前言 Introduction
2021年5月21日,中华人民共和国国家互联网信息办公室官方通报了105款违法违规收集使用个人信息的App,抖音、快手、领英、百度等头部从业机构赫然在列。回望近年来国内App监管与个人信息保护的立法历程,“高频立法”“强监管”已然成为核心关键词。对于App的个人信息保护工作可能面临哪些难题、从业机构如何有效应对该等问题,我们尝试在本文中略谈一二。本文的主要内容来自团队成稿于2020年3月的App数据合规白皮书(初稿,未发布),我们计划从6月开始逐步分享该主题的中英文连载文章,与诸位分享我们的一点研究浅见,敬请关注。
On May 21, 2021, the Cyberspace Administration of China circulated to the public of 105 apps that illegally collected personal information, and the top practitioners such as Tik Tok, Kwai, LinkedIn and Baidu were listed. Looking back to the regulations on App and legislation of personal information protection in recent years, "high-frequency legislation" and "strong regulation" have become the keywords. We will try to discuss the questions such as what difficulties the practitioners may face in the personal information protection in Apps and how practitioners can effectively deal with them. This article is mainly from our team's White Paper on App Data Compliance (draft, not yet released), which was drafted in March 2020. It is our intention to launch serialized articles on this topic, both in English and Chinese, to share our research insights with you from this June. Please stay tuned.
在享受移动互联网所带来的效率与便利的同时,我们也面临着潜伏其间的诸多风险与威胁,如网络侵权、互联网不正当竞争、黑客攻击、数据泄露、个人信息保护等问题。1国家网安战略的提出与聚焦2、域外重磅立法的落地与影响3、国家规治体系的快进与自治4、技术升级迭代却又贪婪与泛滥5、特定领域事件的发生与引爆、个体权利意识的觉醒与对抗,前述种种,均不同程度地助推网络安全、数据治理以及个人信息保护问题成为关系国家安全和发展,关系人民群众切身利益的重大问题。
移动互联网技术的飞速发展,使App成为网络信息服务的主要载体和用户使用互联网的重要工具。作为互联网服务“一哥”6,App相关的数据合规与个人信息保护问题尤其日益突出与愈发受到重视,相伴而生的风险事件、立法活动、监管案例、司法动态、舆论聚焦,此消彼长且愈演愈烈。

后文我们将通过波澜再起之“事”、众山难越之“势”以及按图索骥之“式”三个部分,破局刀俎鱼肉之“示”。
事 波澜再起
2021年5月21日,中华人民共和国国家互联网信息办公室(下称“网信办”)通过其网站(cac.gov.cn)和微信公众号(网信中国)等官方途径发布《关于抖音等105款App违法违规收集使用个人信息情况的通报》(下称“5.21通报”),此次通报为网信办在2021年5月的第三次同类通报,在此之前的两次通报时间分别为2021年5月1日和5月10日。从三次通报内容来看,其中出现了大量的“国民App”(抖音、百度、搜狗等),被通报App均按照App所属类型进行划分:

2021年5月1日,通报33款App,类别包括输入法类(15款)、地图导航类(17款)和即时通信类(1款)。
2021年5月10日,通报84款App,类别包括安全管理类(36款)和网络借贷类(48款)。
2021年5月21日,通报105款App,类别包括短视频类(19款)、浏览器类(34款)、求职招聘类(51款)和实用工具类(1款)。
三次通报所涉的9类App,与网信办秘书局等于2021年3月12日发布的《常见类型移动互联网应用程序必要个人信息范围规定》所列App类型保持一致:
(三十三)输入法类,基本功能服务为“文字、符号等输入”,无须个人信息,即可使用基本功能服务。
(一)地图导航类,基本功能服务为“定位和导航”,必要个人信息为:位置信息、出发地、到达地。
(三)即时通信类,基本功能服务为“提供文字、图片、语音、视频等网络即时通信服务”,必要个人信息包括:(1)注册用户移动电话号码;(2)账号信息:账号、即时通信联系人账号列表。
(三十四)安全管理类,基本功能服务为“查杀病毒、清理恶意插件、修复漏洞等”,无须个人信息,即可使用基本功能服务。
(十二)网络借贷类,基本功能服务为“通过互联网平台实现的用于消费、日常生产经营周转等的个人申贷服务”,必要个人信息包括:(1)注册用户移动电话号码;(2)借款人姓名、证件类型和号码、证件有效期限、银行卡号码。
(二十九)短视频类,基本功能服务为“不超过一定时长的视频搜索、播放”,无须个人信息,即可使用基本功能服务。
(三十二)浏览器类,基本功能服务为“浏览互联网信息资源”,无须个人信息,即可使用基本功能服务。
(十一)求职招聘类,基本功能服务为“求职招聘信息交换”,必要个人信息包括:(1)注册用户移动电话号码;(2)求职者提供的简历。
(三十八)实用工具类,基本功能服务为“日历、天气、词典翻译、计算器、遥控器、手电筒、指南针、时钟闹钟、文件传输、文件管理、壁纸铃声、截图录屏、录音、文档处理、智能家居助手、星座性格测试等”,无须个人信息,即可使用基本功能服务。
从网信办5月份的通报内容、通报频次来看,可以预见其后续的相关检测和通报均会围绕《常见类型移动互联网应用程序必要个人信息范围规定》所列App类型进行,第四次的通报时间点很大可能会在五月底或六月初,且纳入该轮检测和通报的App仍将具备“公众大量使用”的特征。
“事”发至此,App们的个人信息保护问题,波澜再起。
势 众山难越
根据工信部《2020年互联网和相关服务业运行情况》统计数据显示,截至2020年底,我国国内市场上监测到的App数量为345万款,其中,本土第三方应用商店App数量为205万款,苹果商店(中国区)App数量为140万款。各类App已渗透到人们生活的方方面面,在提供便利的同时,也日益爆出了不少个人信息方面的问题:不告知收集使用规则、未明示收集使用目的、超范围收集个人信息、未经同意将用户信息分享甚至售卖给他人等霸王式做法,引发人们对个人信息安全的担忧。此外,不断涌现的信息泄露事件,促使个人信息保护被加速提上各项工作日程,立法、执法、司法,众山扑面而来。
一、App个人信息保护立法
根据我们对1997年以来有关“个人信息保护”及其相关概念7的法律规范的检索和整理,在截至2021年3月26日已经公布的文件中,总共收集了482个法律规范(系不完全统计,此处“法律规范”按照广义理解,包括了非强制性规范、指南、指引等,同时也包括尚未生效的征求意见稿等),其中有39部法律、9个司法解释、27个行政法规、85个部门规章、42个国务院规范性文件、169个部门规范性文件、46个部门工作文件、65个国家/行业标准或指南。
而纵观国内对于App个人信息保护的立法,以2017年《网络安全法》为界,大致可以分为四个阶段,即网安法实施前的分散式立法阶段,网安法实施后的体系性立法阶段、专项治理阶段,以及未来立法方向。

