(網(wǎng)經(jīng)社訊)2021年4月26日,工業(yè)和信息化部信息通信管理局(以下簡(jiǎn)稱工信部通管局)發(fā)布了《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序個(gè)人信息保護(hù)管理暫行規(guī)定(征求意見(jiàn)稿)》(以下簡(jiǎn)稱《征求意見(jiàn)稿》),并向社會(huì)公開(kāi)征求意見(jiàn)。工信部通管局指出,App治理是一項(xiàng)具有長(zhǎng)期性、復(fù)雜性的系統(tǒng)治理工作,有必要將近年來(lái)取得的成熟經(jīng)驗(yàn)做法和管理措施轉(zhuǎn)換為制度性規(guī)范文件?!墩髑笠庖?jiàn)稿》出臺(tái),正是強(qiáng)化App個(gè)人信息保護(hù)管理的系統(tǒng)性、整體性和協(xié)同性,回應(yīng)當(dāng)前個(gè)人信息保護(hù)面臨的諸多問(wèn)題和挑戰(zhàn)。
《征求意見(jiàn)稿》共計(jì)二十條,分別界定了適用范圍和監(jiān)管主體;確立了“知情同意”“最小必要”兩項(xiàng)重要原則;細(xì)化了App開(kāi)發(fā)運(yùn)營(yíng)者、分發(fā)平臺(tái)、第三方服務(wù)提供者、終端生產(chǎn)企業(yè)、網(wǎng)絡(luò)接入服務(wù)提供者等五類主體責(zé)任義務(wù);提出了投訴舉報(bào)、監(jiān)督檢查、處置措施、風(fēng)險(xiǎn)提示等四方面規(guī)范要求。本文將結(jié)合法律實(shí)務(wù),簡(jiǎn)要分析《征求意見(jiàn)稿》的六大要點(diǎn),為合規(guī)做好準(zhǔn)備。
一、明確App個(gè)人信息處理活動(dòng)涉及主體
《征求意見(jiàn)稿》結(jié)合監(jiān)管部門(mén)近兩年來(lái)已經(jīng)成熟的經(jīng)驗(yàn)做法和管理措施制度,以互聯(lián)網(wǎng)的分層結(jié)構(gòu)為線索,系統(tǒng)性明確了參與App個(gè)人信息處理活動(dòng)的主體,具體包括:
(一)網(wǎng)絡(luò)接入服務(wù)提供者,是指從事互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)業(yè)務(wù)、互聯(lián)網(wǎng)接入服務(wù)(ISP)業(yè)務(wù)和內(nèi)容分發(fā)網(wǎng)絡(luò)(CDN)業(yè)務(wù),為App提供網(wǎng)絡(luò)接入服務(wù)的電信業(yè)務(wù)經(jīng)營(yíng)者,包括移動(dòng)、電信、聯(lián)通等網(wǎng)絡(luò)運(yùn)營(yíng)商。這部分主體從事基礎(chǔ)網(wǎng)絡(luò)服務(wù),雖然不能在個(gè)人信息保護(hù)中起到直接作用,但對(duì)于監(jiān)管部門(mén)的違法糾正措施可以起到落實(shí)作用,所以也是主體之一。
(二)移動(dòng)智能終端生產(chǎn)企業(yè),是指生產(chǎn)能夠接入公眾網(wǎng)絡(luò),提供預(yù)置App或者具備安裝App能力的移動(dòng)智能終端設(shè)備的主體,例如蘋(píng)果、華為、小米等企業(yè);如果把App比喻為一個(gè)工具,那么這部分主體所生產(chǎn)的設(shè)備就是工具箱,就個(gè)人信息保護(hù)同樣起到源頭的控制作用。
(三)App分發(fā)平臺(tái),是指通過(guò)應(yīng)用商店、應(yīng)用市場(chǎng)、網(wǎng)站等方式提供App下載、升級(jí)服務(wù)的軟件服務(wù)平臺(tái),例如蘋(píng)果市場(chǎng)(Apple Store)、華為應(yīng)用市場(chǎng)、騰訊應(yīng)用寶、百度應(yīng)用商店等。
