澎湃新闻记者 陈宇曦 周頔
4月26日,工信部会同公安部、市场监管总局起草的《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》(简称:《暂行规定》)发布,向社会公开征求意见。
“《暂行规定》是我国首部针对App个人信息保护的专门性规定,从全球范围来看,也具有一定的引领性。”4月27日,工信部旗下中国信息通信研究院院长余晓晖向澎湃新闻记者表示。
《暂行规定》(征求意见稿)共计二十条,界定了适用范围和监管主体;确立了“知情同意”“最小必要”两项重要原则;细化了App开发运营者、分发平台、第三方服务提供者、终端生产企业、网络接入服务提供者五类主体责任义务;提出了投诉举报、监督检查、处置措施、风险提示等四方面规范要求。
中国信息通信研究院政策与经济研究所所长辛勇飞向澎湃新闻记者表示,在《暂行规定》研究起草过程中,多次与互联网企业、终端厂商、安全企业等进行沟通交流,从企业反馈情况来看,对于立法规范App个人信息处理活动高度赞同。
辛勇飞表示,企业认为,《暂行规定》为App个人信息处理活动画出底线、明确红线,这样既有利于监管部门明确职责,按照法定权限和程序行使权力;也有利于降低企业合规成本,稳定市场预期。
违规App下架至少40天
澎湃新闻记者梳理发现,《暂行规定》的一大亮点,是特别明确了违法处置措施,提出了投诉举报、监督检查、处置措施、风险提示等四方面规范要求。
“《暂行规定》以App个人信息保护领域为突破口,针对App个人信息保护工作的特点建章立制,对有关法律制度进行了细化和补充,尤其是完善了违法处置措施,明确从事个人信息处理活动的有关主体违反要求的,依次按照通知整改、社会公告、下架处置、断开接入、信用管理流程进行处置,并明确了具体时间期限要求。”余晓晖说。
具体而言,《暂行规定》写道:对未按要求完成整改或反复出现问题、采取技术对抗等违规情节严重的App,将对其进行直接下架;且下架后的App在40个工作日内不得通过任何渠道再次上架。
这一措施是综合考虑了过往App侵害用户权益专项治理行动的经验。
辛勇飞介绍,从已经通报的十几批次集中检查情况来看,部分App违规收集个人信息、违规使用个人信息、强制索权问题仍然存在,在信通院开展App技术检测过程中发现,有一些企业经过多次整改,但问题仍然突出,甚至采取技术对抗措施。
因此,《暂行规定》坚持问题导向,对于这些情节严重的违法违规行为规定了直接下架处理的处置措施,并且进一步强化了其再次上架的程序要求,通过这样的处理,将显著增加企业违规成本,有效制约和减少违法违规App侵害用户权益的行为。
分发平台和终端生产企业需承担责任义务
《暂行规定》的另一大亮点是细化了不同主体的责任义务,包括App开发运营者、分发平台、第三方服务提供者、终端生产企业、网络接入服务提供者。
这意味着,承担个人信息保护的责任不仅是App开发运营的责任,分发平台甚至终端企业也被纳入到守门人、责任人的范畴中。
对于分发平台来说,需对新上架App实行上架前个人信息处理活动规范性审核,建立App开发运营者信用积分、风险App名单、平台信息共享及签名验证等管理机制;对于终端企业,需持续优化个人信息权限在用状态,特别是录音、拍照、视频等敏感权限在用状态的显著提示机制,帮助用户及时准确了解个人信息权限的使用状态。
“与《App违法违规收集使用个人信息行为认定方法》等已发布的管理文件相比,此次《暂行规定》覆盖更加全面,从监管对象、保护原则、主体义务、处置措施、法律责任等方面对App个人信息保护制度进行了系统规定,明确了‘专项整治和长效治理相结合’的监管模式,从App‘局部监管、突出问题’转为App‘全流程、全链条、全主体’监管。”余晓晖表示。
打通投诉举报和技术检测之间的通道
《暂行规定》还明确提出,从事App个人信息处理活动的相关主体应当自觉接受社会监督。
《暂行规定》写道:任何组织和个人发现违反规定行为的,可以向监督管理部门或者中国互联网协会、中国网络空间安全协会投诉举报,监督管理部门和相关组织应当及时受理并调查处理。
辛勇飞认为,这意味着将专项整治工作实践中的投诉举报和监督检查予以制度化。
不过,对于普通用户来说,难点在于如何发现被侵权:它是不是违规地用了我的信息而我毫无知觉?是不是把违规的条款包装在隐私协议里让用户同意?