(一)分散式立法阶段
分散式立法中的“分散”,体现在两大方面,一是体例上的分散,即关于个人信息保护的相关规定多见于各类专项规定、决定、指南中,制定部门不一;二是条文上的分散,即关于个人信息保护的相关条款零星散落于各立法文件中,彼此相对孤立。
从以下不完全列举的个人信息保护的相关立法文件进程也可以看出这一“分散”特征:
2000年,《全国人民代表大会常务委员会关于维护互联网安全的决定》,虽未明确提出公民“个人信息”的概念,但指出对于非法截获、篡改、删除他人电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密,构成犯罪的,应当依照刑法有关规定追究刑事责任。
2009年,《刑法修正案(七)》,正式确立了“侵犯公民个人信息罪”,但犯罪主体仅限于国家机关或者金融、电信、交通、教育、医疗等单位及其工作人员。
2011年,工信部《规范互联网信息服务市场秩序若干规定》,将“个人信息”定义为与用户相关、能够单独或者与其他信息结合识别用户的信息,并对互联网信息服务提供者提出保护用户个人信息的相应要求。
2012年,《全国人民代表大会常务委员会关于加强网络信息保护的决定》,指出“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”,并对“公民个人电子信息”的收集、使用以及保存作出规定,但未明确以“身份识别”作为“公民个人电子信息”的定义。
2013年,国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》生效,对个人信息的有关概念作出定义,该标准可以看作2017年国家标准《信息安全技术个人信息安全规范》的前身。
2013年,最高院、最高检、公安部发布《关于依法惩处侵害公民个人信息犯罪活动的通知》,坚决打击侵害公民个人信息犯罪活动。
2013年,工信部《电信和互联网用户个人信息保护规定》更全面的明确了“个人信息”的定义、收集和使用规范、安全保障措施、监督检查等内,这是《网络安全法》出台之前就个人信息保护而言较为体系性的立法。
此后,《消费者权益保护法》《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》《刑法修正案(九)》《最高人民法院、最高人民检察院、公安部关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》等文件中也进一步规定了个人信息保护的相关条文。
(二)体系性立法阶段
随着2017年《网络安全法》的实施,对网络运营者的个人信息保护要求进入体系性立法阶段,呈现出体系化、深化和细化的立法趋势。一方面,基于《网络安全法》出台了大量的体系性法律法规,另一方面关于个人信息保护的相关立法相对集中。
从以下不完全列举的个人信息保护的相关立法文件也可以看出体系性、集中化的色彩:
2017年,最高院、最高检发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。
2017年,《民法总则》,确立了民法层面上“个人信息受法律保护”的根本原则。
2018年,《信息安全技术个人信息安全规范》(GB/T 35273-2017)重磅出台。
2018年,最高检《检察机关办理侵犯公民个人信息案件指引》,在全国范围内统一了检察机关办理侵犯公民个人信息案件应当特别注意的五大问题的审查认定标准。
2019年,公安部发布《互联网个人信息安全保护指南》、国家互联网信息办公室发布《儿童个人信息网络保护规定》。
自2020年以来,网络安全、数据治理以及个人信息保护相关立法活动,仍呈现出“井喷”之势,包括但不限于《民法典》《个人信息保护法》(包括一审稿、二审稿)《数据安全法》(包括一审稿、二审稿)《信息安全技术个人信息安全规范》(GB/T 35273-2020)、《信息安全技术数据交易服务安全要求》、《信息安全技术大数据安全管理指南》等。
(三)专项治理阶段
2019年1月,中央网信办、工业和信息化部、公安部、市场监管总局联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,决定自2019年1月至12月,在全国范围组织开展App违法违规收集使用个人信息专项治理。
受前述四部门委托,全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立App专项治理工作组,加强对App运营者违法违规收集使用个人信息行为的监管和处罚。按照《网络安全法》《消费者权益保护法》等依法予以处罚,包括责令App运营者限期整改;逾期不改的,公开曝光;情节严重的,依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。
此后,针对App违法违规收集使用个人信息专项治理话题,各部门陆续发布了《App违法违规收集使用个人信息自评估指南》《网络安全实践指南-移动互联网应用基本业务功能必要信息规范》《信息安全技术移动互联网应用程序(App)收集个人信息基本规范(草案)》《关于开展APP侵害用户权益专项整治工作的通知》《App违法违规收集使用个人信息行为认定方法》《网络安全标准实践指南—移动互联网应用程序(App)系统权限申请使用指南》《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》《常见类型移动互联网应用程序必要个人信息范围规定》《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》等多个文件,目前相关的立法也仍在进程中。
(四)未来立法方向
为配合落实《网络安全法》项下的App个人信息保护要求,国家互联网信息办公室会同相关部门研究起草了《数据安全管理办法(征求意见稿)》《个人信息出境安全评估办法(征求意见稿)》,分别对网络运营者开展数据收集、存储、传输、处理、使用等活动(以下简称数据活动),以及数据跨境流动中的个人信息安全保障进行规定。
此外,国家推荐性标准《信息安全技术数据出境安全评估指南》《信息安全技术个人信息安全影响评估指南》《信息技术安全技术生物特征识别信息的保护要求》等也均处于制定过程中。
二、App个人信息保护执法
2018年以前,监管主体对于App个人信息安全的关注,只能算是个别部门单独作战,且执法措施以约谈警告、责令整改为主,并未引起大范围的注意,以至于在2019年1月网信办、公安部、工信部和市场监督管理总局(以下合称“四部门”)联合开展App违法违规收集使用个人信息专项治理前,被通报点名对于App运营主体而言如同隔靴搔痒,违法违规行为依旧存在;而监管主体对此类行为也持相对宽容态度,除非情节严重,或构成犯罪,才会采取较为严厉的措施,如罚款、移送司法机关等。2019年1月23日,四部门发布《关于开展App违法违规收集使用个人信息专项治理的公告》,正式揭开了App个人信息专项治理活动的序幕。专项治理开展后,各项执法活动如火如荼地进行,用户投诉数量激增,各项通报批评见诸报端,大部分App运营主体意识到:行业整顿真的来了。