(四)App開(kāi)發(fā)運(yùn)營(yíng)者和App第三方服務(wù)提供者,前者指的是從事App開(kāi)發(fā)和運(yùn)營(yíng)活動(dòng)的主體,這也是個(gè)人信息保護(hù)重要規(guī)制對(duì)象,后者則指向相對(duì)于用戶和App以外的,為App提供軟件開(kāi)發(fā)工具包(SDK)、封裝、加固、編譯環(huán)境等第三方服務(wù)的主體。結(jié)合《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南-移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(App)使用軟件開(kāi)發(fā)工具包(SDK)安全指引》(TC260-PG-20205A,以下簡(jiǎn)稱《SDK安全指引》)第3.2條“常見(jiàn)SDK類型”的規(guī)定可知,兩者均屬于App內(nèi)容服務(wù)的提供者。
過(guò)去對(duì)個(gè)人信息保護(hù)實(shí)踐更多關(guān)注的是App內(nèi)容服務(wù)提供者,而忽視了其他參與者同樣就違規(guī)處理個(gè)人信息行為會(huì)有所涉及,例如,《工業(yè)和信息化部關(guān)于開(kāi)展縱深推進(jìn)App侵害用戶權(quán)益專項(xiàng)整治行動(dòng)的通知》(工信部信管函〔2020〕164號(hào))即指出應(yīng)用分發(fā)平臺(tái)責(zé)任落實(shí)不到位的問(wèn)題。原因在于App內(nèi)容服務(wù)提供者數(shù)量眾多,且與個(gè)人信息主體的關(guān)系最為密切。此次《征求意見(jiàn)稿》明確了涉及App個(gè)人信息處理活動(dòng)的全周期的主體,并規(guī)定了各自的個(gè)人信息安全保護(hù)義務(wù),將對(duì)個(gè)人信息保護(hù)起到積極作用。
二、明確App個(gè)人信息保護(hù)的監(jiān)管分工
《征求意見(jiàn)稿》第4條明確各部門(mén)對(duì)App個(gè)人信息保護(hù)的監(jiān)管職責(zé)。具體而言,在國(guó)家網(wǎng)信辦負(fù)責(zé)統(tǒng)籌協(xié)調(diào)下,工業(yè)和信息化部、公安部、市場(chǎng)監(jiān)管總局以及國(guó)家網(wǎng)信辦建立健全App個(gè)人信息保護(hù)監(jiān)督管理聯(lián)合工作機(jī)制,在各自職責(zé)范圍內(nèi)負(fù)責(zé)App個(gè)人信息保護(hù)和監(jiān)督管理工作。該規(guī)定明確了各部門(mén)的職責(zé)分工,有利于降低因監(jiān)管部門(mén)職責(zé)不明而產(chǎn)生的行政監(jiān)管及企業(yè)合規(guī)成本,在厘清職責(zé)分工的基礎(chǔ)上也有利于四部委就重大問(wèn)題積極開(kāi)展聯(lián)合整治活動(dòng)。
第5條第2款規(guī)定:“相關(guān)行業(yè)組織和專業(yè)機(jī)構(gòu)按照有關(guān)法律法規(guī)、標(biāo)準(zhǔn)及本規(guī)定,開(kāi)展App個(gè)人信息保護(hù)能力評(píng)估、認(rèn)證。”這些“相關(guān)行業(yè)組織和專業(yè)機(jī)構(gòu)”應(yīng)被視為監(jiān)管的輔助力量,因其范圍尚未明確,涉及設(shè)立許可、資格獲取以及業(yè)務(wù)的開(kāi)展等,有必要在正式版本或者后期規(guī)范性文件中予以明確。與之相關(guān)的是,《中華人民共和國(guó)個(gè)人信息保護(hù)法(草案二次審議稿)》(以下簡(jiǎn)稱《個(gè)人信息保護(hù)法(二審稿)》)第38條第2項(xiàng)規(guī)定,個(gè)人信息處理者“按照國(guó)家網(wǎng)信部門(mén)的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證”后,可向境外提供個(gè)人信息,即是評(píng)估、認(rèn)證機(jī)制應(yīng)用的具體制度。
三、細(xì)化App個(gè)人信息“知情同意”系列規(guī)則
