个人信息保护的相关法律法规正在密集布局。近日个人信息保护法草案正在提请全国人大常委会二次审议。 4月26日,工信部会同公安部、市场监管总局发布《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》(以下简称“征求意见稿”),向社会公开征求意见。 多位接受采访的专家认为,该《征求意见稿》细化了民法典、网络安全法以及个人信息保护法草案等原则性规定,意味着接下来精细监管。并且,多部门会同制定,有望结束过去两年App个人信息保护的多部门执法、二次执法的监管乱象,统一App违法违规认定的尺度。 北京市盈科(深圳)律师事务所律师梅林告诉21世纪经济报道记者,《征求意见稿》对App分发平台的要求比以往清晰、具体了很多,一定程度将监管的责任放到了分发平台上,将给App分发平台增加很大的工作量,并且以后如果App在个人信息保护方面出问题,App分发平台也难辞其咎。 收集敏感信息不得通过一揽子隐私政策获得同意 App违规、超范围收集个人信息,App强制、频繁、过度索取权限等问题近年来受到广泛关注。该《征求意见稿》的起草说明中也表示,目前App个人信息收集使用规则、目的、方式和范围仍存在不明确的地方,部分环节仍存漏洞,个人信息保护面临诸多问题和挑战。 近日,据工信部介绍,已完成了对国内用户使用率较高的81万款App的技术检测工作,责令3433款违规App进行整改,公开通报819款整改不到位的App,下架239款拒不整改的App。 北京观韬中茂(上海)律师事务所合伙人王渝伟接受21世纪经济报道记者采访时表示,《征求意见稿》是在总结工信部对App用户权益保护专项整治行动的经验基础上,对过往检查监督容易出现的违规行为,进行细化规定。 《征求意见稿》确立了“知情同意”“最小必要”两项重要原则。 “知情同意”规定,从事App个人信息处理活动的,应当以清晰易懂的语言告知用户个人信息处理规则,由用户在充分知情的前提下,作出自愿、明确的意思表示,并明确了“六项应当”要求。 “六项应当”的要求细致。针对个人敏感信息,应当单独获取授权同意。 “也就是说针对人脸、指纹、医疗健康等个人敏感信息,不能在首次弹窗中通过一个一揽子隐私政策告知用户,并通过一个‘勾选’就获取授权同意,而应当通过单独的弹窗或其他方式告知并获取用户单独的授权同意,不能混在其他个人信息中。”梅林解释称。 除了敏感信息告知以外,《征求意见稿》中还规定了应当动态的申请权限。只有在对应业务功能启动时,动态申请App所需的权限,不应强制要求用户一揽子同意打开多个系统权限,且未经用户同意,不得更改用户设置的权限状态。 梅林告诉21世纪经济报道记者,在首次弹窗中需要告知的个人信息处理规则比较多,包括个人信息处理主体、处理目的、处理方式、处理类型、保存期限等很多内容,很多App的隐私保护政策都超过一万字,实际上用户并不能完整地看完全文,即使要求精简,但由于有些App功能很复杂,无法做到既清晰告知又篇幅简短。 “所以权限动态申请和敏感信息告知可能是这一系列告知和获取授权中,真正能在实质上起到告知和获取授权作用的。”梅林说。 细化“最小必要”原则 App整治将步入深水区 《征求意见稿》确定的“最小必要”原则规定,从事App个人信息处理活动的,应当具有明确、合理的目的,并遵循最小必要原则,不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动,并提出了“六项不得”要求。 具体来看,“六项不得”要求,处理个人信息的数量、频次、精度等应当为服务所必需,不得超范围处理个人信息。梅林举例称,在获取定位时如果只需要同城信息,那就不应当获取精确定位,并且每次打开时获取定位便足够。 此外,“六项不得”中还要求,个人信息的本地读取、写入、删除、修改等操作应当为服务所必需,不得超出用户同意的操作范围。 针对该项要求,典型案例就是今年1月,有网友爆料称拼多多远程删除其相册照片后,被手机系统检测到并发出提示。拼多多回应称,删除的是“缓存”图片,导致用户手机系统认为有删除图片操作,将对产品做改进;在拍照完成并编辑后,将不会再删除拍照的原图。 梅林表示,即使技术上App确实需要读写用户的存储空间,也应当在最小必要范围内进行读写操作。 