一百零五款A(yù)pp違法違規(guī)收集使用個人信息情況被通報

　　拿什么強化App個人信息保護

　　本報記者 趙晨熙

　　喜歡聽演唱會的人對大麥App都不陌生，近日，這個“票務(wù)專家”卻被下架了，原因是侵害用戶權(quán)益，違規(guī)收集個人信息，App強制、頻繁、過度索取權(quán)限等。

　　5月21日，國家互聯(lián)網(wǎng)信息辦公室對105款A(yù)pp違法違規(guī)收集使用個人信息情況進行了通報。通報要求，針對檢測發(fā)現(xiàn)的問題，相關(guān)App運營者應(yīng)當于本通報發(fā)布之日起15個工作日內(nèi)完成整改。

　　為加強移動互聯(lián)網(wǎng)應(yīng)用程序(App)個人信息保護，規(guī)范App個人信息處理活動，在國家互聯(lián)網(wǎng)信息辦公室的統(tǒng)籌指導下，工業(yè)和信息化部會同公安部、市場監(jiān)管總局起草了《移動互聯(lián)網(wǎng)應(yīng)用程序個人信息保護管理暫行規(guī)定(征求意見稿)》向社會公開征求意見。

　　征求意見稿共20條，界定了適用范圍和監(jiān)管主體；確立了“知情同意”“最小必要”兩項重要原則；細化了App開發(fā)運營者、分發(fā)平臺、第三方服務(wù)提供者、終端生產(chǎn)企業(yè)、網(wǎng)絡(luò)接入服務(wù)提供者五類主體責任義務(wù)；提出了投訴舉報、監(jiān)督檢查、處置措施、風險提示等四方面規(guī)范要求。

　　網(wǎng)經(jīng)社電子商務(wù)研究中心特約研究員趙占領(lǐng)在接受《法治日報》記者采訪時表示，App收集個人信息的問題已是老生常談，涉及相關(guān)內(nèi)容的法律規(guī)范也較多，此次征求意見稿是專門針對App處理個人信息的專項規(guī)定，將近年來成熟的經(jīng)驗做法和管理措施轉(zhuǎn)換為制度性規(guī)范文件，從全鏈條、全主體、全流程的角度全面強化了對App個人信息保護的管理。

　　明確“知情同意”“最小必要”原則

　　是否允許授權(quán)打開相冊、是否允許授權(quán)打開通訊錄、是否允許開啟定位……如今在使用一款A(yù)pp的時候，人們似乎已經(jīng)習慣了“默認”平臺方的這些授權(quán)要求，畢竟如果點擊關(guān)閉或拒絕，可能面臨無法正常使用服務(wù)，甚至App直接閃退的情況。有些App更是“貼心”地為用戶自動選擇了默認勾選，在看似便利中輕易獲得了用戶的各類個人信息。

　　在北京德恒律師事務(wù)所合伙人張韜看來，用戶無奈地“默許”恰恰體現(xiàn)了App在處理用戶個人信息上存在諸多問題。

　　App為了向用戶提供相關(guān)服務(wù)，在告知并取得用戶同意等合法前提下收集必要的個人相關(guān)信息是合理的，但當前部分App運營者存在“過度索權(quán)”“超范圍索取”以及未經(jīng)用戶同意“非法獲取”，甚至“非法出售”用戶個人信息的問題。

　　趙占領(lǐng)曾接觸過多起App違規(guī)收集用戶個人信息的案件，他發(fā)現(xiàn)當前比較常見的違規(guī)方式有兩種：一是收集用戶的個人信息與所要提供的業(yè)務(wù)沒有必要的關(guān)聯(lián)性，即超范圍收集用戶個人信息；二是用戶如果不同意App收集用戶個人信息的要求，App則不向用戶提供相關(guān)的產(chǎn)品或服務(wù)，以這種方式強迫用戶同意App收集個人信息。

　　針對這些問題，此次征求意見稿明確，從事App個人信息處理活動的，應(yīng)遵循“知情同意”“最小必要”兩項重要原則，同時，征求意見稿特別指出，應(yīng)當采取非默認勾選的方式征得用戶同意。

　　“知情同意”要求從事App個人信息處理活動的，應(yīng)當以清晰易懂的語言告知用戶個人信息處理規(guī)則，由用戶在充分知情的前提下，作出自愿、明確的意思表示；“最小必要”則要求從事App個人信息處理活動的，應(yīng)當具有明確、合理的目的，并遵循最小必要原則，不得從事超出用戶同意范圍或者與服務(wù)場景無關(guān)的個人信息處理活動。