《征求意見(jiàn)稿》第6條規(guī)定:“從事App個(gè)人信息處理活動(dòng)的,應(yīng)當(dāng)以清晰易懂的語(yǔ)言告知用戶個(gè)人信息處理規(guī)則,由用戶在充分知情的前提下,作出自愿、明確的意思表示?!痹摋l的表述與《個(gè)人信息保護(hù)法(二審稿)》第14、18條的表述基本一致。從遵守“知情同意”規(guī)范要求角度而言,App領(lǐng)域的個(gè)人信息處理者應(yīng)以《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(App)收集使用個(gè)人信息自評(píng)估指南》(TC260-PG-20202A)、GB/T 35273-2020《信息安全技術(shù) 個(gè)人信息安全規(guī)范》《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》(國(guó)信辦秘字〔2019〕191號(hào))等文件為參照。
特別值得關(guān)注的是,App環(huán)境中用戶與企業(yè)制定的個(gè)人信息保護(hù)政策(隱私政策)之間的交互。《征求意見(jiàn)稿》第6條第2項(xiàng)指出“應(yīng)當(dāng)采取非默認(rèn)勾選的方式征得用戶同意”,若程序上無(wú)需用戶點(diǎn)擊個(gè)人信息保護(hù)政策,則有可能被法院認(rèn)定為未履行充分告知義務(wù),例如在“上海尋夢(mèng)信息技術(shù)有限公司與徐壽鋒管轄裁定書(shū)”中,江蘇省蘇州市中級(jí)人民法院認(rèn)定“徐某某登錄拼多多App 時(shí),系統(tǒng)已經(jīng)默認(rèn)‘我已經(jīng)閱讀并同意服務(wù)協(xié)議與隱私政策’,徐壽鋒僅需要通過(guò)輸入手機(jī)號(hào)碼、驗(yàn)證碼等信息,點(diǎn)擊“同意協(xié)議并登錄”圖標(biāo)即可進(jìn)入拼多多購(gòu)物平臺(tái)進(jìn)行購(gòu)物。整個(gè)購(gòu)物過(guò)程均無(wú)須點(diǎn)擊閱讀《拼多多用戶服務(wù)協(xié)議》,因此不能認(rèn)定上海尋夢(mèng)信息技術(shù)有限公司已采取合理方式對(duì)《拼多多用戶服務(wù)協(xié)議》中的約定管轄條款向徐壽鋒履行了提示義務(wù),故應(yīng)認(rèn)定案涉協(xié)議管轄條款無(wú)效。”
實(shí)務(wù)中比較保險(xiǎn)的做法是,中斷用戶當(dāng)前操作界面,進(jìn)行單獨(dú)的彈窗提醒。《個(gè)人信息保護(hù)法(二審稿)》也在多處規(guī)定了“單獨(dú)同意”的規(guī)范要求,此種單獨(dú)提醒將成為未來(lái)App業(yè)務(wù)的常態(tài)。此外,復(fù)雜、頻繁的交互設(shè)定也會(huì)有損于用戶體驗(yàn),進(jìn)而違反相應(yīng)規(guī)定。
四、明確App個(gè)人信息處理“最小必要”原則
《網(wǎng)絡(luò)安全法》第41條和《民法典》第1035條規(guī)定了個(gè)人信息處理活動(dòng)的“合法、正當(dāng)、必要”原則,并規(guī)定“不得過(guò)度處理”,《個(gè)人信息保護(hù)法(二審稿)》第6條則強(qiáng)調(diào)了“目的限制”和“最小范圍”原則。《征求意見(jiàn)稿》第7條明確了App個(gè)人信息處理“最小必要”原則。工信部通管局在《征求意見(jiàn)稿》的起草說(shuō)明中將“知情同意”與“最小必要”并列稱為原則,存在一定的誤區(qū)。以《個(gè)人信息保護(hù)法(二審稿)》的體系來(lái)看,“目的限制”和“最小范圍”原則位于“總則”部分,而“知情同意”原則貫穿于各項(xiàng)規(guī)則中。全國(guó)人大常委會(huì)法工委發(fā)言人也強(qiáng)調(diào)“告知-同意”系個(gè)人信息處理一系列規(guī)則的核心。因此,“最小必要”原則要求不得從事超出用戶同意范圍或者與服務(wù)場(chǎng)景無(wú)關(guān)的個(gè)人信息處理活動(dòng),在正式稿中可將考慮第7條置于第6條之前。