在专项治理活动中,除四部门外,还有其他主体加入监管大军:
App专项治理工作组作为专项监管主体,开通了举报投诉渠道,并根据举报投诉结果对问题App进行评估、通报、限期整改。
教育部、人民银行等部门,对行业内的App也开展了治理活动。
国家计算机病毒应急处理中心、信息安全标准化技术委员会、中国金融认证中心等机构,则提供了技术上的支持。
消费者协会、互联网协会、互联网金融协会等自律组织,则发挥行业自律作用,进行舆情调查、组织行业机构签订自律协议等。
然而,“九龙治水”对监管主体和被监管对象而言都非易事。各部门在执法尺度及标准上的差异,一定程度上影响了执法的稳定和可预期性,加大了监管主体之间的沟通成本。此外,各主体下发各类文件,涵盖法律法规、部门规章、规范性文件、标准指南或其他文件,或具有强制性效力,或仅具有指导性意义,但在实务中却均可成为监管主体治理活动的参考,导致被监管对象合规和创新成本的提升。可以说,目前对于App个人信息的专项治理尚未完全进入常规化、有序化。
三、App个人信息保护司法
从刑事、行政、民事三个视角审视近年来App个人信息保护相关的诉讼案件,亦可从相关检索所获数据(对比2019年12月31日和2021年1月26日的裁判文书数量)层面,一窥App个人信息保护在司法领域的“井喷”之势:

(一)刑事案件
根据上图统计显示,刑事案件文书数量涨幅超80%,我们“锁定”相关刑事罪名主要包括如下:
非法控制计算机信息系统罪。
提供非法控制计算机信息系统程序、工具罪。
非法获取计算机信息系统数据罪。
拒不履行信息网络安全管理义务罪。
非法利用信息网络罪、帮助信息网络犯罪活动罪(常为诈骗罪、传播淫秽物品牟利罪、开设赌场罪、非法经营罪等犯罪活动提供帮助)。
侵犯公民个人信息罪(含出售公民个人信息罪、非法获取公民个人信息罪)。
诈骗罪(含“杀猪盘”式犯罪、恶势力集团犯罪套路贷)。
赌博罪。
开设赌场罪。
侵犯商业秘密罪。
根据数据库案例检索及相关警方通报、新闻报道,App涉及的刑事风险案例通常包括如下几种情况:
App运营主体(包括其关联方)通过App从事违法犯罪活动,在此情形下,App本身属于“犯罪工具”,通常该情形涉及刑事罪名包括赌博罪、开设赌场罪、传播淫秽物品牟利罪、非法经营罪、诈骗罪等。
App运营主体(包括其关联方)明知其他方利用App从事违法犯罪活动,仍继续提供App用于违法犯罪活动,通常该情形涉及刑事罪名包括非法利用信息网络罪、帮助信息网络犯罪活动罪等。
App在向用户提供服务过程中,在用户个人信息的收集、存储、加工、使用、共享等环节涉嫌侵犯公民个人信息,通常该情形涉及侵犯公民个人信息罪。
App运营主体(包括其关联方)进入用户的其他互联网账户,抓取其他互联网运营主体的数据等,通常该情形涉及刑事罪名包括非法控制计算机信息系统罪、提供侵入、非法控制计算机信息系统程序、工具罪、非法获取计算机信息系统数据罪、侵犯商业秘密罪等。
上述第4种情况与App个人信息保护强相关,侵犯公民个人信息罪永远是悬于头顶的达摩克利斯之剑。
(二)行政案件

根据上图统计显示,行政诉讼文书数量涨幅近40%。行政诉讼多见于个人征信领域,往往因个人征信报告的查询、异议而引发相应的行政诉讼。此外,行政处罚8案件数量涨幅达130%以上,从现有公布的对App违法违规处理个人信息进行行政处罚案例看,被处罚的App违规要点主要集中于:
无隐私政策或隐私政策不合规。
未经用户同意收集使用个人信息。
未向用户明示收集使用个人信息的目的、方式和范围。
超范围超授权收集用户个人信息。
未履行安全保障义务,维护用户个人信息安全等。
此外,也有应用商店、网站等App分发服务提供者,因未履行审慎审核义务,向用户提供违法违规App,遭受相关主管部门的行政处罚。
行政处罚案例中,主要的法律依据为《网络安全法》,适用条款包括第21-22条、第41-43条、第56条、第59条、第61条、第64条、第68条。处罚的措施主要有警告、限期整改、对App及应用商店运营企业或法人或相关负责人进行罚款等。
(三)民事案件

根据上图统计显示,民事案件文书数量涨幅近100%。针对检索到的文书进行浏览后剔除非“App合规”或“App个人信息保护”主题相关案例,可初步对“App合规”或“App个人信息保护”主题相关案例分类如下:
用户信息泄露并为不法分子所利用(往往伴随第三方诈骗),用户向App主体及相关服务提供方主张损害赔偿。
贷款类App自身或其委外催收机构拨打用户手机通讯录引发隐私权纠纷、名誉权纠纷。
App向用户定向推送商业广告引发网络侵权责任纠纷。
消费者权益保护委员会等机构发起消费民事公益诉讼。
App运营商之间因用户数据权属、抓取等问题引发不正当竞争纠纷。
用户注销难引发的纠纷。
可以预见的是,随着《民法典》新增个人信息保护相关条款、最新修订后的《民事案件案由规定》新增“个人信息保护”案由,以及《个人信息保护法》的后续出台、个人信息保护相关司法解释的适时出台,个人信息保护相关民事案件数量会出现“激增”。
由以上之“势”观之,刑事、行政、民事全视角下的司法现状与未来趋势,都呈现出排山倒海之势,App们的监管前景,仍将是众山扑面而来而众山皆难越。
式 按图索骥
隐私政策(又称个人信息保护政策),是App运营主体如何收集、使用、储存、共享和转让用户个人信息的说明。规范业务收集和使用用户信息是隐私政策的重要使命。隐私政策是连接企业与用户个人信息保护的桥梁,其声明了企业与用户间关于个人信息的基本权利义务。从用户的角度来看,用户可以通过阅读隐私政策来了解企业所收集的信息类型、使用信息的用途以及共享转让方式等内容。而从企业的角度来看,企业对于用户个人信息的保护不仅是履行法律义务和社会责任,同样也是对企业数据使用权利的保护。
从5.21通报所载App存在的主要问题来看,多与隐私政策相关,具体包括如下:
违反必要原则,收集与其提供的服务无关的个人信息。
违反必要原则和《常见类型移动互联网应用程序必要个人信息范围规定》,收集与其提供的服务无关的个人信息。
未经用户同意收集使用个人信息。
未公开收集使用规则。
未按法律规定提供删除或更正个人信息功能。
未提供删除更正功能和投诉举报渠道。
未明示收集使用个人信息的目的、方式和范围等。
总结以上问题可以发现,多与个人信息收集使用、个人信息主体权利保障、个人信息收集适用规则公示等相关,而该等关键词均反应于App们的《隐私政策》之中。另一方面,网信办所称“组织对……部分App的个人信息收集使用情况进行检测”,主要检测要点亦无外乎《隐私政策》文本内容、呈现形式、App与用户交互形式等。可见,一份合规的《隐私政策》及其适当的呈现方式,成为了App们应对检测的重中之重。
以下我们将尝试从两个视角(App隐私政策文本制作与展示呈现视角,以及App违法违规收集使用个人信息自查视角),提出我们针对隐私政策合规要点的按图索骥之“图”(因两个视角皆与隐私政策强相关,故可能存在部分内容重合):
(一)App隐私政策文本制作与展示呈现视角
隐私政策的制订与展示呈现,如下合规要点(部分,不完全列举)值得关注:


