近年来,移动互联网快速发展不断催生新业态、新模式,推动各类移动互联网应用程序(App)蓬勃兴起,成为网络应用的主要载体。当前,我国App在架数量和用户规模持续扩大,覆盖经济社会生产生活各个方面,已经成为个人信息保护的关键领域。为持续强化App个人信息保护,规范App个人信息处理活动,在国家互联网信息办公室统筹指导下,工业和信息化部会同公安部、市场监管总局联合起草制定《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》(以下简称《规定》),并于4月26日向社会公开征求意见。
《规定》共计二十条,立足我国App个人信息保护管理实践,将人民群众反映强烈的重点焦点问题纳入规制范围,坚持依法治理、技术治理、综合治理,提升了个人信息保护力度、强化了个人信息保护硬度、完善了个人信息保护维度,实现了App个人信息保护的法治化、技术化和体系化,为切实保护用户权益、持续深入推动App治理工作提供了坚实的制度保障。
首先,坚持依法治理,提升个人信息保护力度。“求木之长者,必固其根本”,法治是治国理政的基本方式,是互联网治理特别是个人信息保护工作不可或缺的重要手段。十九大指出要以良法促进发展、保障善治。十九届五中全会明确提出,维护人民根本利益,保障国家数据安全,加强个人信息保护。在我国互联网产业高速发展的同时,国家和工信部等有关部门高度重视个人信息保护工作,逐步完善相关法律法规。《规定》在我国现有个人信息保护管理要求的基础上,聚焦App领域突出问题,进一步提升了用户个人信息保护力度。
一是及时有效回应个人信息保护迫切需求。虽然近年来我国个人信息保护力度不断加大,但在现实生活中,由于用户个人信息收集使用规则、目的、方式和范围仍存在不明确的地方,个人信息保护仍然面临诸多问题和挑战,尤其是App侵犯个人信息问题突出。截至2020年底,我国国内市场上监测到的App数量为345万款,根据工信部近期通报情况显示,部分App随意收集、违法获取、过度使用个人信息情况还比较严重。违法违规处理用户个人信息不仅侵害了人民群众的切身利益,也严重扰乱了数字经济市场秩序。研究制定《规定》恰逢其时,为App个人信息处理活动画出底线、明确红线,既有利于监管部门明确职责,按照法定权限和程序行使权力;也有利于降低各类市场主体合规成本,稳定市场预期,促进我国数字经济发展行稳致远。
二是坚持法律继承与制度创新并重。《规定》立足各行业主管部门管理职责,以《网络安全法》等法律法规为依据,针对App个人信息保护工作的特点建章立制,即有对现行法律制度的继承和补充,也有随着信息通信技术发展同步推进的制度创新和细化。一方面,《规定》明确了App个人信息处理活动的总体要求,应当采用合法、正当的方式,遵循诚信原则,不得通过欺骗、误导等方式处理个人信息;另一方面,结合App专项治理工作实践,按照上位法的基本规定,在具体应用场景中细化了“知情同意”“最小必要化”的认定标准,创造性提出了“六项不得”要求和“六项应当”义务,有效解决了实践中用户个人信息收集使用规则、目的、方式和范围不明确的问题。
三是持续完善行业监管执法建设。长期以来,我国个人信息保护工作都面临着法律实施的难题,造成虽然有法律规定但常常束之高阁的情况。一方面,个人信息保护涉及多个行业监管部门,部门之间职责划分不清,重复执法和执法空白同时存在;另一方面,监管手段和执法力量有限,难以有效实现个人信息保护的立法目的。《规定》以App个人信息保护领域为突破口,强化行业监管职责,有效解决了上述问题。一是明确了App个人信息保护的联合工作机制,即国家互联网信息办公室负责统筹协调App个人信息保护工作和相关监督管理工作,会同工业和信息化部、公安部、市场监管总局建立健全App个人信息保护监督管理联合工作机制,统筹推进政策标准规范等等相关工作,加强信息共享及对App个人信息保护工作的指导。各部门在各自职责范围内负责App个人信息保护和监督管理工作。二是规定了监督管理制度,根据公众投诉举报情况和监管中发现的问题,监督管理部门可以对存在问题和风险的App实施个人信息保护检查,并要求从事App个人信息处理活动的相关主体应当对监督管理部门依法实施的监督检查予以配合。三是细化了违规处置流程和具体措施,例如明确了App下架处置和恢复上架的要求,提升了监管的规范性和透明度。
