侵害用戶權(quán)益過度索取權(quán)限 如何強(qiáng)化App個(gè)人信息保護(hù)

　　一百零五款A(yù)pp違法違規(guī)收集使用個(gè)人信息情況被通報(bào)

　　拿什么強(qiáng)化App個(gè)人信息保護(hù)

　　本報(bào)記者 趙晨熙

　　喜歡聽演唱會(huì)的人對(duì)大麥App都不陌生，近日，這個(gè)“票務(wù)專家”卻被下架了，原因是侵害用戶權(quán)益，違規(guī)收集個(gè)人信息，App強(qiáng)制、頻繁、過度索取權(quán)限等。

　　5月21日，國家互聯(lián)網(wǎng)信息辦公室對(duì)105款A(yù)pp違法違規(guī)收集使用個(gè)人信息情況進(jìn)行了通報(bào)。通報(bào)要求，針對(duì)檢測(cè)發(fā)現(xiàn)的問題，相關(guān)App運(yùn)營者應(yīng)當(dāng)于本通報(bào)發(fā)布之日起15個(gè)工作日內(nèi)完成整改。

　　為加強(qiáng)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(App)個(gè)人信息保護(hù)，規(guī)范App個(gè)人信息處理活動(dòng)，在國家互聯(lián)網(wǎng)信息辦公室的統(tǒng)籌指導(dǎo)下，工業(yè)和信息化部會(huì)同公安部、市場(chǎng)監(jiān)管總局起草了《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序個(gè)人信息保護(hù)管理暫行規(guī)定(征求意見稿)》向社會(huì)公開征求意見。

　　征求意見稿共20條，界定了適用范圍和監(jiān)管主體；確立了“知情同意”“最小必要”兩項(xiàng)重要原則；細(xì)化了App開發(fā)運(yùn)營者、分發(fā)平臺(tái)、第三方服務(wù)提供者、終端生產(chǎn)企業(yè)、網(wǎng)絡(luò)接入服務(wù)提供者五類主體責(zé)任義務(wù)；提出了投訴舉報(bào)、監(jiān)督檢查、處置措施、風(fēng)險(xiǎn)提示等四方面規(guī)范要求。

　　網(wǎng)經(jīng)社電子商務(wù)研究中心特約研究員趙占領(lǐng)在接受《法治日?qǐng)?bào)》記者采訪時(shí)表示，App收集個(gè)人信息的問題已是老生常談，涉及相關(guān)內(nèi)容的法律規(guī)范也較多，此次征求意見稿是專門針對(duì)App處理個(gè)人信息的專項(xiàng)規(guī)定，將近年來成熟的經(jīng)驗(yàn)做法和管理措施轉(zhuǎn)換為制度性規(guī)范文件，從全鏈條、全主體、全流程的角度全面強(qiáng)化了對(duì)App個(gè)人信息保護(hù)的管理。

　　明確“知情同意”“最小必要”原則

　　是否允許授權(quán)打開相冊(cè)、是否允許授權(quán)打開通訊錄、是否允許開啟定位……如今在使用一款A(yù)pp的時(shí)候，人們似乎已經(jīng)習(xí)慣了“默認(rèn)”平臺(tái)方的這些授權(quán)要求，畢竟如果點(diǎn)擊關(guān)閉或拒絕，可能面臨無法正常使用服務(wù)，甚至App直接閃退的情況。有些App更是“貼心”地為用戶自動(dòng)選擇了默認(rèn)勾選，在看似便利中輕易獲得了用戶的各類個(gè)人信息。

　　在北京德恒律師事務(wù)所合伙人張韜看來，用戶無奈地“默許”恰恰體現(xiàn)了App在處理用戶個(gè)人信息上存在諸多問題。

　　App為了向用戶提供相關(guān)服務(wù)，在告知并取得用戶同意等合法前提下收集必要的個(gè)人相關(guān)信息是合理的，但當(dāng)前部分App運(yùn)營者存在“過度索權(quán)”“超范圍索取”以及未經(jīng)用戶同意“非法獲取”，甚至“非法出售”用戶個(gè)人信息的問題。

