Sitemap: http://www.neweconorny.com/sitemap.xml
國家保密局網(wǎng)站>>政策法規>>理論思考

為個(gè)人信息安全治理扎緊制度的籠子

2020年03月18日    來(lái)源:指導管理司【字體: 打印

作為互聯(lián)網(wǎng)大國,我國在2012年迎來(lái)了移動(dòng)互聯(lián)網(wǎng)市場(chǎng)的爆發(fā)式增長(cháng)。據中國互聯(lián)網(wǎng)絡(luò )信息中心發(fā)布的統計報告,2012年12月底,手機就已成為我國第一上網(wǎng)終端,且網(wǎng)民比例持續上升。移動(dòng)互聯(lián)網(wǎng)應用程序在促進(jìn)經(jīng)濟社會(huì )發(fā)展、服務(wù)民生等發(fā)面發(fā)揮了不可替代的作用,但其違法違規收集使用個(gè)人信息的問(wèn)題也日益突出,加大治理力度成為國家網(wǎng)信部門(mén)的重要關(guān)切。

為構建清朗網(wǎng)絡(luò )空間出擊

黨的十八大以來(lái),面對國內外網(wǎng)絡(luò )安全和信息化發(fā)展的復雜形勢,黨中央審時(shí)度勢,推動(dòng)互聯(lián)網(wǎng)管理領(lǐng)導體制改革,成立中央網(wǎng)絡(luò )安全和信息化領(lǐng)導小組,統籌協(xié)調政治、經(jīng)濟、軍事、文化等領(lǐng)域網(wǎng)絡(luò )安全和信息化重大問(wèn)題,網(wǎng)信工作的總體框架基本確立。近年來(lái),國家網(wǎng)信部門(mén)除了在整體上構建網(wǎng)絡(luò )安全基本制度外,也著(zhù)力于移動(dòng)互聯(lián)網(wǎng)領(lǐng)域的監管,助力保障公民個(gè)人信息安全。

2016年,國家互聯(lián)網(wǎng)信息辦公室發(fā)布《移動(dòng)互聯(lián)網(wǎng)應用程序信息服務(wù)管理規定》,明確移動(dòng)互聯(lián)網(wǎng)應用程序提供者的信息安全責任和互聯(lián)網(wǎng)應用商店作為服務(wù)提供者的管理職責。針對前者,要求其建立健全用戶(hù)信息安全保護機制,依法保障用戶(hù)知情權和選擇權;針對后者,要求其督促移動(dòng)互聯(lián)網(wǎng)應用程序提供者保護用戶(hù)個(gè)人信息。

緊接著(zhù),為落實(shí)網(wǎng)絡(luò )安全法有關(guān)用戶(hù)信息保護制度的各項要求,2017年,中央網(wǎng)信辦、工信部、公安部、國家標準委聯(lián)合啟動(dòng)個(gè)人信息保護提升行動(dòng)之“隱私條款專(zhuān)項工作”,分批選取重點(diǎn)網(wǎng)絡(luò )產(chǎn)品和服務(wù),分析評審其隱私條款、展示方式、征得用戶(hù)同意等內容,強化對個(gè)人信息收集環(huán)節的管控。

2019年,針對移動(dòng)互聯(lián)網(wǎng)應用程序強制授權、過(guò)度索權、超范圍收集個(gè)人信息等問(wèn)題,中央網(wǎng)信辦、工信部、公安部、市場(chǎng)監管總局等4部門(mén)聯(lián)合發(fā)布公告,決定開(kāi)展App違法違規收集使用個(gè)人信息專(zhuān)項治理,涵蓋App隱私政策和個(gè)人信息收集使用情況評估、違法違規行為監管處罰、侵犯公民個(gè)人信息違法犯罪行為打擊、App個(gè)人信息安全認證制度等方面。此次行動(dòng)完成了近千款用戶(hù)數量大、與民眾生活密切相關(guān)的App隱私政策和個(gè)人信息收集使用評估工作。相較于以往的個(gè)人信息保護行動(dòng),參評App范圍更廣、評估更深入、治理更加體系化。

推進(jìn)個(gè)人信息科學(xué)治理

不久前,中央網(wǎng)信辦、工信部、公安部、市場(chǎng)監管總局等4部門(mén)立足于A(yíng)pp個(gè)人信息安全治理監管及執法實(shí)踐的需求,聯(lián)合發(fā)布《App違法違規收集使用個(gè)人信息行為認定方法》(以下簡(jiǎn)稱(chēng)《認定方法》)。

《認定方法》結合專(zhuān)項治理行動(dòng)中發(fā)現的App隱私政策和收集使用個(gè)人信息存在的典型問(wèn)題,對網(wǎng)絡(luò )安全法、消費者權益保護法等法律法規中的不確定概念加以解釋?zhuān)鞔_App違法違規收集使用個(gè)人信息行為的具體表現形式,涵蓋未公開(kāi)收集使用規則,未明示收集使用個(gè)人信息的目的、方式和范圍,未經(jīng)用戶(hù)同意收集使用個(gè)人信息,違反必要原則收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人信息,未經(jīng)同意向他人提供個(gè)人信息,未按法律規定提供刪除或更正個(gè)人信息功能或未公布投訴、舉報方式等共6大類(lèi)行為的判定標準,為相關(guān)監管和執法工作提供了參考,是我國移動(dòng)互聯(lián)網(wǎng)領(lǐng)域個(gè)人信息科學(xué)治理的重要成果。

