良法APP
近年来,移动互联网的快速发展不断催生新业态、新模式,推动各类移动互联网应用(app)蓬勃兴起,成为网络应用的主要载体。目前,我国APP上架数量和用户数量持续扩大,覆盖经济社会生产生活的方方面面,成为个人信息保护的重点领域。为不断加强APP个人信息保护,规范APP个人信息处理活动,在国家互联网信息办公室的统筹指导下,工业和信息化部、公安部、市场监管总局联合起草制定了《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》(以下简称《规定》),并于4月26日向社会公开征求意见。条例共有20条。基于我国APP个人信息保护管理实践,将人民群众反映强烈的重点问题纳入监管范围,坚持依法治理、科技治理、综合治理,提升了个人信息保护力度,增强了个人信息保护硬度,提升了个人信息保护维度,实现了APP个人信息保护的法制化、科技化、系统化,为有效保护用户权益、持续深入推进APP治理提供了坚实的制度保障。
法治是治国理政的基本方式,是互联网治理尤其是个人信息保护不可或缺的重要手段。十九大指出,要用好的法律促进发展,确保善治。十九届五中全会明确提出,维护人民群众根本利益,保障国家数据安全,加强个人信息保护。随着我国互联网产业的快速发展,工信部等相关部门高度重视个人信息保护,逐步完善相关法律法规。《规定》在我国现有个人信息保护管理要求的基础上,聚焦APP领域的突出问题,进一步加强了对用户个人信息的保护。
(1)及时有效地应对个人信息保护的迫切需求。虽然近年来我国对个人信息的保护力度不断加大,但在现实生活中,由于用户个人信息收集和使用的规则、目的、方式和范围不明确,个人信息保护仍面临诸多问题和挑战,尤其是APP对个人信息的侵害。截至2020年底,中国国内市场监测的应用数量为345万。根据工信部近期的通报,部分app仍在严重收集、非法获取和过度使用个人信息。违法违规处理用户个人信息,不仅侵害了人民群众的切身利益,也严重扰乱了数字经济的市场秩序。研究制定《规定》正当其时,为APP个人信息处理活动划定底线、划定红线,不仅有利于监管部门明确责任,按照法定权限和程序行使权力;也有利于降低各类市场主体的合规成本,稳定市场预期,促进我国数字经济发展。
(2)坚持法律继承和制度创新并重。《规定》以各行业主管部门的管理职责为基础,以《网络安全法》等法律法规为依据,建立了APP个人信息保护制度,既继承和补充了现有法律制度,又随着信息通信技术的发展对制度进行了创新和细化。一方面,《规定》明确了APP个人信息处理活动的一般要求,应当采取合法、正当的方式,遵循诚实信用原则,不得以欺骗、误导等方式处理个人信息;另一方面,结合APP专项治理实践,根据上位法的基本规定,在具体应用场景中细化了“知情同意”和“最低限度必要”的认定标准,创造性地提出了“六个不得”和“六个应当”的要求,有效解决了实践中用户个人信息收集和使用的规则、目的、方式、范围不明确的问题。
(三)不断完善行业监管执法建设。长期以来,我国的个人信息保护工作一直面临着执法难的问题,造成了虽有法律规定,却往往被束之高阁的局面。一方面,个人信息保护涉及多个行业监管部门,部门间职责分工不清,重复执法和执法空白同时存在;另一方面,由于监管手段和执法力量有限,难以有效实现个人信息保护的立法目的。《规定》以APP个人信息保护领域为突破口,强化行业监管责任,切实解决上述问题。一是明确了APP个人信息保护联合工作机制,即由国家互联网信息办公室统筹APP个人信息保护及相关监督管理,与工业和信息化部、公安部、市场监管总局建立健全APP个人信息保护监督管理联合工作机制,统筹推进政策、标准规范等相关工作,加强对APP个人信息保护的信息共享和指导。各部门在各自职责范围内负责APP个人信息的保护、监督和管理。二是规定了监督管理制度。监督管理部门根据公众投诉和监管中发现的问题,可以对存在问题和风险的APP开展个人信息保护检查,要求从事APP个人信息处理活动的相关主体配合监督管理部门依法开展的监督检查。三是细化违规处置流程和具体措施,如明确APP下架处置和恢复要求,提高监管的规范性和透明度。
