為個人信息安全治理扎緊制度的籠子

作為互聯網大國，我國在2012年迎來了移動互聯網市場的爆發式增長。據中國互聯網絡信息中心發布的統計報告，2012年12月底，手機就已成為我國第一上網終端，且網民比例持續上升。移動互聯網應用程序在促進經濟社會發展、服務民生等發面發揮了不可替代的作用，但其違法違規收集使用個人信息的問題也日益突出，加大治理力度成為國家網信部門的重要關切。

為構建清朗網絡空間出擊

黨的十八大以來，面對國內外網絡安全和信息化發展的復雜形勢，黨中央審時度勢，推動互聯網管理領導體制改革，成立中央網絡安全和信息化領導小組，統籌協調政治、經濟、軍事、文化等領域網絡安全和信息化重大問題，網信工作的總體框架基本確立。近年來，國家網信部門除了在整體上構建網絡安全基本制度外，也著力于移動互聯網領域的監管，助力保障公民個人信息安全。

2016年，國家互聯網信息辦公室發布《移動互聯網應用程序信息服務管理規定》，明確移動互聯網應用程序提供者的信息安全責任和互聯網應用商店作為服務提供者的管理職責。針對前者，要求其建立健全用戶信息安全保護機制，依法保障用戶知情權和選擇權；針對后者，要求其督促移動互聯網應用程序提供者保護用戶個人信息。

緊接著，為落實網絡安全法有關用戶信息保護制度的各項要求，2017年，中央網信辦、工信部、公安部、國家標準委聯合啟動個人信息保護提升行動之“隱私條款專項工作”，分批選取重點網絡產品和服務，分析評審其隱私條款、展示方式、征得用戶同意等內容，強化對個人信息收集環節的管控。

2019年，針對移動互聯網應用程序強制授權、過度索權、超范圍收集個人信息等問題，中央網信辦、工信部、公安部、市場監管總局等4部門聯合發布公告，決定開展App違法違規收集使用個人信息專項治理，涵蓋App隱私政策和個人信息收集使用情況評估、違法違規行為監管處罰、侵犯公民個人信息違法犯罪行為打擊、App個人信息安全認證制度等方面。此次行動完成了近千款用戶數量大、與民眾生活密切相關的App隱私政策和個人信息收集使用評估工作。相較于以往的個人信息保護行動，參評App范圍更廣、評估更深入、治理更加體系化。

推進個人信息科學治理

不久前，中央網信辦、工信部、公安部、市場監管總局等4部門立足于App個人信息安全治理監管及執法實踐的需求，聯合發布《App違法違規收集使用個人信息行為認定方法》（以下簡稱《認定方法》）。

《認定方法》結合專項治理行動中發現的App隱私政策和收集使用個人信息存在的典型問題，對網絡安全法、消費者權益保護法等法律法規中的不確定概念加以解釋，明確App違法違規收集使用個人信息行為的具體表現形式，涵蓋未公開收集使用規則，未明示收集使用個人信息的目的、方式和范圍，未經用戶同意收集使用個人信息，違反必要原則收集與其提供的服務無關的個人信息，未經同意向他人提供個人信息，未按法律規定提供刪除或更正個人信息功能或未公布投訴、舉報方式等共6大類行為的判定標準，為相關監管和執法工作提供了參考，是我國移動互聯網領域個人信息科學治理的重要成果。

1．細化“告知—同意”模式具體要求

“告知—同意”模式為國際通行的個人信息保護路徑，我國網絡安全法在第四十一條也予以明確。其中，針對“公開收集使用規則”，《認定方法》具體落實為App隱私政策的相關要求，包括隱私政策的展示時間與形式，是否完整、是否易于訪問、是否便于閱讀理解等。

針對“明示收集使用個人信息的目的、方式和范圍”，《認定方法》著重對常見的軟件開發工具隱瞞收集個人信息、App權限申請及收集個人敏感信息等問題加以規范。例如，《認定方法》明確App運營者應當向用戶明示其所嵌入的第三方代碼、插件收集使用個人信息的目的、方式和范圍；針對App申請收集用戶個人敏感信息，要求App運營者應當同步告知用戶其目的，并且要明確、易于理解。

針對“經被收集者同意”原則，《認定方法》圍繞用戶授權時間、授權范圍、授權方式等加以細化，用戶拒絕后仍頻繁征求用戶同意，超出或私自更改用戶權限范圍等行為被列為違規。如實踐中，App安裝后未經用戶同意就收集設備地址、應用程序列表等個人信息，或每次啟動App仍會索要用戶之前已明確拒絕提供的系統權限等。

2．細化必要原則的要求

我國網絡安全法明確規定，網絡運營者收集使用個人信息應當遵循合法、正當、必要原則。其中，針對必要原則，《認定方法》從3個維度予以細化。

其一，《認定方法》要求App收集個人信息的類型，或申請打開收集個人信息的權限應當為現有業務功能所必需，如僅以改善服務質量、提升用戶體驗、定向推送信息、研發新產品等為由，強制用戶授權，則不屬于必要性的范疇。其二，用戶授權不應當通過捆綁或一攬子授權等方式獲取，如用戶不同意收集非必要個人信息或打開非必要權限，App就拒絕提供服務功能，或者要求用戶一次性同意打開多個可收集個人信息的權限，用戶不同意則無法使用，均屬于強制用戶授權的情形。其三，App收集用戶個人信息頻次也應當以業務功能實際需要為限。

3.細化向他人提供個人信息的要求

網絡安全法第四十二條規定，未經被收集者同意，不得向他人提供個人信息，但經過處理無法識別特定個人且不能復原的信息除外。

實踐中，App運營者基于產品功能實現、廣告推送等目的，或需要與第三方進行數據交互。對此，《認定方法》明確App客戶端或后臺服務器，以及嵌入的第三方代碼、插件向第三方提供個人信息時，均應征得用戶同意或進行匿名化處理。對于App接入第三方應用的情形，也需要征得用戶同意，方可向第三方應用提供個人信息。

4.細化用戶權利保障的要求

網絡安全法第四十三條指出，個人發現網絡運營者違反法律法規或雙方約定，收集、使用個人信息的，有權要求其刪除；發現網絡運營者收集、存儲個人信息有誤的，有權要求其更正。第四十九條還明確網絡運營者應當建立網絡信息安全投訴、舉報制度，并及時受理和處理。

圍繞用戶權利保障，《認定方法》進一步從更正、刪除個人信息或注銷相關功能，是否設置不必要或不合理條件，App運營者的響應時限，以及是否在App后臺實際貫徹執行等提出了判定標準。

互聯網不是法外之地，在發揮信息化驅動引領作用的同時，也需要堅持與依法管理相統一。期待國家網信部門持續發揮統籌協調作用，與相關主管部門密切配合，強化數據安全管理，提升民眾在網絡空間的獲得感、幸福感、安全感。

（轉載自《保密工作》雜志2020年第2期）