(二)App违法违规收集使用个人信息自查视角
网信办的5.21通报提及了“App检测”,其他监管主体(包括工信部、App治理工作小组等)的App违规通报亦基于“App检测”。该等检测并不依赖于App运营主体的行为配合,检测机构从应用市场下载特定版本的App后即可进行检测,检测覆盖内容除了隐私政策相关合规要点外,还可进一步包括App权限、SDK管理、App应用行为等,此处我们列明违法违规收集使用个人信息的评估要点(部分,不完全列举),并可作为从业机构进行合规自查的参考:


除了以上谈及的隐私政策合规要点、App违法违规收集使用个人信息自查要点之外,如下合规主题亦值得关注:
基于业务流程和从业机构内部职权部门协同的“清单式”数据治理流程。
基于个人信息生命周期的全流程管理。
App权限及SDK管理管理要点等。
以上合规主题均可基于相关法规,结合实操案例进行表单式呈现,以作为从业机构App合规、个人信息保护工作开展的参考,在此我们不作展开,留待后续连载详谈。
以前述两张表单为例,应对外部检测、合规检查,从业机构还是可以有招“式”祭出,App们的合规之路,按图索骥方为应对之道。
示 刀俎鱼肉
司马迁《史记·项羽本纪》有言:大行不顾细谨,大礼不辞小让。如今人方为刀俎,我为鱼肉,何辞为。读来悲怆,却颇能反映出当下部分从业机构们在App合规治理方面的心境:乱花渐欲迷人眼的新规、磨刀霍霍的监管、千篇一律又令人难解的违规情形、从点名到下架的釜底抽薪整顿手段、悬于头顶的侵犯公民个人信息之剑,确有刀俎霍霍、鱼肉何辞之心境。
但需要反思和警醒的是,任何领域的高频立法和强监管都绝非一蹴而就、朝夕即成,以互联网企业为代表的从业机构们,需要清醒地认识到,个人信息裸奔时代的宽松监管已经一去不复返,数据红利的享有和继续维持,均需以合法合规为前提,国内的数据安全与个人信息保护问题,已从洪荒步入有序之治,纵观近年来的其他领域,金融监管如是、知识产权如是。然而,高频立法和强监管,并不意味着扼杀,从数据安全法、个人信息保护法等的一审稿、二审稿充分征求意见即可管中窥豹。
由此观之,5.21通报所起的警“示”作用,对从业机构们而言,应当充分参与立法活动、立足自身业务合规,是为“人非刀俎,我亦不必为鱼肉”。
[1] 腾讯研究院资深专家王融曾经指出,2018年是数据保护灰色之年。在这一年里,数据泄露与数据滥用频发,且规模呈现不断扩张之势,甚至达亿万级以上。此外,诸如大数据歧视、AI犯罪等新型大数据事件开始出现,对个人信息保护提出了新的挑战。在这一年里,个人信息保护相关法律也在各种磨砺中逐步完善,却难言成熟。
[2] 2016年12月27日,经中央网络安全和信息化领导小组批准,国家互联网信息办公室发布《国家网络空间安全战略》,正文内容中提及:“……滥用个人信息等不法行为大量存在,一些组织肆意窃取用户信息、交易数据、位置信息以及企业商业秘密,严重损害国家、企业和个人利益,影响社会和谐稳定。”以及:“……保护网络空间信息依法有序自由流动,保护个人隐私,保护知识产权。”
[3] 2018年5月25日,经过欧盟会议长达四年讨论才通过的《数据保护条例》(以下简称“GDPR”)正式实施。这部被誉为数字时代“人权宣言”的条例,大幅拓展了“个人数据”的定义,将“指纹、虹膜、医疗记录、社会身份、基因”等信息均纳入其中,同时还赋予了欧盟公民享有对自己的数据的获取权、修改权、被遗忘权和可携带权。GDPR一出台,立马在全球引发了一股个人数据保护讨论热潮,这股热潮横跨大西洋,风卷全球。
[4] 《网络安全法》的立法进程,可谓“一骑绝尘”,从2015年6月草案一审到最终审议通过,法规本身就经历了四个版本的更迭,而周期间隔仅为一年半左右时间。在《网络安全法》实施后,相关配套规范(征求意见稿)陆续发布并呈现持续立法态势,具体涵盖了互联网信息内容管理、网络安全等级保护、关键信息基础设施安全保护、个人信息和重要数据保护、网络产品和服务管理、网络安全事件管理、个人信息保护等诸多方面。
[5] 以金融领域为例,大数据、人工智能、云计算、区块链等为代表的新一轮信息技术和传统金融的深层融合不断打破现有金融的边界,深刻改变着金融的运作方式,也改变着人们的生活。电子支付、互联网银行、数字化投顾、互联网保险等在给人们生活带来便利的同时,个人信息被过度收集、个人隐私边界被侵犯的威胁被推至前所未有的量级。
[6] 根据《移动应用(App)数据安全与个人信息保护白皮书(2019年)》及北京智游网安科技有限公司(爱加密)的相关数据及内容显示,截至2019年10月,我国本土市场上监测到的App在架数量为525万款,首次超越我国网站数量518万个,传统桌面互联网应用服务已向移动互联网全面迁移。
[7] 如网络安全、数据保护、关键信息基础设施、信息安全等级保护等。
[8] 提请注意,为方便数据统计及对比,此处将行政处罚纳入统计,但行政处罚属于“执法”范畴,与此处对应标题的“司法”不符,特此说明。
2021年5月21日,中华人民共和国国家互联网信息办公室官方通报了105款违法违规收集使用个人信息的App,抖音、快手、领英、百度等头部从业机构赫然在列。回望近年来国内App监管与个人信息保护的立法历程,“高频立法”“强监管”已然成为核心关键词。对于App的个人信息保护工作可能面临哪些难题、从业机构如何有效应对该等问题,我们尝试在本文中略谈一二。本文的主要内容来自团队成稿于2020年3月的App数据合规白皮书(初稿,未发布),我们计划从6月开始逐步分享该主题的中英文连载文章,与诸位分享我们的一点研究浅见,敬请关注。
On May 21, 2021, the Cyberspace Administration of China circulated to the public of 105 apps that illegally collected personal information, and the top practitioners such as Tik Tok, Kwai, LinkedIn and Baidu were listed. Looking back to the regulations on App and legislation of personal information protection in recent years, "high-frequency legislation" and "strong regulation" have become the keywords. We will try to discuss the questions such as what difficulties the practitioners may face in the personal information protection in Apps and how practitioners can effectively deal with them. This article is mainly from our team's White Paper on App Data Compliance (draft, not yet released), which was drafted in March 2020. It is our intention to launch serialized articles on this topic, both in English and Chinese, to share our research insights with you from this June. Please stay tuned.
在享受移动互联网所带来的效率与便利的同时,我们也面临着潜伏其间的诸多风险与威胁,如网络侵权、互联网不正当竞争、黑客攻击、数据泄露、个人信息保护等问题。1国家网安战略的提出与聚焦2、域外重磅立法的落地与影响3、国家规治体系的快进与自治4、技术升级迭代却又贪婪与泛滥5、特定领域事件的发生与引爆、个体权利意识的觉醒与对抗,前述种种,均不同程度地助推网络安全、数据治理以及个人信息保护问题成为关系国家安全和发展,关系人民群众切身利益的重大问题。
移动互联网技术的飞速发展,使App成为网络信息服务的主要载体和用户使用互联网的重要工具。作为互联网服务“一哥”6,App相关的数据合规与个人信息保护问题尤其日益突出与愈发受到重视,相伴而生的风险事件、立法活动、监管案例、司法动态、舆论聚焦,此消彼长且愈演愈烈。

