[ 当前,APP信息超采、权限滥用等问题越来越频繁地被提及,这不仅是因为相关违法违规行为本身在增多,也是因为合规标准对APP个人信息处理活动参与者责任的明细化,使得原本存在的问题逐渐暴露出来。 ]
[ 2020年12月10日前,工信部完成覆盖40万款主流APP检测工作。 ]
当APP处于静默状态下,图片、音频等个人信息被无感知收集;关闭定位权限后,要求重新授权的弹窗频繁出现;在某APP平台购物付款时,付费方式连接的运营方也能收集到用户的购物信息,并被用以推送定制化广告……
作为个人信息处理的首要环节,“收集”是个人信息保护治理的关键。11月1日起,《个人信息保护法》(下称“个保法”)正式实施,其规定个人信息的收集遵循“最小范围”原则,即应当基于业务的处理目的收集必要信息,不得过度收集个人信息。
但在应用软件上,信息超采、权限滥用、数据外传等违规采集个人信息的现象依然频繁,这引起了相关监管部门的持续关注。
近日,工信部针对QQ音乐、小红书、豆瓣等38款APP,就超范围、高频次索取权限,非服务场景所必需收集用户个人信息等问题进行通告,并要求其定期整改。
随后,“优化权限调用”、 建立已收集个人信息清单和与第三方共享个人信息清单等被列入工信部从11月起开展的“信息通信服务感知提升行动”,以进一步推进APP侵害用户权益的治理。
伴随相关规范性文件的陆续出台、执法威慑力和覆盖面的不断增强,APP运营商应如何兼顾数据的商业价值和法律保护?相关企业在合规治理过程中,又存在哪些痛点、难点?
监管趋严
对于运营商等APP个人信息处理活动参与者而言,落实“收集”阶段保护个人信息主体责任的前提和基础是明晰“合规”的标准。
个保法第六条指出,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。
那么,什么是“超范围”收集信息?中国信息通信研究院互联网法律研究中心高级研究员、个人信息保护立法研究团队负责人杨婕对第一财经表示,这是指与收集、处理目的不直接相关,不具备必要性的个人信息。例如,地图导航类的基本功能服务为“定位和导航”,必要个人信息为位置信息、出发地、到达地。
第一财经记者注意到,个保法实施前后,已有部分APP推出了“基本功能模式”,该模式下,APP不会上传用户的任何个人信息,但用户也无法享有APP提供的个性化展示服务。比如,在美图秀秀最新版本中的“基本功能模式”下,用户无法使用图片美化、拼图的部分子功能和视频剪辑、美容的完整功能。
“个保法实施后,APP若发生违规收集个人信息的行为,相关主体要承担较严格的法律责任,包括行政、民事乃至刑事责任,这大大增强对违法行为的威慑力,相关企业的合规意识得到增强。”杨婕称。
事实上,在个保法实施之前,APP个人信息收集“合理”及“必要”的标准,以及相关的监督管理工作,就已陆续在推进。
2019年,APP专项治理工作组发布《APP违法违规收集使用个人信息自评估指南》,其中明确,当APP运营者收集的个人信息超出必要信息范围时,应向用户明示所收集个人信息目的并经用户自主选择同意。
但该指南仅用于APP运营者对其收集使用个人信息情况的自查自纠,效力有限。
2020年以来,工信部先后发布了《关于开展纵深推进APP侵害用户权益专项整治行动的通知》(下称《通知》)、《常见类型移动互联网应用程序必要个人信息范围规定》、《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》(下称《暂行规定》)等,并牵头制定了《APP用户权益保护测评规范》、《APP收集使用个人信息最小必要评估规范》等标准文件,对APP信息处理行为进行明确要求。
其中,《通知》指出,APP、第三方SDK(软件工具开发包)未告知用户收集个人信息的目的、方式、范围且未经用户同意,私自收集用户个人信息的行为,属于“违规收集个人信息”;APP、第三方SDK非服务所必需或无合理应用场景,特别是在静默状态下或在后台运行时,超范围收集个人信息的行为,属于“超范围收集个人信息”,上述行为均在重点整治之列。
《暂行办法》则明确,网信办负责统筹协调APP个人信息保护工作和相关监督管理工作,建立健全由网信办、工信部、公安部及市监总局四部门组成的APP个人信息保护监督管理联合工作机制。
“这些行业标准性文件的角度或有所不同,可互为补充。在效力层面,虽然这些文件的层级较低,但如果四部委以此进行检查,不合规会被通报、甚至下架,实际影响力不容小觑。”海问律师事务所合伙人杨建媛在接受第一财经记者采访时称。
北京市京师律师事务所律师杜广普从事网络安全与数据合规等领域法律服务多年,他在接受第一财经采访时表示,当前,APP监管治理工作逐渐下沉,除了上述政府部门外,地方监管部门也在开展相关的监督管理工作,监管的范围、频次、颗粒度不断落细,监管治理对象也不局限于头部APP。
根据上述《通知》,2020年12月10日前,工信部完成覆盖40万款主流APP检测工作。
11月3日,也就是个保法实施的第三天,针对APP存在的超范围、高频次索取权限,非服务场景所必需收集用户个人信息,欺骗误导用户下载等违规行为,工信部通报了2021年第11批APP个人信息保护专项整治行动中的违规名单,其中包括了QQ音乐、小红书、豆瓣等38款APP。
至此,工信部已启动了20批次APP个人信息保护专项整治行动。
根据《暂行规定》,被提出整改的相关主体,要求5个工作日内进行整改及时消除隐患;未完成整改的,向社会公告。对社会公告5个工作日后,仍拒绝整改或者整改后仍存在问题的,可要求相关主体进行下架处置;被下架的APP在40个工作日内不得通过任何渠道再次上架。
超范围、违规收集个人信息
为何屡禁不止
伴随APP个人信息保护相关规则不断明确、落细,不同标准规范性文件的协调性逐渐显现,各部门执法口径也渐趋一致,相关市场主体在法规适用上的困惑得以减轻;与此同时,伴随监督、执法的持续从严、下沉,相关企业合规的紧迫性正不断加强。
在此背景下,APP超范围、违规收集个人信息现象为何仍屡禁不止?
杜广普称,当前,APP信息超采、权限滥用等问题越来越频繁地被提及,这不仅是因为相关违法违规行为本身在增多,也是因为合规标准对APP个人信息处理活动参与者责任的明细化,使得原本存在的问题逐渐暴露出来。
北京师范大学网络法治国际中心执行主任吴沈括则认为,APP信息超采、违规收集等问题频频发生的背后,是因为个人信息本身蕴含着巨大价值。
