确App运营者应当向用户明示其所嵌入的第三方代码、插件收集使用个人信息的目的、方式和范围;针对App申请收集用户个人敏感信息,要求App运营者应当同步告知用户其目的,并且要明确、易于理解。
  针对“经被收集者同意”原则,《认定方法》围绕用户授权时间、授权范围、授权方式等加以细化,用户拒绝后仍频繁征求用户同意,超出或私自更改用户权限范围等行为被列为违规。如实践中,App安装后未经用户同意就收集设备地址、应用程序列表等个人信息,或每次启动App仍会索要用户之前已明确拒绝提供的系统权限等。
  2.细化必要原则的要求
  我国网络安全法明确规定,网络运营者收集使用个人信息应当遵循合法、正当、必要原则。其中,针对必要原则,《认定方法》从3个维度予以细化。
  其一,《认定方法》要求App收集个人信息的类型,或申请打开收集个人信息的权限应当为现有业务功能所必需,如仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制用户授权,则不属于必要性的范畴。其二,用户授权不应当通过捆绑或一揽子授权等方式获取,如用户不同意收集非必要个人信息或打开非必要权限,App就拒绝提供服务功能,或者要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用,均属于强制用户授权的情形。其三,App收集用户个人信息频次也应当以业务功能实际需要为限。
  3.细化向他人提供个人信息的要求
  网络安全法第四十二条规定,未经被收集者同意,不得向他人提供个人信息,但经过处理无法识别特定个人且不能复原的信息除外。
  实践中,App运营者基于产品功能实现、广告推送等目的,或需要与第三方进行数据交互。对此,《认定方法》明确App客户端或后台服务器,以及嵌入的第三方代码、插件向第三方提供个人信息时,均应征得用户同意或进行匿名化处理。对于App接入第三方应用的情形,也需要征得用户同意,方可向第三方应用提供个人信息。
  4.细化用户权利保障的要求
  网络安全法第四十三条指出,个人发现网络运营者违反法律法规或双方约定,收集、使用个人信息的,有权要求其删除;发现网络运营者收集、存储个人信息有误的,有权要求其更正。第四十九条还明确网络运营者应当建立网络信息安全投诉、举报制度,并及时受理和处理。
  围绕用户权利保障,《认定方法》进一步从更正、删除个人信息或注销相关功能,是否设置不必要或不合理条件,App运营者的响应时限,以及是否在App后台实际贯彻执行等提出了判定标准。
  互联网不是法外之地,在发挥信息化驱动引领作用的同时,也需要坚持与依法管理相统一。期待国家网信部门持续发挥统筹协调作用,与相关主管部门密切配合,强化数据安全管理,提升民众在网络空间的获得感、幸福感、安全感。