　　趙占領(lǐng)曾接觸過多起App違規(guī)收集用戶個(gè)人信息的案件，他發(fā)現(xiàn)當(dāng)前比較常見的違規(guī)方式有兩種：一是收集用戶的個(gè)人信息與所要提供的業(yè)務(wù)沒有必要的關(guān)聯(lián)性，即超范圍收集用戶個(gè)人信息；二是用戶如果不同意App收集用戶個(gè)人信息的要求，App則不向用戶提供相關(guān)的產(chǎn)品或服務(wù)，以這種方式強(qiáng)迫用戶同意App收集個(gè)人信息。

　　針對(duì)這些問題，此次征求意見稿明確，從事App個(gè)人信息處理活動(dòng)的，應(yīng)遵循“知情同意”“最小必要”兩項(xiàng)重要原則，同時(shí)，征求意見稿特別指出，應(yīng)當(dāng)采取非默認(rèn)勾選的方式征得用戶同意。

　　“知情同意”要求從事App個(gè)人信息處理活動(dòng)的，應(yīng)當(dāng)以清晰易懂的語言告知用戶個(gè)人信息處理規(guī)則，由用戶在充分知情的前提下，作出自愿、明確的意思表示；“最小必要”則要求從事App個(gè)人信息處理活動(dòng)的，應(yīng)當(dāng)具有明確、合理的目的，并遵循最小必要原則，不得從事超出用戶同意范圍或者與服務(wù)場(chǎng)景無關(guān)的個(gè)人信息處理活動(dòng)。

　　范圍廣懲處嚴(yán)

　　此次征求意見稿給趙占領(lǐng)的第一感覺是范圍廣、懲處嚴(yán)。

　　“廣”體現(xiàn)在全方位對(duì)App涉及的各方主體責(zé)任與義務(wù)進(jìn)行明確與細(xì)化。這意味著，包括App開發(fā)運(yùn)營者、分發(fā)平臺(tái)、第三方服務(wù)提供者、移動(dòng)智能終端生產(chǎn)企業(yè)、網(wǎng)絡(luò)接入服務(wù)提供者在內(nèi)的各方主體都被納入個(gè)人信息保護(hù)的責(zé)任人范疇中。

　　“嚴(yán)”則體現(xiàn)在細(xì)化了違規(guī)處置流程和具體措施，明確從事個(gè)人信息處理活動(dòng)的有關(guān)主體違反要求的，依次按照通知整改、社會(huì)公告、下架處置、斷開接入、信用管理流程進(jìn)行處置，并明確具體時(shí)間期限要求。

　　征求意見稿特別提出，對(duì)未按要求完成整改或反復(fù)出現(xiàn)問題、采取技術(shù)對(duì)抗等違規(guī)情節(jié)嚴(yán)重的App，將對(duì)其進(jìn)行直接下架；且下架后的App在40個(gè)工作日內(nèi)不得通過任何渠道再次上架的管理要求。

　　在中央財(cái)經(jīng)大學(xué)中國互聯(lián)網(wǎng)經(jīng)濟(jì)研究院副院長歐陽日輝看來，一些App平臺(tái)之所以“肆無忌憚”，是因?yàn)檫`法違規(guī)成本過低，尤其是對(duì)于一些尚未形成聲譽(yù)的中小平臺(tái)而言，規(guī)范對(duì)它們的約束力會(huì)更小。

　　征求意見稿中“對(duì)相應(yīng)違規(guī)主體，可納入信用管理，實(shí)施聯(lián)合懲戒”的規(guī)定引起了歐陽日輝的注意，他認(rèn)為這一規(guī)定將對(duì)違規(guī)者起到極大的震懾作用，將違規(guī)者納入信用管理以后，對(duì)其實(shí)施聯(lián)合懲戒，同時(shí)還應(yīng)考慮采取禁止市場(chǎng)準(zhǔn)入的方式，這對(duì)違規(guī)者能起到很大的震懾作用。