實(shí)踐中不少App內(nèi)容服務(wù)提供主體存在違反“最小必要”原則的情形,為了拓展和完善其業(yè)務(wù)功能,往往在個(gè)人信息保護(hù)政策中“一股腦”地征求取得各類信息和處理活動(dòng)權(quán)限的個(gè)人同意。2021年5月5日,國(guó)家網(wǎng)信辦組織對(duì)輸入法、地圖導(dǎo)航等常見(jiàn)類型公眾大量使用的部分App的個(gè)人信息收集使用情況進(jìn)行了檢測(cè),31款A(yù)pp存在“違反必要原則,收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人信息”的情況。就企業(yè)合規(guī)而言,近期生效的《常見(jiàn)類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》能夠提供參照,其劃定了39種常見(jiàn)類型App的基本功能服務(wù)和必要個(gè)人信息范圍,可以成為“最小必要”原則落地的重要參考依據(jù)。
五、細(xì)化App個(gè)人信息保護(hù)五類主體責(zé)任義務(wù)
《征求意見(jiàn)稿》對(duì)App治理的全鏈條、全主體、全流程予以規(guī)范,第8-12條分別規(guī)定了上述五類主體的具體責(zé)任義務(wù)。細(xì)化的責(zé)任義務(wù)內(nèi)容,體現(xiàn)了將個(gè)人信息保護(hù)落實(shí)到設(shè)計(jì)、開(kāi)發(fā)及運(yùn)營(yíng)各環(huán)節(jié)的理念,未來(lái)愈發(fā)嚴(yán)苛的數(shù)據(jù)合規(guī)要求,也將促使企業(yè)踐行以人為本的技術(shù)實(shí)踐。歐盟《一般數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation,簡(jiǎn)稱GDPR)以及美國(guó)《加利福尼亞州消費(fèi)者隱私保護(hù)法案》(California Consumer PrivacyAct,簡(jiǎn)稱CCPA)都強(qiáng)調(diào)了技術(shù)對(duì)于個(gè)人信息保護(hù)的作用。特別是GDPR第25條規(guī)定了數(shù)據(jù)控制者在處理個(gè)人數(shù)據(jù)時(shí)應(yīng)實(shí)施適當(dāng)?shù)募夹g(shù)和組織措施,確保數(shù)據(jù)保護(hù)原則得以落實(shí),特別是確保在默認(rèn)情況下只有對(duì)特定處理目的有必要的個(gè)人數(shù)據(jù)才能被處理。
2021年3月22日,張新寶教授在中國(guó)人民大學(xué)民商事法律科學(xué)研究中心主辦的“個(gè)人信息保護(hù)法中英研討會(huì)”中認(rèn)為,對(duì)數(shù)以百萬(wàn)計(jì)的App分別監(jiān)管是困難的,應(yīng)對(duì)實(shí)際上控制技術(shù)資源、技術(shù)環(huán)境和運(yùn)營(yíng)環(huán)境的信息處理者,設(shè)置“守門(mén)人”個(gè)人信息處理的特別義務(wù)?!笆亻T(mén)人”包括應(yīng)用程序的分發(fā)平臺(tái)、操作系統(tǒng)以及大型平臺(tái)App,承擔(dān)的是個(gè)人信息處理的特殊義務(wù)。此種觀點(diǎn)已被《征求意見(jiàn)稿》所吸收。App分發(fā)平臺(tái)、移動(dòng)智能終端生產(chǎn)企業(yè)、網(wǎng)絡(luò)接入服務(wù)提供者均負(fù)有對(duì)App的身份登記、監(jiān)督管理以及懲戒的義務(wù)。
