针对移动互联网应用程序(App)强制授权、过度索权、超范围收集个人信息的违法违规现象,2019年中央网信办、工业和信息化部、公安部、市场监管总局四部门联合开展专项治理行动,取得了显著成效。但是,在实践中对具体如何认定App收集使用个人信息构成违法违规,还缺少比较明确的规则和指引。此次四部门正式发布的《App违法违规收集使用个人信息行为认定方法》(以下简称“《认定方法》”),从六个方面对主要违法违规情形做出具体规定,既填补了操作规则上的空白,也可以为App运营者自查自纠提供指引,为App评估和处置提供参考。
针对移动互联网应用程序(App)强制授权、过度索权、超范围收集个人信息的违法违规现象,2019年中央网信办、工业和信息化部、公安部、市场监管总局四部门联合开展专项治理行动,取得了显著成效。但是,在实践中对具体如何认定App收集使用个人信息构成违法违规,还缺少比较明确的规则和指引。此次四部门正式发布的《App违法违规收集使用个人信息行为认定方法》(以下简称“《认定方法》”),从六个方面对主要违法违规情形做出具体规定,既填补了操作规则上的空白,也可以为App运营者自查自纠提供指引,为App评估和处置提供参考。
个人信息保护科学治理的重要成果
《认定方法》把握App收集、使用个人信息规律,针对违法违规重点环节、突出问题科学做出规定。对比2019年5月份发布的征求意见稿,最终发布的《认定方法》更加严谨。
第一,在内容上更加聚焦治理重点,针对有广泛共识和显著危害性的App收集使用个人信息行为,把认定范围从全情形列举,调整为围绕典型违法违规行为的举例列举。
第二,在表述上更加准确,由于《认定方法》仅供执法部门提供参考,所列举的行为“可被认定”违法违规;具体的违法违规认定还要由执法部门根据情节、后果等情形最终做出判断。
第三,在必要的合规要求上更加具体,如:明确隐私政策必须提供简体中文版,App委托第三方或嵌入第三方代码插件收集使用个人信息目的、方式、范围也要逐一列出,不得以欺诈、诱骗等不正当方式取得用户授权同意,不得因不同意收集非必要个人信息或打开非必要权限而拒绝提供业务功能,App接入第三方应用经用户同意后才可以向第三方提供个人信息,App响应用户更正、删除个人信息及注销功能承诺时限不得超过15个工作日。
个人信息保护综合治理的重要突破
出台《认定方法》是四部门专项治理工作的一部分,更是实施《网络安全法》等法律法规的重要方式,也可以为正在进行中的网络信息立法工作提供有益借鉴。
第一,《认定方法》落实“网络综合治理”要求,明确App违法违规收集使用个人信息的主要情形,可以为监督执法提供参考,也可以为企业履责合规指明方向,为网民社会监督提供依据,助力形成多主体参与网络治理的“综合治网格局”。
第二,《认定方法》是监管推动立规的重要成果,通过总结一段时期以来个人信息保护专项治理的经验举措,把法律法规的一般要求细化为更具可操作性的规范,让法律法规更好落地,有利于进一步提升法律法规的实施效果。
第三,《认定方法》充分注意并考虑个人信息收集使用在移动互联网时代的技术特点,精准识别和重点标注出有社会危害性的收集使用个人信息行为,有利于提高网络治理的有效性。当前推进《个人信息保护法》《数据安全法》等网络信息领域重点立法,也应借鉴这一思路,深刻把握互联网规律、运用互联网思维,在构建抽象的法律原则框架下,针对网络信息活动不同环节,有的放矢、重点突破,设计科学、有效和可操作的法律规则。(作者:周辉,中国社会科学院法学研究所助理研究员)