　　針對(duì)“累犯”，征求意見稿給予了最高可禁入的懲處。征求意見稿第十七條規(guī)定，對(duì)整改反復(fù)出現(xiàn)問題的App及其開發(fā)運(yùn)營者開發(fā)的相關(guān)App，監(jiān)督管理部門可以指導(dǎo)組織App分發(fā)平臺(tái)和移動(dòng)智能終端生產(chǎn)企業(yè)在集成、分發(fā)、預(yù)置和安裝等環(huán)節(jié)進(jìn)行風(fēng)險(xiǎn)提示，情節(jié)嚴(yán)重的采取禁入措施。

　　從嚴(yán)規(guī)范App對(duì)外提供個(gè)人信息

　　個(gè)人信息泄露是詐騙成功實(shí)施的關(guān)鍵因素，而個(gè)人信息泄露的一大源頭就是App。

　　張韜注意到，征求意見稿在規(guī)范App使用個(gè)人信息的同時(shí)，對(duì)App對(duì)外提供個(gè)人信息作出了從嚴(yán)規(guī)范。

　　征求意見稿第六條規(guī)定，需要向本App以外的第三方提供個(gè)人信息的，應(yīng)當(dāng)向用戶告知其身份信息、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類等事項(xiàng)，并取得用戶同意。

　　相比既有法律規(guī)定，此前均未明確要求App要向用戶告知第三方的身份信息、聯(lián)系方式等事項(xiàng)。比如，網(wǎng)絡(luò)安全法第四十二條規(guī)定，未經(jīng)被收集者同意，網(wǎng)絡(luò)運(yùn)營者不得向他人提供個(gè)人信息。

　　“征求意見稿對(duì)此作出了更為詳盡的規(guī)定，充分保障了用戶的知情權(quán)�！睆堩w說。

　　不過，在中倫律師事務(wù)所合伙人劉新宇看來，這一規(guī)定的可行性仍需探討。在實(shí)踐中，很多App對(duì)外提供個(gè)人信息涉及的第三方主體較多，而且這些第三方主體也并非一成不變，有的變化頻率較高，這些因素都加劇了告知第三方身份信息、聯(lián)系方式的難度。

　　與個(gè)人信息保護(hù)法相銜接

　　不論是網(wǎng)絡(luò)安全法，還是電子商務(wù)法，近年來，我國對(duì)于網(wǎng)絡(luò)個(gè)人信息保護(hù)的力度持續(xù)加強(qiáng)。僅針對(duì)App收集使用個(gè)人信息，近兩年便出臺(tái)了多份規(guī)范。

　　不僅如此，與個(gè)人信息保護(hù)更為直接相關(guān)的個(gè)人信息保護(hù)法草案也正在審議中。

　　張韜注意到，征求意見稿中的很多規(guī)定都與個(gè)人信息保護(hù)法草案相呼應(yīng)。比如，“敏感個(gè)人信息”一詞首次出現(xiàn)于個(gè)人信息保護(hù)法草案第二十九條中，征求意見稿第六條第六項(xiàng)要求處理敏感個(gè)人信息應(yīng)單獨(dú)告知并取得同意，沿用了個(gè)人信息保護(hù)法草案的規(guī)定，對(duì)敏感個(gè)人信息的列舉也保持一致。

　　此外，征求意見稿的相關(guān)內(nèi)容與個(gè)人信息保護(hù)法草案在立法精神、原則等方面也是基本一致的，包括“告知—同意原則”“最小必要原則”等。

　　在張韜看來，征求意見稿第二條指出“法律、行政法規(guī)對(duì)個(gè)人信息處理活動(dòng)另有規(guī)定的，適用其規(guī)定”，這為征求意見稿與個(gè)人信息保護(hù)法未來的銜接預(yù)留了充足和必要的空間。