后文我们将通过波澜再起之“事”、众山难越之“势”以及按图索骥之“式”三个部分,破局刀俎鱼肉之“示”。
事 波澜再起
2021年5月21日,中华人民共和国国家互联网信息办公室(下称“网信办”)通过其网站(cac.gov.cn)和微信公众号(网信中国)等官方途径发布《关于抖音等105款App违法违规收集使用个人信息情况的通报》(下称“5.21通报”),此次通报为网信办在2021年5月的第三次同类通报,在此之前的两次通报时间分别为2021年5月1日和5月10日。从三次通报内容来看,其中出现了大量的“国民App”(抖音、百度、搜狗等),被通报App均按照App所属类型进行划分:

2021年5月1日,通报33款App,类别包括输入法类(15款)、地图导航类(17款)和即时通信类(1款)。
2021年5月10日,通报84款App,类别包括安全管理类(36款)和网络借贷类(48款)。
2021年5月21日,通报105款App,类别包括短视频类(19款)、浏览器类(34款)、求职招聘类(51款)和实用工具类(1款)。
三次通报所涉的9类App,与网信办秘书局等于2021年3月12日发布的《常见类型移动互联网应用程序必要个人信息范围规定》所列App类型保持一致:
(三十三)输入法类,基本功能服务为“文字、符号等输入”,无须个人信息,即可使用基本功能服务。
(一)地图导航类,基本功能服务为“定位和导航”,必要个人信息为:位置信息、出发地、到达地。
(三)即时通信类,基本功能服务为“提供文字、图片、语音、视频等网络即时通信服务”,必要个人信息包括:(1)注册用户移动电话号码;(2)账号信息:账号、即时通信联系人账号列表。
(三十四)安全管理类,基本功能服务为“查杀病毒、清理恶意插件、修复漏洞等”,无须个人信息,即可使用基本功能服务。
(十二)网络借贷类,基本功能服务为“通过互联网平台实现的用于消费、日常生产经营周转等的个人申贷服务”,必要个人信息包括:(1)注册用户移动电话号码;(2)借款人姓名、证件类型和号码、证件有效期限、银行卡号码。
(二十九)短视频类,基本功能服务为“不超过一定时长的视频搜索、播放”,无须个人信息,即可使用基本功能服务。
(三十二)浏览器类,基本功能服务为“浏览互联网信息资源”,无须个人信息,即可使用基本功能服务。
(十一)求职招聘类,基本功能服务为“求职招聘信息交换”,必要个人信息包括:(1)注册用户移动电话号码;(2)求职者提供的简历。
(三十八)实用工具类,基本功能服务为“日历、天气、词典翻译、计算器、遥控器、手电筒、指南针、时钟闹钟、文件传输、文件管理、壁纸铃声、截图录屏、录音、文档处理、智能家居助手、星座性格测试等”,无须个人信息,即可使用基本功能服务。
从网信办5月份的通报内容、通报频次来看,可以预见其后续的相关检测和通报均会围绕《常见类型移动互联网应用程序必要个人信息范围规定》所列App类型进行,第四次的通报时间点很大可能会在五月底或六月初,且纳入该轮检测和通报的App仍将具备“公众大量使用”的特征。
“事”发至此,App们的个人信息保护问题,波澜再起。
势 众山难越
根据工信部《2020年互联网和相关服务业运行情况》统计数据显示,截至2020年底,我国国内市场上监测到的App数量为345万款,其中,本土第三方应用商店App数量为205万款,苹果商店(中国区)App数量为140万款。各类App已渗透到人们生活的方方面面,在提供便利的同时,也日益爆出了不少个人信息方面的问题:不告知收集使用规则、未明示收集使用目的、超范围收集个人信息、未经同意将用户信息分享甚至售卖给他人等霸王式做法,引发人们对个人信息安全的担忧。此外,不断涌现的信息泄露事件,促使个人信息保护被加速提上各项工作日程,立法、执法、司法,众山扑面而来。
一、App个人信息保护立法
根据我们对1997年以来有关“个人信息保护”及其相关概念7的法律规范的检索和整理,在截至2021年3月26日已经公布的文件中,总共收集了482个法律规范(系不完全统计,此处“法律规范”按照广义理解,包括了非强制性规范、指南、指引等,同时也包括尚未生效的征求意见稿等),其中有39部法律、9个司法解释、27个行政法规、85个部门规章、42个国务院规范性文件、169个部门规范性文件、46个部门工作文件、65个国家/行业标准或指南。
而纵观国内对于App个人信息保护的立法,以2017年《网络安全法》为界,大致可以分为四个阶段,即网安法实施前的分散式立法阶段,网安法实施后的体系性立法阶段、专项治理阶段,以及未来立法方向。

