2021年,注定要被载入史册。
这一年,个人信息保护法正式出台。这是我国第一部个人信息保护方面的专门法律。个人信息保护法的颁行极大加强了我国个人信息保护的法治保障,在个人信息保护方面形成了更加完备的制度、提供了更有力的法律保障。
这一年,为解决App过度收集个人信息,工信部等部门先后推出一系列举措,持续开展深化App侵害用户权益专项整治。
这一年,多部配套政策在路上:国家互联网信息办公室11月14日对外公布《网络数据安全管理条例(征求意见稿)》,明确不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。
……
北京航空航天大学法学院副教授赵精武认为,个人信息权益得到切实有效的制度保障,为信息产业明确了经营行为的合法性边界,个人信息保护法与国家安全法、网络安全法、民法典和数据安全法等法律法规共同构建起个人信息保护的法治堤坝。
提供全面体系化法律依据
2021年11月1日,《中华人民共和国个人信息保护法》正式施行,这标志着我国个人信息保护立法体系进入新的阶段。
这部专门法律明确,不得过度收集个人信息、大数据杀熟,对人脸信息等敏感个人信息的处理作出规制,充分回应了社会关切。
这意味着,个人面对非法收集和处理个人信息的侵权行为,能够获得更具体、更多样的救济方式,权利保障范围涵盖个人信息收集、存储、使用、加工、传输、提供、公开、删除等多个环节以及敏感个人信息处理、个人信息跨境提供等特定场景。
中国人民大学未来法治研究院副院长丁晓东认为,其规定涵盖了个人信息的范围以及个人信息从收集、存储到使用、加工、传输、提供、公开、删除等所有处理过程;明确赋予了个人对其信息控制的相关权利,并确认与个人权利相对应的个人信息处理者的义务及法律责任;对个人信息出境问题、个人信息保护的部门职责、相关法律责任进行了规定。
在赵精武看来,个人信息保护法的出台,为个人信息权益保护、信息处理者的义务以及主管机关的职权范围提供了全面的、体系化的法律依据。
不过,赵精武提醒,个人信息保护绝不能停留于纸面的权利宣誓与义务要求,更要重视之后法律实施过程中可能面临的新问题和新挑战,平衡个人信息权益与信息产业良性发展的双重诉求,个人信息保护还需要有效统筹协调立法、执法和司法三个环节,要让老百姓看得到、摸得着、感受得到真正的个人信息权益保护,推进个人信息保护工作的纵深发展。
完成176万款App技术检测
今年以来,App个人信息保护迎来新阶段。
2月5日,App个人信息保护监管座谈会在京召开。工信部要求,坚持问题导向,重点解决“麦克风权限滥用”“未经用户同意擅自读写相册”“过度索取通讯录”“隐藏个推关闭选项”等当前用户反映强烈的热点问题。
2021年4月,工信部对外公布《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》。规定明确,从事App个人信息处理活动的,应当以清晰易懂的语言告知用户个人信息处理规则,由用户在充分知情的前提下,作出自愿、明确的意思表示。在“最小必要”上,从事App个人信息处理活动的,应当具有明确、合理的目的,并遵循“最小必要”原则,不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。
此后,工信部陆续对外通报多批侵害用户权益行为的App,南方航空、春秋航空等App因超范围收集个人信息,App强制、频繁、过度索取权限,强制用户使用定向推送功能等被通报;格林、我行我宿、驴妈妈旅游等App因违规收集个人信息被通报。
工信部信息通信管理局局长赵志国指出,今年以来,工信部加大治理力度,开展一系列工作,取得明显成效。
一方面,坚持整治力度不减、节奏不变、要求不松,持续深化App侵害用户权益的专项整治,前三季度已经开展10批次集中检测,累计通报1494款违规App,下架408款拒不整改的App,对违规行为始终保持高压震慑。
另一方面,组织产业优势力量,建成并持续优化全国App技术检测平台,不断提升平台自动化检测能力、监测水平和数据分析能力。今年已完成176万款App技术检测,覆盖全国在架App总量的60%以上。
赵志国表示,工信部将认真贯彻落实个人信息保护法,制定配套的细化规定和标准,会同相关部门加快发布实施《移动互联网应用程序个人信息保护管理规定》,为App治理工作提供更加坚实的政策和标准保障。
同时,充分利用法律、行政、技术等监管手段,进一步加大整治力度。对于拒不整改、反复出现问题的企业将坚决予以下架处置,并进行行政处罚,纳入信用管理。
建立个人信息保护“双清单”
如何让个人信息保护法落地,相关部门持续发力。
11月初,工信部印发《关于开展信息通信服务感知提升行动的通知》(以下简称《通知》),决定从2021年11月至2022年3月,开展信息通信服务感知提升行动。《通知》要求建立个人信息保护“双清单”,即已收集个人信息清单和与第三方共享个人信息清单。
工信部有关负责人介绍,根据相关法律规定,此次专项行动要求相关企业(结合企业规模、用户体量,首批包含39家主要互联网企业)建立已收集个人信息清单和与第三方共享个人信息清单,并在App二级菜单中展示,方便用户查询。
《通知》要求相关企业简洁、清晰地列出App(包括内嵌第三方软件工具开发包SDK)已经收集到的用户个人信息基本情况,包括信息种类、使用目的、使用场景等。
为何建立与第三方共享个人信息清单,这位负责人介绍,使用第三方SDK及其他第三方服务,已经成为App开发、运行过程中常见的技术手段,其在帮助App功能服务快速实现的同时,也引发一些侵害用户权益的问题。
用户经常反映“在某一App上浏览、购买产品,而其他App会推送相关内容”,用户对个人信息被共享到何处不知情,容易造成恐慌。这位负责人坦言,为了让用户清晰掌握个人信息在App、SDK及其他第三方的共享情况,行动进一步要求企业在二级菜单中列出App与第三方共享的用户个人信息基本情况,包括与第三方共享的个人信息种类、使用目的、使用场景和共享方式等。
记者注意到,相关配套政策正在持续推出,8月27日,国家网信办公布《互联网信息服务算法推荐管理规定(征求意见稿)》,明确参与算法推荐服务安全评估和监督检查的相关机构和人员应当对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。
10月26日,国家网信办公布《互联网用户账号名称信息管理规定(征求意见稿)》,明确互联网用户账号服务平台应当采取必要措施,确保其收集、存储的个人信息及账号名称信息安全,防止未经授权的访问及信息泄露、篡改、丢失;未经互联网用户账号使用者授权同意,不得收集、存储、使用、加工、传输、提供或者公开个人信息及账号名称信息。不得非法买卖互联网用户账号名称信息。互联网用户账号使用者注销账号后,互联网用户账号服务平台应当依法删除其个人信息、账号名称信息。
11月14日,国家网信办对外公布《网络数据安全管理条例(征求意见稿)》,明确提出,数据处理者处理个人信息,应当具有明确、合理的目的,遵循合法、正当、必要的原则。数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。(记者 侯建斌)