引言
数字经济时代,App数量呈爆发式增长,据中国互联网络信息中心发布的第47次《中国互联网络发展状况统计报告》显示,截至2020年12月,我国国内市场上监测到的App数据为345万款。App已经广泛地渗透到经济与社会生活的各个领域,给用户学习、工作和生活等各方面带来了极大便利,但是由于我国个人信息保护立法起步晚、执法机制有待完善,一些企业未准确把握App个人信息保护的合规边界,App强制授权、过度索权、超范围收集个人信息的现象大量存在,严重侵害了用户的合法权益,导致陷入个人信息保护纠纷、面临被行政处罚甚至被追究刑事责任风险,以致企业形象受损、发展受阻。本文将结合我国App个人信息保护立法、执法情况及未来趋势,解析App个人信息保护合规要点,以期为相关企业提供参考。
一、App个人信息保护立法趋势
(一)App个人信息保护的“一般法”
在刑事立法层面,2009年出台的《刑法修正案(七)》新增“非法获取公民个人信息罪”;2013年发布的《最高人民法院、最高人民检察院、公安部关于依法惩处侵害公民个人信息犯罪活动的通知》扩大了非法获取公民个人信息罪的犯罪主体范围;2015年出台的《刑法修正案(九)》将“非法获取公民个人信息罪”修改为“侵犯公民个人信息罪”,扩大了犯罪主体和侵犯个人信息行为的范围;2017年发布的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》明确了侵犯公民个人信息罪的具体定罪量刑标准。
在行政立法层面,2012年发布的《全国人民代表大会常务委员会关于加强网络信息保护的决定》为加强网络信息保护提供了法律依据;2013年出台的《电信和互联网用户个人信息保护规定》明确了电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的规则和安全保障义务;2013年修订,2014年实施的《消费者权益保护法》对个人信息保护作出了明确规定;2016年出台,2017年实施的《网络安全法》进一步完善了个人信息保护规则;2017年至2020年期间,关于个人信息保护的相关规定及征求意见稿相继发布,如《儿童个人信息网络保护规定》《数据安全管理办法(征求意见稿)》《个人信息出境安全评估办法(征求意见稿)》等;2021年,我国第一部有关数据安全的专门法律《数据安全法》以及我国首部专门针对个人信息保护的系统性、综合性法律《个人信息保护法》均已正式出台。
在民事立法层面,2017年出台的《民法总则》第111条明确“自然人的个人信息受法律保护”,2020年通过的《民法典》在“人格权编”专章规定了“隐私权和个人信息保护”、同时《民事案件案由规定》新增“个人信息保护纠纷”民事案由;2021年发布的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》强调了人脸信息的司法保护。
(二)App个人信息保护的“特别法”
2016年,我国首部专门针对App的法律规范《移动互联网应用程序信息服务管理规定》出台,明确规定了App提供者的个人信息保护义务,包括“未向用户明示并经用户同意,不得开启收集地理位置、读取通讯录、使用摄像头、启用录音等功能”等;2019年,国家网信办、工信部、公安部、市监总局(以下简称“四部门”)联合发布《App违法违规收集使用个人信息行为认定方法》,明确了App违法违规收集使用个人信息行为的认定规则;2021年,四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》,明确了地图导航、网络约车、即时通信、网络购物等39类常见类型App、小程序的必要个人信息范围,要求其运营者不得因用户不同意提供非必要个人信息,而拒绝用户使用App基本功能服务;同时,工信部发布了《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》,明确了App开发运营者、App分发平台、App第三方服务提供者、移动智能终端生产企业、网络接入服务提供者等五类主体的个人信息保护义务。
(三)立法趋势
综上,我国针对App个人信息保护的“一般法”、“特别法”日趋完善,规范对象从App扩展至其他相似形态(如小程序等)、规范主体从App运营者扩展至App全产业链(如分发平台、第三方服务提供者等),App处理(包括收集、存储、使用等)个人信息的监管规则逐步细化(如适老化、适龄提示等),未来App个人信息保护的合规边界会相对明确,但是技术发展日新月异并广泛集成、应用于App中,立法如何回应App中出现的新问题有待观察。
二、App个人信息保护执法趋势
(一)App个人信息保护执法回顾
2018年1月,工业和信息化部信息通信管理局就加强用户个人信息保护约谈一些头部互联网公司;8月,人民银行办公厅关于发布《开展支付安全风险专项排查工作的通知》,排查客户端应用软件敏感信息保护等问题;11月,中消协发布《100款App个人信息收集与隐私政策测评报告》,指出App普遍存在涉嫌过度收集或使用个人信息的情况;12月,教育部办公厅发布《关于严禁有害APP进入中小学校园的通知》,提出要保障学生信息和数据安全。