(一)分散式立法阶段
分散式立法中的“分散”,体现在两大方面,一是体例上的分散,即关于个人信息保护的相关规定多见于各类专项规定、决定、指南中,制定部门不一;二是条文上的分散,即关于个人信息保护的相关条款零星散落于各立法文件中,彼此相对孤立。
从以下不完全列举的个人信息保护的相关立法文件进程也可以看出这一“分散”特征:
2000年,《全国人民代表大会常务委员会关于维护互联网安全的决定》,虽未明确提出公民“个人信息”的概念,但指出对于非法截获、篡改、删除他人电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密,构成犯罪的,应当依照刑法有关规定追究刑事责任。
2009年,《刑法修正案(七)》,正式确立了“侵犯公民个人信息罪”,但犯罪主体仅限于国家机关或者金融、电信、交通、教育、医疗等单位及其工作人员。
2011年,工信部《规范互联网信息服务市场秩序若干规定》,将“个人信息”定义为与用户相关、能够单独或者与其他信息结合识别用户的信息,并对互联网信息服务提供者提出保护用户个人信息的相应要求。
2012年,《全国人民代表大会常务委员会关于加强网络信息保护的决定》,指出“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”,并对“公民个人电子信息”的收集、使用以及保存作出规定,但未明确以“身份识别”作为“公民个人电子信息”的定义。
2013年,国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》生效,对个人信息的有关概念作出定义,该标准可以看作2017年国家标准《信息安全技术个人信息安全规范》的前身。
2013年,最高院、最高检、公安部发布《关于依法惩处侵害公民个人信息犯罪活动的通知》,坚决打击侵害公民个人信息犯罪活动。
2013年,工信部《电信和互联网用户个人信息保护规定》更全面的明确了“个人信息”的定义、收集和使用规范、安全保障措施、监督检查等内,这是《网络安全法》出台之前就个人信息保护而言较为体系性的立法。
此后,《消费者权益保护法》《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》《刑法修正案(九)》《最高人民法院、最高人民检察院、公安部关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》等文件中也进一步规定了个人信息保护的相关条文。
(二)体系性立法阶段
随着2017年《网络安全法》的实施,对网络运营者的个人信息保护要求进入体系性立法阶段,呈现出体系化、深化和细化的立法趋势。一方面,基于《网络安全法》出台了大量的体系性法律法规,另一方面关于个人信息保护的相关立法相对集中。
从以下不完全列举的个人信息保护的相关立法文件也可以看出体系性、集中化的色彩:
2017年,最高院、最高检发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。
2017年,《民法总则》,确立了民法层面上“个人信息受法律保护”的根本原则。
2018年,《信息安全技术个人信息安全规范》(GB/T 35273-2017)重磅出台。
2018年,最高检《检察机关办理侵犯公民个人信息案件指引》,在全国范围内统一了检察机关办理侵犯公民个人信息案件应当特别注意的五大问题的审查认定标准。
2019年,公安部发布《互联网个人信息安全保护指南》、国家互联网信息办公室发布《儿童个人信息网络保护规定》。
自2020年以来,网络安全、数据治理以及个人信息保护相关立法活动,仍呈现出“井喷”之势,包括但不限于《民法典》《个人信息保护法》(包括一审稿、二审稿)《数据安全法》(包括一审稿、二审稿)《信息安全技术个人信息安全规范》(GB/T 35273-2020)、《信息安全技术数据交易服务安全要求》、《信息安全技术大数据安全管理指南》等。
(三)专项治理阶段
2019年1月,中央网信办、工业和信息化部、公安部、市场监管总局联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,决定自2019年1月至12月,在全国范围组织开展App违法违规收集使用个人信息专项治理。
受前述四部门委托,全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立App专项治理工作组,加强对App运营者违法违规收集使用个人信息行为的监管和处罚。按照《网络安全法》《消费者权益保护法》等依法予以处罚,包括责令App运营者限期整改;逾期不改的,公开曝光;情节严重的,依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。
此后,针对App违法违规收集使用个人信息专项治理话题,各部门陆续发布了《App违法违规收集使用个人信息自评估指南》《网络安全实践指南-移动互联网应用基本业务功能必要信息规范》《信息安全技术移动互联网应用程序(App)收集个人信息基本规范(草案)》《关于开展APP侵害用户权益专项整治工作的通知》《App违法违规收集使用个人信息行为认定方法》《网络安全标准实践指南—移动互联网应用程序(App)系统权限申请使用指南》《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》《常见类型移动互联网应用程序必要个人信息范围规定》《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》等多个文件,目前相关的立法也仍在进程中。
(四)未来立法方向
为配合落实《网络安全法》项下的App个人信息保护要求,国家互联网信息办公室会同相关部门研究起草了《数据安全管理办法(征求意见稿)》《个人信息出境安全评估办法(征求意见稿)》,分别对网络运营者开展数据收集、存储、传输、处理、使用等活动(以下简称数据活动),以及数据跨境流动中的个人信息安全保障进行规定。
此外,国家推荐性标准《信息安全技术数据出境安全评估指南》《信息安全技术个人信息安全影响评估指南》《信息技术安全技术生物特征识别信息的保护要求》等也均处于制定过程中。
二、App个人信息保护执法
2018年以前,监管主体对于App个人信息安全的关注,只能算是个别部门单独作战,且执法措施以约谈警告、责令整改为主,并未引起大范围的注意,以至于在2019年1月网信办、公安部、工信部和市场监督管理总局(以下合称“四部门”)联合开展App违法违规收集使用个人信息专项治理前,被通报点名对于App运营主体而言如同隔靴搔痒,违法违规行为依旧存在;而监管主体对此类行为也持相对宽容态度,除非情节严重,或构成犯罪,才会采取较为严厉的措施,如罚款、移送司法机关等。2019年1月23日,四部门发布《关于开展App违法违规收集使用个人信息专项治理的公告》,正式揭开了App个人信息专项治理活动的序幕。专项治理开展后,各项执法活动如火如荼地进行,用户投诉数量激增,各项通报批评见诸报端,大部分App运营主体意识到:行业整顿真的来了。