此外,“六项不得”中还强调,用户拒绝相关授权申请后,不得强制退出或者关闭App,不得提前申请超出其业务功能或者服务外的权限,不得利用频繁弹窗反复申请与当前服务场景无关的权限。 互联网行业隐私科技专家王磊接受21世纪经济报道记者采访时提到,由于之前对必要个人信息范围没有明确规定,在实际认定中超范围收集个人信息争议较多且认定难度较大。 浙江大学光华法学院互联网法律研究中心主任高艳东也表示,由于当前App功能与业务范围复杂、交叉,一个App的服务场景范围可能难以准确定义,因此,在判断App个人信息处理者从事用户信息处理活动是否超出范围时,可能会存在一定困难,对此也需要作出进一步完善。 3月22日,网信办等四部委联合发布《常见类型移动互联网应用程序必要个人信息范围规定》,明确了39种常见类型App的必要个人信息范围。 王磊认为,《征求意见稿》中认定App是否违反“最小必要”规定,未来正式出台后,可以结合上述四部委的规定,进行事实层面上的判断,针对App的整治将步入深水区。 构建App闭环监管 更加精细化 《征求意见稿》对App治理的全链条、全主体、全流程予以规范,规定了App开发运营者、App分发平台、App第三方服务提供者、移动智能终端生产企业和网络接入服务提供者在App个人信息保护方面的具体义务。 王磊表示,这将构建App的闭环监管,覆盖隐私风险的源头(App运营者、SDK开发者)、流通(分发平台、手机厂商、网络接入服务提供者)、风险处置(监管机构)。 王渝伟认为,这样的分类细分了具体的数据处理主体,是对前期监管实践的总结也是反思。此前相关规范文件多是粗放地划分数据控制者和处理者,这样的划分无法满足具体监管的需要,也没考虑到不同主体之间场景之间的不同。“要精细化执法监管,需要对不同主体的不同意进行细化,《征求意见稿》中第8-12条的规定都是经验总是前期经验的总结,这是精细监管。” App分发平台工作量或剧增 无论是从信息处理主体,还是信息处理活动,《征求意见稿》都做了创新性、精细化的规定。如若《征求意见稿》后续正式出台,对App开发运营者等影响何在? 高艳东告诉21世纪经济报道记者,最直观的是App隐私政策和服务协议内容的调整,其次是产品链主体链接上的影响,开发运营者不得不适应新规则下与App分发平台、App第三方服务提供者、移动智能终端生产企业和网络接入服务提供者等之间的新合同关系。 梅林认为,本次公布的《征求意见稿》对App分发平台的要求比以往清晰、具体了很多,明确提出了“对新上架App实行上架前个人信息处理活动规范性审核,对已上架App在本规定实施后1个月内完成补充审核,并根据审核结果进行更新或者清理”的要求。 “相当于将监管的责任放到了分发平台上,还设定了1个月的期限,会给App分发平台增加很大的工作量,并且以后如果App在个人信息保护方面出问题,App分发平台也难辞其咎。”梅林表示。 此外,《征求意见稿》细化违规处置流程和具体措施。明确从事个人信息处理活动的有关主体违反要求的,依次按照通知整改、社会公告、下架处置、断开接入、信用管理流程进行处置,并明确具体时间期限要求。包括:对未按要求完成整改或反复出现问题、采取技术对抗等违规情节严重的App,将对其进行直接下架;且下架后的App在40个工作日内不得通过任何渠道再次上架。 高艳东认为,这将对“已经违规或者处在违规边缘的App开发运营者们”产生冲击。《征求意见稿》中的处罚规定和“APP信用管理体系”的建立,将使得违规成本显著增大,并且可能对信誉不佳的APP造成不可逆的联合惩戒。 王渝伟认为,《征求意见稿》将前期采取监管措施的成功经验总结出行之有效的监管处置措施,一方面让规定的执法具有可执行性,另一方面也避免了前期相关措施没有法律依据而被诟病的尴尬,规定可能为部门规章,此后可以作为正式执法依据,作为为执法监管部门从新处罚(置)的依据。 “多部门会同制定,有望结束过去两年App个人信息保护的多部门执法、二次执法的监管乱象,统一App违法违规认定的尺度。”王磊说。 财经钻CZ,真正的价值币,推动创新、科技、创业投资、价值型财经等等的进步和发展. 客服QQ:318059325 微信:wdcjcne 邮箱:kefu@cjz.vip |
还没有用户评论, 快来抢沙发!