“这个问题也是《暂行规定》要解决的重要问题。”辛勇飞说,“《暂行规定》从强化企业主体责任的角度作了相关规定,尤其是明确细化了‘知情同意’‘最小必要’两项重要原则。《暂行规定》要求从事App个人信息处理活动的,应当以清晰易懂的语言告知用户个人信息处理规则,由用户在充分知情的前提下,作出自愿、明确的意思表示,规定企业不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动,并提出了‘六项必须’和‘六项不得’具体要求。”
更为关键的是,当用户发现个人信息已被泄露后,往往个人难以向App运营者讨要说法,更无法去对背后的系统做审查。现在,《暂行规定》希望引入专业力量去处理投诉举报。
辛勇飞介绍,目前,在工信部指导下,互联网信息服务投诉平台、中国互联网协会网络不良与垃圾信息举报受理中心一直在受理App侵害用户权益的投诉举报;中国信息通信研究院也牵头建设了“全国App技术检测平台”,为监管部门开展App个人信息保护日常检查工作提供了有力的技术支撑,下一步,还将继续发挥投诉举报渠道和技术检测平台的作用,打通投诉举报和技术检测之间的通道,不断提升处理效率和用户感知度。
多层次法律体系提供制度保障
值得关注的是,在4月26日《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》发布当天,个人信息保护法草案提请全国人大常委会二次审议。有说法称,《暂行规定》是《个人信息保护法》发布前的“抢跑”之作。
对此,中国信息通信研究院院长余晓晖回应称,未来随着《个人信息保护法》的出台以及《暂行规定》的落地,将推动我国形成一个涵盖法律、行政法规、部门规章、规范性文件在内多层次的App个人信息保护法律体系,为切实保护用户权益、持续深入推动App治理工作提供了坚实的制度保障。
余晓晖介绍,从目前《暂行规定》的内容来看,与正在审议的《个人信息保护法(草案)》在立法精神和概念表述等方面基本保持一致,与此同时《暂行规定》第二条指出“法律、行政法规对个人信息处理活动另有规定的,适用其规定”,预留了调整空间。
我国近年来高度重视个人信息保护相关工作。
2019年,中央网信办、工信部、公安部和市场监管总局发布《关于开展App违法违规收集使用个人信息专项治理的公告》,在全国范围内组织开展App违法违规收集使用个人信息专项治理行动。随后,《信息安全技术移动互联网应用(App)收集个人信息基本规范》《App违法违规收集使用个人信息行为认定方法》等文件相继发布。
2021年3月,国家网信办、工信部等四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》,将于5月1日正式实施。
在4月20日国新办发布会上,工业和信息化部新闻发言人、信息通信管理局局长赵志国介绍,工信部持续开展专项整治,今年以来已累计完成29万款App技术检测,对1862款违规App提出整改要求,公开通报319款整改不到位App,组织下架了107款拒不整改的App。总体来看,App个人信息保护治理工作取得了阶段性成效。下一步,工信部将在前期App专项整治的基础上,进一步聚焦工具类、通信类等App,加大欺骗诱导用户下载、弹窗信息难以关闭、违规共享使用个人信息和利用第三方嵌入式软件损害用户权益等热点难点问题的整治力度,取得让用户切身有感的治理效果。
原标题:解读App个人信息保护规定四大看点画出底线明确红线