1.細化“告知—同意”模式具體要求

“告知—同意”模式為國際通行的個(gè)人信息保護路徑,我國網(wǎng)絡(luò )安全法在第四十一條也予以明確。其中,針對“公開(kāi)收集使用規則”,《認定方法》具體落實(shí)為App隱私政策的相關(guān)要求,包括隱私政策的展示時(shí)間與形式,是否完整、是否易于訪(fǎng)問(wèn)、是否便于閱讀理解等。

針對“明示收集使用個(gè)人信息的目的、方式和范圍”,《認定方法》著(zhù)重對常見(jiàn)的軟件開(kāi)發(fā)工具隱瞞收集個(gè)人信息、App權限申請及收集個(gè)人敏感信息等問(wèn)題加以規范。例如,《認定方法》明確App運營(yíng)者應當向用戶(hù)明示其所嵌入的第三方代碼、插件收集使用個(gè)人信息的目的、方式和范圍;針對App申請收集用戶(hù)個(gè)人敏感信息,要求App運營(yíng)者應當同步告知用戶(hù)其目的,并且要明確、易于理解。

針對“經(jīng)被收集者同意”原則,《認定方法》圍繞用戶(hù)授權時(shí)間、授權范圍、授權方式等加以細化,用戶(hù)拒絕后仍頻繁征求用戶(hù)同意,超出或私自更改用戶(hù)權限范圍等行為被列為違規。如實(shí)踐中,App安裝后未經(jīng)用戶(hù)同意就收集設備地址、應用程序列表等個(gè)人信息,或每次啟動(dòng)App仍會(huì )索要用戶(hù)之前已明確拒絕提供的系統權限等。

2.細化必要原則的要求

我國網(wǎng)絡(luò )安全法明確規定,網(wǎng)絡(luò )運營(yíng)者收集使用個(gè)人信息應當遵循合法、正當、必要原則。其中,針對必要原則,《認定方法》從3個(gè)維度予以細化。

其一,《認定方法》要求App收集個(gè)人信息的類(lèi)型,或申請打開(kāi)收集個(gè)人信息的權限應當為現有業(yè)務(wù)功能所必需,如僅以改善服務(wù)質(zhì)量、提升用戶(hù)體驗、定向推送信息、研發(fā)新產(chǎn)品等為由,強制用戶(hù)授權,則不屬于必要性的范疇。其二,用戶(hù)授權不應當通過(guò)捆綁或一攬子授權等方式獲取,如用戶(hù)不同意收集非必要個(gè)人信息或打開(kāi)非必要權限,App就拒絕提供服務(wù)功能,或者要求用戶(hù)一次性同意打開(kāi)多個(gè)可收集個(gè)人信息的權限,用戶(hù)不同意則無(wú)法使用,均屬于強制用戶(hù)授權的情形。其三,App收集用戶(hù)個(gè)人信息頻次也應當以業(yè)務(wù)功能實(shí)際需要為限。

3.細化向他人提供個(gè)人信息的要求

網(wǎng)絡(luò )安全法第四十二條規定,未經(jīng)被收集者同意,不得向他人提供個(gè)人信息,但經(jīng)過(guò)處理無(wú)法識別特定個(gè)人且不能復原的信息除外。

實(shí)踐中,App運營(yíng)者基于產(chǎn)品功能實(shí)現、廣告推送等目的,或需要與第三方進(jìn)行數據交互。對此,《認定方法》明確App客戶(hù)端或后臺服務(wù)器,以及嵌入的第三方代碼、插件向第三方提供個(gè)人信息時(shí),均應征得用戶(hù)同意或進(jìn)行匿名化處理。對于A(yíng)pp接入第三方應用的情形,也需要征得用戶(hù)同意,方可向第三方應用提供個(gè)人信息。

4.細化用戶(hù)權利保障的要求

網(wǎng)絡(luò )安全法第四十三條指出,個(gè)人發(fā)現網(wǎng)絡(luò )運營(yíng)者違反法律法規或雙方約定,收集、使用個(gè)人信息的,有權要求其刪除;發(fā)現網(wǎng)絡(luò )運營(yíng)者收集、存儲個(gè)人信息有誤的,有權要求其更正。第四十九條還明確網(wǎng)絡(luò )運營(yíng)者應當建立網(wǎng)絡(luò )信息安全投訴、舉報制度,并及時(shí)受理和處理。

圍繞用戶(hù)權利保障,《認定方法》進(jìn)一步從更正、刪除個(gè)人信息或注銷(xiāo)相關(guān)功能,是否設置不必要或不合理條件,App運營(yíng)者的響應時(shí)限,以及是否在A(yíng)pp后臺實(shí)際貫徹執行等提出了判定標準。

互聯(lián)網(wǎng)不是法外之地,在發(fā)揮信息化驅動(dòng)引領(lǐng)作用的同時(shí),也需要堅持與依法管理相統一。期待國家網(wǎng)信部門(mén)持續發(fā)揮統籌協(xié)調作用,與相關(guān)主管部門(mén)密切配合,強化數據安全管理,提升民眾在網(wǎng)絡(luò )空間的獲得感、幸福感、安全感。

 

(轉載自《保密工作》雜志2020年第2期)