就App開(kāi)發(fā)運(yùn)營(yíng)者和App第三方服務(wù)提供者關(guān)系而言,《征求意見(jiàn)稿》第10條明確規(guī)定App第三方服務(wù)提供者負(fù)有向App開(kāi)發(fā)運(yùn)營(yíng)者公開(kāi)其個(gè)人信息處理目的、處理方式、處理類型、保存期限等內(nèi)容的義務(wù),并在發(fā)現(xiàn)安全風(fēng)險(xiǎn)或者個(gè)人信息處理規(guī)則變更時(shí)應(yīng)當(dāng)及時(shí)進(jìn)行更新并告知App開(kāi)發(fā)運(yùn)營(yíng)者。
結(jié)合《征求意見(jiàn)稿》第8條,應(yīng)由App開(kāi)發(fā)運(yùn)營(yíng)者向用戶進(jìn)行告知,并進(jìn)行監(jiān)督和管理。這是由于SDK通常無(wú)法獨(dú)立展示前臺(tái)頁(yè)面,其告知行為需要借助宿主App向用戶提供。法律效果上,App開(kāi)發(fā)運(yùn)營(yíng)者未盡到監(jiān)督義務(wù)的,應(yīng)當(dāng)依法與第三方服務(wù)提供者承擔(dān)連帶責(zé)任。該連帶責(zé)任的要求,較之《SDK安全指引》根據(jù)App使用SDK方式的不同進(jìn)行責(zé)任的區(qū)分,更為苛責(zé)。
實(shí)踐中由于技術(shù)原因,App可能對(duì)SDK的個(gè)人信息處理情況不夠了解,這就要求App開(kāi)發(fā)運(yùn)營(yíng)者與App第三方服務(wù)提供者在訂立開(kāi)發(fā)者服務(wù)協(xié)議時(shí)明確約定數(shù)據(jù)安全的監(jiān)管措施以及權(quán)利義務(wù)安排。
六、明確監(jiān)管部門(mén)可采取處置措施
《征求意見(jiàn)稿》第16、17條明確了監(jiān)督管理部門(mén)可依據(jù)各自職責(zé)對(duì)App處理個(gè)人信息的違規(guī)行為采取處置措施,具體而言包括責(zé)令整改與社會(huì)公告、下架處置、斷開(kāi)接入、信用管理。
特別是信用管理將會(huì)對(duì)企業(yè)產(chǎn)生較大威懾力,根據(jù)2015年多部門(mén)印發(fā)的《失信企業(yè)協(xié)同監(jiān)管和聯(lián)合懲戒合作備忘錄》,市場(chǎng)監(jiān)督管理部門(mén)(原工商行政管理部門(mén))可對(duì)企業(yè)及其法定代表人,以及根據(jù)相關(guān)法律法規(guī)規(guī)定對(duì)企業(yè)嚴(yán)重違法行為負(fù)有責(zé)任的企業(yè)法人和自然人股東、其他相關(guān)人員,采取市場(chǎng)準(zhǔn)入和任職資格限制。
在時(shí)間期限上,App若被責(zé)令整改,應(yīng)在5日內(nèi)完成整改,否則會(huì)被社會(huì)公告;社會(huì)公告后企業(yè)的整改亦應(yīng)在5日內(nèi)完成,否則將會(huì)遭到下架處理。對(duì)反復(fù)出現(xiàn)問(wèn)題、采取技術(shù)對(duì)抗等違規(guī)情節(jié)嚴(yán)重的,將對(duì)其進(jìn)行直接下架;被下架的App在40個(gè)工作日內(nèi)不得通過(guò)任何渠道再次上架。此外,監(jiān)督管理部門(mén)可以指導(dǎo)組織App分發(fā)平臺(tái)和移動(dòng)智能終端生產(chǎn)企業(yè)充分發(fā)揮“守門(mén)人”義務(wù),對(duì)整改反復(fù)出現(xiàn)問(wèn)題的App及其開(kāi)發(fā)運(yùn)營(yíng)者開(kāi)發(fā)的相關(guān)App,在集成、分發(fā)、預(yù)置和安裝等環(huán)節(jié)進(jìn)行風(fēng)險(xiǎn)提示,情節(jié)嚴(yán)重的采取禁入措施。
---結(jié)語(yǔ)---
個(gè)人信息保護(hù)的規(guī)范體系愈發(fā)完善和嚴(yán)格,任何涉及App場(chǎng)景下個(gè)人信息處理活動(dòng)的市場(chǎng)主體都不能心存僥幸,應(yīng)落實(shí)“以人為本”的技術(shù)設(shè)計(jì)和制度保障,切實(shí)維護(hù)用戶的個(gè)人信息合法權(quán)益,提升企業(yè)信用和品牌聲譽(yù)。