2019年1月,四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,在全国范围组织开展App违法违规收集使用个人信息专项治理;3月,App专项治理工作组(由四部门委托信安标委、中消协、ISC、CSAC成立)发布《App违法违规收集使用个人信息自评估指南》,2019年通报了256款App违法违规收集使用个人信息的问题;11月,工信部发布《关于开展APP侵害用户权益专项整治工作的通知》,面向App服务提供者、App分发服务提供者,重点对违规收集用户个人信息、违规使用用户个人信息、不合理索取用户权限、为用户账号注销设置障碍等问题进行整治,对236款App运营者下发整改通知书,公开通报56款App、下架3款App;2019年,公安部开展深入“净网2019”专项行动,集中曝光100款存在违法违规收集使用个人信息行为的APP。
2020年7月,工信部发布《关于开展纵深推进APP侵害用户权益专项整治行动的通知》,面向App服务提供者、软件工具开发包(SDK)提供者、应用分发平台,重点对违规收集、使用用户个人信息和骚扰用户、欺骗误导用户、应用分发平台管理责任落实不到位等问题进行整治。
2021年5月-6月,在《常见类型移动互联网应用程序必要个人信息范围规定》正式施行后,国家网信办发布了4批App违法违规收集使用个人信息情况的通报,主要针对违反必要原则问题,共涉及17类351款App;2021年8月25日,工信部发布《关于侵害用户权益行为的APP通报(2021年第9批,总第18批)》,通报了210款App。
根据以上执法案例,App个人信息保护的执法部门主要包括工信部门、网信部门、公安部门、市场监管部门以及教育部门、人民银行等。
经统计、分析工信部、国家网信办2021年的App个人信息保护执法案例,可以发现:
- 不同部门执法各有侧重。工信部重点关注“违规收集、使用个人信息”、“超范围收集个人信息”、“App强制、频繁、过度索取权限”等问题;国家网信办重点关注“违反必要原则,收集与其提供的服务无关的个人信息”、“未经用户同意收集使用个人信息”、“未按照法律规定提供删除或更正个人信息功能”等问题。
- 中央与地方联动。国家网信办在2021年7月发布了浙江省App专项治理工作组《关于萌拍拍等57款App违法违规收集使用个人信息情况的通报》;工信部从2021年第4批开始披露地方通信管理局上报的App通报信息,其中北京、浙江、广东为上报App通报信息的主要省市。
- 执法彻底。2021年7月、8月,工信部分别发布了2批“回头看”的通报,指出某些App存在问题整改不彻底、将整改过的问题改回原样、技术手段对抗、同一问题在不同地域整改不一致等问题,并再次督促整改或下架。
(二)执法趋势
综上,App个人信息保护执法呈现出以下三方面的趋势:一是执法活动常态化,例如工信部针对App个人信息保护的执法;二是执法对象扩大化,执法对象从App运营者扩展至App全产业链;三是执法问题深入化,从重点关注违法违规收集使用个人信息问题深入到必要性问题、弹窗信息问题等。可以预见,《个人信息保护法》正式施行后,针对App个人信息保护的执法将会更加频繁、更加严格。
三、App个人信息保护合规要点
根据App个人信息保护立法、执法现状及未来趋势,笔者认为,企业应当从以下四个方面做好App个人信息保护合规工作:
一是资质合规。在资质合规方面,企业应当根据App的主要功能、提供的产品或服务,结合相关行业的法律规定,梳理App所必备的资质许可。例如,金融类App可能需要取得相应的金融许可证、医疗类App可能需要取得互联网医疗信息服务许可证、视频类App可能需要取得信息网络传播视听许可证、游戏类App可能需要取得网络文化经营许可、涉及收取费用的可能需要取得增值电信业务经营许可证等。若未取得相应的资质许可,则可能会存在App上线审核不通过或者被下架的风险。同时,企业也应当积极申请App相关认证、备案以及开展评估,例如中央网信办、市监总局推动建立的App个人信息安全认证以及中国互联网金融协会牵头开展的金融App实名备案、中国信通院泰尔实验室的App个人信息安全评估、国家计算机病毒应急处理中心的App安全认证等,以提升App的合规性。
二是内容合规。在内容合规方面,对于企业自身发布、展示的内容,App应当特别注意《广告法》上的合规要求以及知识产权侵权、不正当竞争方面的风险;对于用户发布的内容,App应当建立内容审核及处置机制,涉及不合法、不合规的内容应当禁止或限制发布,涉及侵犯他人合法权益的内容,当权利人向企业提出异议时,企业应当及时采取处置措施,并留存相关审核处置记录,避免承担连带责任。
三是技术合规。在技术合规方面,App应当定期开展安全检测,及时修复安全漏洞,避免嵌入恶意程序实施“流氓行为”(如自动捆绑安装、执行用户未授权的其他操作的呢过)、“窃取隐私”、“恶意扣费”等行为,避免实施流量劫持等行为。
四是个人信息生命周期合规。在个人信息生命周期合规方面,App应当在系统权限获取以及个人信息收集、存储、使用、加工、传输、提供、公开、删除等各环节依法采取相应的合规措施,在委托处理、共享个人信息以及第三方接入管理(如SDK等)环节,应当做好第三方的合规准入管理以及过程监督,避免风险传导。同时,企业应当建立个人信息相关权益(包括知情权、决定权、限制/拒绝权、查阅/复制权、撤回同意权、可携权、删除权等)保障机制,保障用户的合法权益。