在专项治理活动中,除四部门外,还有其他主体加入监管大军:
App专项治理工作组作为专项监管主体,开通了举报投诉渠道,并根据举报投诉结果对问题App进行评估、通报、限期整改。
教育部、人民银行等部门,对行业内的App也开展了治理活动。
国家计算机病毒应急处理中心、信息安全标准化技术委员会、中国金融认证中心等机构,则提供了技术上的支持。
消费者协会、互联网协会、互联网金融协会等自律组织,则发挥行业自律作用,进行舆情调查、组织行业机构签订自律协议等。
然而,“九龙治水”对监管主体和被监管对象而言都非易事。各部门在执法尺度及标准上的差异,一定程度上影响了执法的稳定和可预期性,加大了监管主体之间的沟通成本。此外,各主体下发各类文件,涵盖法律法规、部门规章、规范性文件、标准指南或其他文件,或具有强制性效力,或仅具有指导性意义,但在实务中却均可成为监管主体治理活动的参考,导致被监管对象合规和创新成本的提升。可以说,目前对于App个人信息的专项治理尚未完全进入常规化、有序化。
三、App个人信息保护司法
从刑事、行政、民事三个视角审视近年来App个人信息保护相关的诉讼案件,亦可从相关检索所获数据(对比2019年12月31日和2021年1月26日的裁判文书数量)层面,一窥App个人信息保护在司法领域的“井喷”之势:

(一)刑事案件
根据上图统计显示,刑事案件文书数量涨幅超80%,我们“锁定”相关刑事罪名主要包括如下:
非法控制计算机信息系统罪。
提供非法控制计算机信息系统程序、工具罪。
非法获取计算机信息系统数据罪。
拒不履行信息网络安全管理义务罪。
非法利用信息网络罪、帮助信息网络犯罪活动罪(常为诈骗罪、传播淫秽物品牟利罪、开设赌场罪、非法经营罪等犯罪活动提供帮助)。
侵犯公民个人信息罪(含出售公民个人信息罪、非法获取公民个人信息罪)。
诈骗罪(含“杀猪盘”式犯罪、恶势力集团犯罪套路贷)。
赌博罪。
开设赌场罪。
侵犯商业秘密罪。
根据数据库案例检索及相关警方通报、新闻报道,App涉及的刑事风险案例通常包括如下几种情况:
App运营主体(包括其关联方)通过App从事违法犯罪活动,在此情形下,App本身属于“犯罪工具”,通常该情形涉及刑事罪名包括赌博罪、开设赌场罪、传播淫秽物品牟利罪、非法经营罪、诈骗罪等。
App运营主体(包括其关联方)明知其他方利用App从事违法犯罪活动,仍继续提供App用于违法犯罪活动,通常该情形涉及刑事罪名包括非法利用信息网络罪、帮助信息网络犯罪活动罪等。
App在向用户提供服务过程中,在用户个人信息的收集、存储、加工、使用、共享等环节涉嫌侵犯公民个人信息,通常该情形涉及侵犯公民个人信息罪。
App运营主体(包括其关联方)进入用户的其他互联网账户,抓取其他互联网运营主体的数据等,通常该情形涉及刑事罪名包括非法控制计算机信息系统罪、提供侵入、非法控制计算机信息系统程序、工具罪、非法获取计算机信息系统数据罪、侵犯商业秘密罪等。
上述第4种情况与App个人信息保护强相关,侵犯公民个人信息罪永远是悬于头顶的达摩克利斯之剑。
(二)行政案件

根据上图统计显示,行政诉讼文书数量涨幅近40%。行政诉讼多见于个人征信领域,往往因个人征信报告的查询、异议而引发相应的行政诉讼。此外,行政处罚8案件数量涨幅达130%以上,从现有公布的对App违法违规处理个人信息进行行政处罚案例看,被处罚的App违规要点主要集中于:
无隐私政策或隐私政策不合规。
未经用户同意收集使用个人信息。
未向用户明示收集使用个人信息的目的、方式和范围。
超范围超授权收集用户个人信息。
未履行安全保障义务,维护用户个人信息安全等。
此外,也有应用商店、网站等App分发服务提供者,因未履行审慎审核义务,向用户提供违法违规App,遭受相关主管部门的行政处罚。
行政处罚案例中,主要的法律依据为《网络安全法》,适用条款包括第21-22条、第41-43条、第56条、第59条、第61条、第64条、第68条。处罚的措施主要有警告、限期整改、对App及应用商店运营企业或法人或相关负责人进行罚款等。
(三)民事案件

根据上图统计显示,民事案件文书数量涨幅近100%。针对检索到的文书进行浏览后剔除非“App合规”或“App个人信息保护”主题相关案例,可初步对“App合规”或“App个人信息保护”主题相关案例分类如下:
用户信息泄露并为不法分子所利用(往往伴随第三方诈骗),用户向App主体及相关服务提供方主张损害赔偿。
贷款类App自身或其委外催收机构拨打用户手机通讯录引发隐私权纠纷、名誉权纠纷。
App向用户定向推送商业广告引发网络侵权责任纠纷。
消费者权益保护委员会等机构发起消费民事公益诉讼。
App运营商之间因用户数据权属、抓取等问题引发不正当竞争纠纷。
用户注销难引发的纠纷。
可以预见的是,随着《民法典》新增个人信息保护相关条款、最新修订后的《民事案件案由规定》新增“个人信息保护”案由,以及《个人信息保护法》的后续出台、个人信息保护相关司法解释的适时出台,个人信息保护相关民事案件数量会出现“激增”。
由以上之“势”观之,刑事、行政、民事全视角下的司法现状与未来趋势,都呈现出排山倒海之势,App们的监管前景,仍将是众山扑面而来而众山皆难越。
式 按图索骥
隐私政策(又称个人信息保护政策),是App运营主体如何收集、使用、储存、共享和转让用户个人信息的说明。规范业务收集和使用用户信息是隐私政策的重要使命。隐私政策是连接企业与用户个人信息保护的桥梁,其声明了企业与用户间关于个人信息的基本权利义务。从用户的角度来看,用户可以通过阅读隐私政策来了解企业所收集的信息类型、使用信息的用途以及共享转让方式等内容。而从企业的角度来看,企业对于用户个人信息的保护不仅是履行法律义务和社会责任,同样也是对企业数据使用权利的保护。
从5.21通报所载App存在的主要问题来看,多与隐私政策相关,具体包括如下:
违反必要原则,收集与其提供的服务无关的个人信息。
违反必要原则和《常见类型移动互联网应用程序必要个人信息范围规定》,收集与其提供的服务无关的个人信息。
未经用户同意收集使用个人信息。
未公开收集使用规则。
未按法律规定提供删除或更正个人信息功能。
未提供删除更正功能和投诉举报渠道。
未明示收集使用个人信息的目的、方式和范围等。
总结以上问题可以发现,多与个人信息收集使用、个人信息主体权利保障、个人信息收集适用规则公示等相关,而该等关键词均反应于App们的《隐私政策》之中。另一方面,网信办所称“组织对……部分App的个人信息收集使用情况进行检测”,主要检测要点亦无外乎《隐私政策》文本内容、呈现形式、App与用户交互形式等。可见,一份合规的《隐私政策》及其适当的呈现方式,成为了App们应对检测的重中之重。
以下我们将尝试从两个视角(App隐私政策文本制作与展示呈现视角,以及App违法违规收集使用个人信息自查视角),提出我们针对隐私政策合规要点的按图索骥之“图”(因两个视角皆与隐私政策强相关,故可能存在部分内容重合):
(一)App隐私政策文本制作与展示呈现视角
隐私政策的制订与展示呈现,如下合规要点(部分,不完全列举)值得关注:


(二)App违法违规收集使用个人信息自查视角
网信办的5.21通报提及了“App检测”,其他监管主体(包括工信部、App治理工作小组等)的App违规通报亦基于“App检测”。该等检测并不依赖于App运营主体的行为配合,检测机构从应用市场下载特定版本的App后即可进行检测,检测覆盖内容除了隐私政策相关合规要点外,还可进一步包括App权限、SDK管理、App应用行为等,此处我们列明违法违规收集使用个人信息的评估要点(部分,不完全列举),并可作为从业机构进行合规自查的参考:


除了以上谈及的隐私政策合规要点、App违法违规收集使用个人信息自查要点之外,如下合规主题亦值得关注:
基于业务流程和从业机构内部职权部门协同的“清单式”数据治理流程。
基于个人信息生命周期的全流程管理。
App权限及SDK管理管理要点等。
以上合规主题均可基于相关法规,结合实操案例进行表单式呈现,以作为从业机构App合规、个人信息保护工作开展的参考,在此我们不作展开,留待后续连载详谈。
以前述两张表单为例,应对外部检测、合规检查,从业机构还是可以有招“式”祭出,App们的合规之路,按图索骥方为应对之道。
示 刀俎鱼肉
司马迁《史记·项羽本纪》有言:大行不顾细谨,大礼不辞小让。如今人方为刀俎,我为鱼肉,何辞为。读来悲怆,却颇能反映出当下部分从业机构们在App合规治理方面的心境:乱花渐欲迷人眼的新规、磨刀霍霍的监管、千篇一律又令人难解的违规情形、从点名到下架的釜底抽薪整顿手段、悬于头顶的侵犯公民个人信息之剑,确有刀俎霍霍、鱼肉何辞之心境。
但需要反思和警醒的是,任何领域的高频立法和强监管都绝非一蹴而就、朝夕即成,以互联网企业为代表的从业机构们,需要清醒地认识到,个人信息裸奔时代的宽松监管已经一去不复返,数据红利的享有和继续维持,均需以合法合规为前提,国内的数据安全与个人信息保护问题,已从洪荒步入有序之治,纵观近年来的其他领域,金融监管如是、知识产权如是。然而,高频立法和强监管,并不意味着扼杀,从数据安全法、个人信息保护法等的一审稿、二审稿充分征求意见即可管中窥豹。
由此观之,5.21通报所起的警“示”作用,对从业机构们而言,应当充分参与立法活动、立足自身业务合规,是为“人非刀俎,我亦不必为鱼肉”。
[1] 腾讯研究院资深专家王融曾经指出,2018年是数据保护灰色之年。在这一年里,数据泄露与数据滥用频发,且规模呈现不断扩张之势,甚至达亿万级以上。此外,诸如大数据歧视、AI犯罪等新型大数据事件开始出现,对个人信息保护提出了新的挑战。在这一年里,个人信息保护相关法律也在各种磨砺中逐步完善,却难言成熟。
[2] 2016年12月27日,经中央网络安全和信息化领导小组批准,国家互联网信息办公室发布《国家网络空间安全战略》,正文内容中提及:“……滥用个人信息等不法行为大量存在,一些组织肆意窃取用户信息、交易数据、位置信息以及企业商业秘密,严重损害国家、企业和个人利益,影响社会和谐稳定。”以及:“……保护网络空间信息依法有序自由流动,保护个人隐私,保护知识产权。”
[3] 2018年5月25日,经过欧盟会议长达四年讨论才通过的《数据保护条例》(以下简称“GDPR”)正式实施。这部被誉为数字时代“人权宣言”的条例,大幅拓展了“个人数据”的定义,将“指纹、虹膜、医疗记录、社会身份、基因”等信息均纳入其中,同时还赋予了欧盟公民享有对自己的数据的获取权、修改权、被遗忘权和可携带权。GDPR一出台,立马在全球引发了一股个人数据保护讨论热潮,这股热潮横跨大西洋,风卷全球。
[4] 《网络安全法》的立法进程,可谓“一骑绝尘”,从2015年6月草案一审到最终审议通过,法规本身就经历了四个版本的更迭,而周期间隔仅为一年半左右时间。在《网络安全法》实施后,相关配套规范(征求意见稿)陆续发布并呈现持续立法态势,具体涵盖了互联网信息内容管理、网络安全等级保护、关键信息基础设施安全保护、个人信息和重要数据保护、网络产品和服务管理、网络安全事件管理、个人信息保护等诸多方面。
[5] 以金融领域为例,大数据、人工智能、云计算、区块链等为代表的新一轮信息技术和传统金融的深层融合不断打破现有金融的边界,深刻改变着金融的运作方式,也改变着人们的生活。电子支付、互联网银行、数字化投顾、互联网保险等在给人们生活带来便利的同时,个人信息被过度收集、个人隐私边界被侵犯的威胁被推至前所未有的量级。
[6] 根据《移动应用(App)数据安全与个人信息保护白皮书(2019年)》及北京智游网安科技有限公司(爱加密)的相关数据及内容显示,截至2019年10月,我国本土市场上监测到的App在架数量为525万款,首次超越我国网站数量518万个,传统桌面互联网应用服务已向移动互联网全面迁移。
[7] 如网络安全、数据保护、关键信息基础设施、信息安全等级保护等。
[8] 提请注意,为方便数据统计及对比,此处将行政处罚纳入统计,但行政处罚属于“执法”范畴,与此处对应标题的“司法”不符,特此说明。