其次,坚持技术治理,强化个人信息保护硬度。“技术前进一小步,管理难度增加一大步”,新一代信息通信技术的快速发展对个人信息保护工作提出了更高的要求。硬科技需要更硬的法律和监管制度,只有着眼于技术发展规律,有前瞻性地为App发展把好方向、提供适宜的法律制度环境,才能够充分发挥立法维护公民权益、规范产业发展、促进技术进步的作用。《规定》针对App技术特点和发展规律,坚持技术治理,进一步强化了个人信息保护的硬度。
一是以技术产业创新主体为重点压实监管责任。网络社会的诞生本身就是技术的一种反映,对任何新技术形式的治理往往都要从技术本身出发来进行审视。《规定》从技术研究、应用角度出发,以App开发运营者、App分发平台、App第三方服务提供者、移动智能终端生产企业和网络接入服务提供者五类技术产业主体作为重点监管对象,既规定了五类主体应当共同遵循的个人信息保护总体要求,也分别规定了不同主体在App个人信息保护方面应当承担的具体义务,进一步明确和细化了主体责任。例如,针对第三方SDK违规收集个人信息管理不到位的突出问题,明确将第三方SDK纳入监管范围,细化了第三方SDK收集使用个人信息要求,并规定了针对第三方SDK的处置措施。
二是以技术检测平台为依托提升监管能力。目前,App在架数量大,且保持平均两周一次的频繁迭代更新,对App个人信息保护工作提出了新要求。现有技术监管手段由于自动化检测能力低、覆盖范围受限,很难实现全面均衡监管。为解决此问题,监管部门指导中国信息通信研究院联合部分互联网企业共同建设了“全国App技术检测平台”,组织行业优势力量,运用人工智能、大数据等技术手段持续优化平台能力,大幅提升监管自动化、智能化、标准化。这种行之有效的技术检测做法为监管部门进行App个人信息保护检查工作提供了有力的支撑。
三是以技术标准为核心强化监管要求。标准本质上是一种技术制度,为应对风险社会挑战,标准化越来越强调“事前引领”的功能,制定好的标准能够有效实现支撑法律实施的目的。例如,在前期App个人信息保护专项治理行动中,工信部指导相关组织制定了《App用户权益保护测评规范》10项标准,对于“最小必要化”等收集使用用户个人信息原则,制定了《App收集使用个人信息最小必要评估规范》26项系列标准,并通过电信终端产业协会以团标形式发布,取得了良好的社会效果。《规定》将这种做法也固化为制度,规定相关行业组织和专业机构按照有关法律法规、标准,开展App个人信息保护能力评估、认证。
最后,坚持综合治理,完善个人信息保护维度。App个人信息保护治理工作情况多变复杂、涉及人数众多,是一项非常艰巨的系统工程,需要提升综合治理能力。《规定》坚持体系化共治思维,坚持政府、企业、行业共同参与,多维度系统推动解决App个人信息保护治理问题。
一是构建多层次的App个人信息保护规范体系。App个人信息保护问题不是一部法律或者一个规定能够单独解决的。《规定》继承了《网络安全法》《电信条例》《互联网信息服务管理办法》《电信和互联网用户个人信息保护规定》等法律法规核心内容,系统总结了《关于开展App违法违规收集使用个人信息专项治理的公告》《关于开展App侵害用户权益专项整治工作的通知》《关于纵深推进App侵害用户权益专项整治行动的通知》等实践中已经成熟的经验做法和管理措施并进行制度化。随着《规定》的制定,将推动形成一个涵盖法律、行政法规、部门规章、规范性文件在内多层级的App个人信息保护规范体系,为用户个人信息保护提供更加全面的法律制度保障。
二是构建多主体的个人信息保护责任体系。App个人信息保护工作是国家、社会、企业的共同责任,需要政府、行业、企业等不同主体的积极参与,从不同的角度发挥各自重要作用。一是积极推进政府的监管创新。App个人信息保护治理工作需要公权力发挥主导作用,政府部门监管是最主要的推动力量。为切实提升监管效率,需要创新监管手段、完善监管措施,《规定》在长期实践基础上,规定了社会公告、直接下架处理、断开接入等诸多监管处置措施,实现监管创新和技术创新同步发展。二是持续强化行业自律和社会监督。行业自律和社会监督虽然没有政府管理的强制力,但它可以通过制造舆论来影响个人信息保护的发展。为此,《规定》要求被下架的App完成整改并作出企业自律承诺后,可申请恢复上架。三是大力提升企业的履责水平。企业是最主要的市场主体,也是用户权益保护的重要实践者与行动者,其履责水平的高低直接关系到个人信息保护工作的水平。《规定》坚持强化主体责任,明确了App开发运营者等五类主体在App个人信息处理活动中的具体义务要求,有助于企业完善内部治理,厘清自身产品的服务功能及场景合理性需求,确保商业模式创新和技术发展演进以充分保障用户合法权益为前提,提升履责水平。(中国信息通信研究院副院长王志勤)