2021年4月26日,工业和信息化部会同公安部、市场监管总局起草并发布《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》(简称“《征求意见稿》”),向社会公开征求意见,意见反馈截止期为2021年5月26日。
《征求意见稿》明确,APP获取用户个人信息应遵循“知情同意”“最小必要”两项重要原则。“知情同意”规定,从事App个人信息处理活动的,应当以清晰易懂的语言告知用户个人信息处理规则,由用户在充分知情的前提下,作出自愿、明确的意思表示。“最小必要”规定,从事App个人信息处理活动的,应当具有明确、合理的目的,并遵循最小必要原则,不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。
《征求意见稿》特别指出,处理种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等敏感个人信息的,应当对用户进行单独告知,取得用户同意后,方可处理敏感个人信息。其它引人关注的条款还包括“用户拒绝相关授权申请后,不得强制退出或者关闭App”,“用户拒绝提供非该类服务所必需的个人信息时,不得影响用户使用该服务”等。
在专家看来,对APP获取和使用个人信息尽快加以规范已为现实迫切需要。中国人民大学法学院教授刘俊海在接受界面新闻采访时表示,智能手机时代,大量App在安装、使用过程中,存在严重侵害个人隐私的情况,用户个人信息常被不必要地提取,滥用和贩卖,进而也对用户的财产安全造成威胁;更甚者,犯罪分子在精准画像之后,对用户的人身安全也构成威胁。
此外,刘俊海认为,《征求意见稿》在此背景下出台,“同时能够维护App开发运营者之间的公平竞争秩序,制止垄断。”
界面新闻注意到,同样在4月26日,提请全国人大常委会会议审议的个人信息保护法草案二审稿,也对超大型互联网平台的个人信息保护义务作出规定。草案二审稿明确,提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督。
清华大学法学院副院长、教授程啸在接受媒体采访时表示,基础性互联网平台服务提供的产品被认为具有公共产品的性质,因此需要履行更多的社会责任,在平台治理和个人信息保护上要有更多的外部的、独立的监督。
与个人信息保护法草案二审稿相呼应,《征求意见稿》在对违规行为的处罚方面,对App下架机制也设定得更加细致。
其规定,对检测发现问题App的开发运营者、App分发平台、第三方服务提供者及相关主体提出整改,要求5个工作日内进行整改及时消除隐患;未完成整改的,向社会公告。对社会公告5个工作日后,仍拒绝整改或者整改后仍存在问题的,可要求相关主体进行下架处置;对反复出现问题、采取技术对抗等违规情节严重的,将对其进行直接下架;被下架的App在40个工作日内不得通过任何渠道再次上架。下架后仍未按要求完成整改的,将对其采取断开接入等必要措施。
广东伟然律师事务所律师张宗保告诉界面新闻,《征求意见稿》的立法基础之一为网络安全法,该法在个人信息违法行为的配套惩罚机制方面设定的更加详细。
网络安全法第二十二条第三款规定:“网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。”
对应的罚则是第六十四条第一款:“网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。”
张宗保建议,《征求意见稿》可以考虑通过“援引”等立法技术在“下架机制”之后补充网络安全法所设定的有关行政法律责任。
张宗保还指出,从国内外这几年发生的涉及用户信息的新闻事件以及各方(包括企业方和用户方)发表的观点来看,“个人隐私”以及“个人信息的使用尺度”的认定持久存在分歧是导致APP个人信息保护问题复杂的重要原因。
以“个人隐私”为例,我国民法典第一千零三十二条第二款规定了“隐私”的法律定义:“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”
“仅从条文来看,如何理解‘隐私’仍是项难题。”张宗保说,“例如,如何理解‘私人生活安宁’?如何认定‘不愿为他人知晓’?类似争议在不少司法案件中成为争议焦点。法庭上尚且如此,更不必说不那么严格的日常互联网环境中。企业和用户因为立场的不同,会对法律规则作出不同的理解倾向。”
不过,法律法规正在越来越完善,针对App个人信息保护监管的真空地带,个人信息保护法草案和此次《征求意见稿》都在设法作出规制。“未来监管方向将是规范和发展并重,更加注重规范;诚信和创新并举,更加注重诚信;安全和快捷并重,更加注重安全;公平和效率并重,更加注重公平。违法获取个人信息的时代将一去不返。”刘俊海表示。