　　范圍廣懲處嚴

　　此次征求意見稿給趙占領(lǐng)的第一感覺是范圍廣、懲處嚴。

　　“廣”體現(xiàn)在全方位對App涉及的各方主體責任與義務(wù)進行明確與細化。這意味著，包括App開發(fā)運營者、分發(fā)平臺、第三方服務(wù)提供者、移動智能終端生產(chǎn)企業(yè)、網(wǎng)絡(luò)接入服務(wù)提供者在內(nèi)的各方主體都被納入個人信息保護的責任人范疇中。

　　“嚴”則體現(xiàn)在細化了違規(guī)處置流程和具體措施，明確從事個人信息處理活動的有關(guān)主體違反要求的，依次按照通知整改、社會公告、下架處置、斷開接入、信用管理流程進行處置，并明確具體時間期限要求。

　　征求意見稿特別提出，對未按要求完成整改或反復出現(xiàn)問題、采取技術(shù)對抗等違規(guī)情節(jié)嚴重的App，將對其進行直接下架；且下架后的App在40個工作日內(nèi)不得通過任何渠道再次上架的管理要求。

　　在中央財經(jīng)大學中國互聯(lián)網(wǎng)經(jīng)濟研究院副院長歐陽日輝看來，一些App平臺之所以“肆無忌憚”，是因為違法違規(guī)成本過低，尤其是對于一些尚未形成聲譽的中小平臺而言，規(guī)范對它們的約束力會更小。

　　征求意見稿中“對相應(yīng)違規(guī)主體，可納入信用管理，實施聯(lián)合懲戒”的規(guī)定引起了歐陽日輝的注意，他認為這一規(guī)定將對違規(guī)者起到極大的震懾作用，將違規(guī)者納入信用管理以后，對其實施聯(lián)合懲戒，同時還應(yīng)考慮采取禁止市場準入的方式，這對違規(guī)者能起到很大的震懾作用。

　　針對“累犯”，征求意見稿給予了最高可禁入的懲處。征求意見稿第十七條規(guī)定，對整改反復出現(xiàn)問題的App及其開發(fā)運營者開發(fā)的相關(guān)App，監(jiān)督管理部門可以指導組織App分發(fā)平臺和移動智能終端生產(chǎn)企業(yè)在集成、分發(fā)、預(yù)置和安裝等環(huán)節(jié)進行風險提示，情節(jié)嚴重的采取禁入措施。

　　從嚴規(guī)范App對外提供個人信息

　　個人信息泄露是詐騙成功實施的關(guān)鍵因素，而個人信息泄露的一大源頭就是App。

　　張韜注意到，征求意見稿在規(guī)范App使用個人信息的同時，對App對外提供個人信息作出了從嚴規(guī)范。

　　征求意見稿第六條規(guī)定，需要向本App以外的第三方提供個人信息的，應(yīng)當向用戶告知其身份信息、聯(lián)系方式、處理目的、處理方式和個人信息的種類等事項，并取得用戶同意。

　　相比既有法律規(guī)定，此前均未明確要求App要向用戶告知第三方的身份信息、聯(lián)系方式等事項。比如，網(wǎng)絡(luò)安全法第四十二條規(guī)定，未經(jīng)被收集者同意，網(wǎng)絡(luò)運營者不得向他人提供個人信息。

　　“征求意見稿對此作出了更為詳盡的規(guī)定，充分保障了用戶的知情權(quán)�！睆堩w說。

　　不過，在中倫律師事務(wù)所合伙人劉新宇看來，這一規(guī)定的可行性仍需探討。在實踐中，很多App對外提供個人信息涉及的第三方主體較多，而且這些第三方主體也并非一成不變，有的變化頻率較高，這些因素都加劇了告知第三方身份信息、聯(lián)系方式的難度。

　　與個人信息保護法相銜接

　　不論是網(wǎng)絡(luò)安全法，還是電子商務(wù)法，近年來，我國對于網(wǎng)絡(luò)個人信息保護的力度持續(xù)加強。僅針對App收集使用個人信息，近兩年便出臺了多份規(guī)范。

　　不僅如此，與個人信息保護更為直接相關(guān)的個人信息保護法草案也正在審議中。

　　張韜注意到，征求意見稿中的很多規(guī)定都與個人信息保護法草案相呼應(yīng)。比如，“敏感個人信息”一詞首次出現(xiàn)于個人信息保護法草案第二十九條中，征求意見稿第六條第六項要求處理敏感個人信息應(yīng)單獨告知并取得同意，沿用了個人信息保護法草案的規(guī)定，對敏感個人信息的列舉也保持一致。

　　此外，征求意見稿的相關(guān)內(nèi)容與個人信息保護法草案在立法精神、原則等方面也是基本一致的，包括“告知—同意原則”“最小必要原則”等。

　　在張韜看來，征求意見稿第二條指出“法律、行政法規(guī)對個人信息處理活動另有規(guī)定的，適用其規(guī)定”，這為征求意見稿與個人信息保護法未來的銜接預(yù)留了充足和必要的空間。