“技术一小步,管理难度一大步”,新一代信息通信技术的快速发展对个人信息保护提出了更高的要求。硬技术需要更强的法律和监管体系。只有着眼于技术发展的规律,前瞻性地为APP发展提供良好的方向和适宜的法制环境,才能充分发挥立法在维护公民权益、规范行业发展、促进技术进步方面的作用。《规定》针对APP的技术特点和发展规律,坚持技术治理,进一步强化了个人信息保护的硬度。
(一)聚焦技术产业创新主体,压实监管责任。网络社会的诞生本身就是技术的反映,任何新的技术形态的治理往往需要从技术本身进行审视。《规定》从技术研究和应用的角度,重点关注了APP开发运营商、APP分发平台、APP第三方服务提供商、移动智能终端制造商、网络接入服务提供商五类技术主体,不仅规定了五类主体共同应当遵循的个人信息保护一般要求,还规定了不同主体在APP个人信息保护中应当承担的具体义务,进一步明确和细化了主体责任。比如,针对第三方SDK非法收集个人信息管理不到位的突出问题,明确将第三方SDK纳入监管范围,细化第三方SDK收集和使用个人信息的要求,规定对第三方SDK的处置措施。
(二)依托技术检测平台提高监管能力。目前有大量app上架,平均每两周维护一次频繁的迭代更新,这对app的个人信息保护提出了新的要求。由于自动检测能力低、覆盖面有限,现有监管手段难以实现全面均衡监管。为解决这一问题,监管部门责成中国信息通信研究院和部分互联网公司共同建设“全国APP技术检测平台”,组织行业优势力量,利用人工智能、大数据等技术手段,不断优化平台能力,大大提高了监管的自动化、智能化和规范化水平。这种有效的技术测试实践为监管部门开展APP个人信息保护检查提供了有力支持。
(3)强化以技术标准为核心的监管要求。标准本质上是一个技术体系。为了应对风险社会的挑战,标准化越来越强调“超前引领”的功能,制定的标准可以有效地达到支持法律实施的目的。例如,在此前的APP个人信息保护专项治理行动中,工信部指导相关组织制定了APP用户权益保护测评标准等10项标准,针对“最低必要”等收集和使用用户个人信息的原则,制定了《APP收集和使用个人信息最低必要测评标准》等26项系列标准,通过电信终端行业协会以团体标识形式发布,取得了良好的社会效果。《规定》还将这一做法固化为制度,规定相关行业组织和专业机构应当依据相关法律法规和标准开展APP个人信息保护能力评估认证工作。
APP的个人信息保护和治理多变复杂,涉及人数众多。这是一项非常艰巨的系统工程,需要提高其综合治理能力。《规定》坚持系统共治思想,坚持政府、企业、行业共同参与,推动多维度系统解决APP个人信息保护和治理问题。
(1)构建多层次APP个人信息保护标准体系。APP个人信息的保护不是一部法律或者一部法规可以单独解决的。《规定》继承了《网络安全法》、《电信条例》、《互联网信息服务管理办法》、《电信和互联网信息服务管理规定》等法律法规的核心内容,系统总结了《关于开展APP非法收集使用个人信息专项治理的公告》、《关于开展APP侵害用户权益专项整治的通知》、《关于深化APP侵害用户权益专项整治的通知》等实践中成熟的经验和管理措施。随着《条例》的制定,将推动形成涵盖法律、行政法规、部门规章和规范性文件的多层次APP个人信息保护标准体系,为用户个人信息保护提供更加完善的法律制度保障。
(2)构建多主体个人信息保护责任体系。APP个人信息保护是国家、社会、企业的共同责任,需要政府、行业、企业等不同主体的积极参与,从不同角度发挥各自的重要作用。一是积极推进政府监管创新。APP个人信息的保护和治理需要公权力发挥主导作用,政府部门的监管是最重要的推动力。为了有效提高监管效率,必须创新监管手段,完善监管措施。在长期实践的基础上,条例规定了很多监管措施,如社会公告、直接下架、断线等。,实现监管创新和技术创新同步发展。二是不断加强行业自律和社会监督。行业自律和社会监督没有政府管理的强制力,但可以通过制造舆论来影响个人信息保护的发展。为此,《规定》要求已下架的app完成整改并做出企业自律承诺,可以申请恢复上架。三是大力提升企业责任水平。企业是最重要的市场主体,也是用户权益保护的重要实践者和行动者。他们的责任水平与个人信息保护水平直接相关。《规定》坚持强化主体责任,明确了APP开发者、运营者等五类主体在APP个人信息处理活动中的具体义务,有利于企业完善内部治理,明确自身产品的服务功能和场景合理性要求,在充分保护用户合法权益的前提下,保障商业模式的创新和技术的发展演进,提高责任水平。
网友评论