个人信息泄露后
●及时出台《App违法违规收集使用个人信息行为认定方法》,明确违规App行为的具体认定标准,有助于网络安全法的相关要求真正落地并见实效。
●中央网信办、工信部、公安部、市场监管总局指导成立App违法违规收集使用个人信息专项治理工作组以来,组织开展的App收集使用个人信息评估工作取得阶段性进展。截至4月16日,举报信息超过3480条,涉及1300多款App。
●建议加快立法进度,立法层面加大对违规App的打击力度;常态化公布App违规收集个人信息的典型案例,对其他企业起到警示作用;站在维护国家网络安全的高度,推进网络安全建设,重视对App非法收集个人信息的治理。
□ 法制日报全媒体记者 侯建斌
时至今日,“社保掌上通”App遭下架已一月有余。
“当用户通过该App查询个人社保信息时,用户信息会被同步发送至一家大数据公司的服务器。”此前,因存在违规违法收集个人信息问题,“社保掌上通”App成为众矢之的。
更让不少人心有余悸的是,当用户使用这款App时,被默认同意一份授权协议,如“您在此充分地、有效地、不可撤销地、明示同意并授权我们使用您的社保账户密码为您提供服务”,以及“在遵循本协议的条件下,对您的信息进行采集、分析、处理和模拟您登录人行征信、学信网、社保、公积金、运营商网站等获取您的个人信息”等条款。
在互联网消费时代,类似的情形并不鲜见。如今,这一现象有望受到遏制。近日,由中央网信办、工信部、公安部、市场监管总局指导成立的App专项治理工作组,起草了《App违法违规收集使用个人信息行为认定方法(征求意见稿)》(以下简称《认定方法》),将“未经同意收集使用个人信息行为”纳入规制范围。
中国信息安全研究院副院长左晓栋告诉《法制日报》记者,网络安全法对保护个人信息的规定较为原则,尽管《个人信息安全规范》细化了法律的要求,但从实践看,仍有大量App在打法律擦边球。因此,及时出台《认定方法》,明确违规App行为的具体认定标准,有助于网络安全法的相关要求真正落地并见实效。
过度收集乱象触目惊心
消费者在享受移动互联网带来的便利时,个人隐私信息泄露、盗用、贩卖事件屡屡发生。
2018年8月29日,中国消费者协会发布的《App个人信息泄露情况调查报告》显示,超八成受访者曾遭遇个人信息泄露。其中,经营者未经授权收集个人信息和故意泄露信息是造成消费者个人信息泄露的主要途径。
据统计,个人信息泄露后遭遇推销电话或短信骚扰的占比最高,高达86.5%,接到诈骗电话的占比75.0%,收到垃圾邮件的占比63.4%。
随后中消协发布的另一份报告更触目惊心。2018年11月28日,中消协发布《100款App个人信息收集与隐私政策测评报告》,100款中多达91款存在过度收集用户个人信息。
近日,App专项治理工作组就《认定方法》公开征求意见,意在为App运营者自查自纠提供指引,为App评估和处置提供参考。
北京师范大学互联网发展研究院院长助理、中国互联网协会研究中心秘书长吴沈括教授告诉记者,《认定方法》的出台,使得监管部门可有针对性地对App违规行为予以治理,也为平衡技术发展与个人信息安全问题提供了有效依据。
新规有望弥补治理短板
记者注意到,《认定方法》将App违法违规收集使用个人信息共分为7种情形。没有公开收集使用规则;没有明示收集使用个人信息的目的、方式和范围;未经同意收集使用个人信息等情形均出现在《认定方法》中。
App没有隐私政策、用户协议,App安装、使用等过程中均未通过弹窗、链接等方式提示用户阅读隐私政策,均被纳入违法违规行为。
“可以说,《认定方法》对App隐私政策的规定非常细致。”令吴沈括欣慰的是,《认定方法》对隐私政策的内容设定、访问形式等都作了明确要求,这意味着隐私政策不再是徒有其表的虚设,用户对App中的收集行为更加明确,有利于增强其对网络空间的信心。
此外,《认定方法》明确规定何为App违法违规收集个人信息,对App服务提供者而言,明晰了过度采集行为及其应当的责任范围,甚至让其意识到公民个人信息保护的重要性。
“《认定方法》的出台,在一定意义上,弥补了对App治理的短板。”在吴沈括看来,尽管我国个人信息管理体系以及技术标准等逐渐完备,但对于App违法违规收集个人信息的行为并未有专项规定予以规制,而《认定方法》着重加强了对App的管制,一定程度上也有利于该行业的有序健康发展。
“《认定方法》将有利于促进网络健康有序发展。”对此,中国社科院国家文化安全与意识形态建设研究中心副主任兼秘书长朱继东十分认同。他告诉记者,对有关部门而言,对认定某个App是否构成非法收集个人信息行为,有了科学依据;对广大App用户而言,可以清晰了解App是否在违规收集个人信息,可以有针对性地利用这些维护自己的权益,同向有关部门举报。
让朱继东担忧的是,实践中这些认定可能存在难点。“个别App会钻法律的空子,比如用户如果不同意隐私政策,则拒绝正常使用,逼迫用户同意不合理的隐私政策,而且难以留存证据。”朱继东坦言,仅仅依靠认定办法,还难以对个人信息保护问题进行周延性保护,后续需要将办法上升到法律层面,严厉打击违规App的非法收集行为。
打击常遇无法可依情形
始于今年1月的App违法违规收集使用个人信息专项治理已有4个月有余,在推进此项专项治理中是否还存在一些短板?
吴沈括非常关注专项治理中开展自愿性App个人信息安全认证的内容。他认为,自愿性App个人信息安全认证实际效果有待验证。对大部分App服务提供者而言,在尚未确定该行为的最大利益时,主动实行安全认证积极性并不高。为此,吴沈括建议,采取鼓励措施,以实际利益等提高服务提供者的积极性。
据悉,中央网信办、工信部、公安部、市场监管总局指导成立App违法违规收集使用个人信息专项治理工作组以来,组织开展的App收集使用个人信息评估工作取得阶段性进展。
截至4月16日,举报信息超过3480条,涉及1300余款App。对于30款用户量大、问题严重的App,工作组已向其运营者发送了整改通知。
在左晓栋看来,这种整改效果不容乐观。“专项治理开展后,有些App确实按照要求进行了整改,隐私政策也做了重新修订,但违法违规收集个人信息方式更加隐蔽。”
左晓栋举例说,按照要求,App需要明示收集使用个人信息的目的、方式和范围,许多App把使用范围扩大至公司及关联企业,究竟哪些属于关联企业,往往没有明示。依照现有规定,又很难界定其是否违规。
朱继东同样认为,专项治理工作存在一些难点。比如在打击App违规收集行为中,经常出现依据比较模糊或是难以找到相应的法律依据,甚至是无法可依情形,对非法收集个人信息的相关规定有待进一步细化。
为此,朱继东建议:一要加快立法进度,立法层面加大对违规App的打击力度;二要常态化公布App违规收集个人信息的典型案例,对其他企业起到警示作用;三要站在维护国家网络安全的高度,推进网络安全建设,重视对App非法收集个人信息的治理。