[ 当前,APP信息超采、权限滥用等问题越来越频繁地被提及,这不仅是因为相关违法违规行为本身在增多,也是因为合规标准对APP个人信息处理活动参与者责任的明细化,使得原本存在的问题逐渐暴露出来。 ]
[ 2020年12月10日前,工信部完成覆盖40万款主流APP检测工作。 ]
当APP处于静默状态下,图片、音频等个人信息被无感知收集;关闭定位权限后,要求重新授权的弹窗频繁出现;在某APP平台购物付款时,付费方式连接的运营方也能收集到用户的购物信息,并被用以推送定制化广告……
作为个人信息处理的首要环节,“收集”是个人信息保护治理的关键。11月1日起,《个人信息保护法》(下称“个保法”)正式实施,其规定个人信息的收集遵循“最小范围”原则,即应当基于业务的处理目的收集必要信息,不得过度收集个人信息。
但在应用软件上,信息超采、权限滥用、数据外传等违规采集个人信息的现象依然频繁,这引起了相关监管部门的持续关注。
近日,工信部针对QQ音乐、小红书、豆瓣等38款APP,就超范围、高频次索取权限,非服务场景所必需收集用户个人信息等问题进行通告,并要求其定期整改。
随后,“优化权限调用”、 建立已收集个人信息清单和与第三方共享个人信息清单等被列入工信部从11月起开展的“信息通信服务感知提升行动”,以进一步推进APP侵害用户权益的治理。
伴随相关规范性文件的陆续出台、执法威慑力和覆盖面的不断增强,APP运营商应如何兼顾数据的商业价值和法律保护?相关企业在合规治理过程中,又存在哪些痛点、难点?
监管趋严
对于运营商等APP个人信息处理活动参与者而言,落实“收集”阶段保护个人信息主体责任的前提和基础是明晰“合规”的标准。
个保法第六条指出,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。
那么,什么是“超范围”收集信息?中国信息通信研究院互联网法律研究中心高级研究员、个人信息保护立法研究团队负责人杨婕对第一财经表示,这是指与收集、处理目的不直接相关,不具备必要性的个人信息。例如,地图导航类的基本功能服务为“定位和导航”,必要个人信息为位置信息、出发地、到达地。
第一财经记者注意到,个保法实施前后,已有部分APP推出了“基本功能模式”,该模式下,APP不会上传用户的任何个人信息,但用户也无法享有APP提供的个性化展示服务。比如,在美图秀秀最新版本中的“基本功能模式”下,用户无法使用图片美化、拼图的部分子功能和视频剪辑、美容的完整功能。
“个保法实施后,APP若发生违规收集个人信息的行为,相关主体要承担较严格的法律责任,包括行政、民事乃至刑事责任,这大大增强对违法行为的威慑力,相关企业的合规意识得到增强。”杨婕称。
事实上,在个保法实施之前,APP个人信息收集“合理”及“必要”的标准,以及相关的监督管理工作,就已陆续在推进。
2019年,APP专项治理工作组发布《APP违法违规收集使用个人信息自评估指南》,其中明确,当APP运营者收集的个人信息超出必要信息范围时,应向用户明示所收集个人信息目的并经用户自主选择同意。
但该指南仅用于APP运营者对其收集使用个人信息情况的自查自纠,效力有限。
2020年以来,工信部先后发布了《关于开展纵深推进APP侵害用户权益专项整治行动的通知》(下称《通知》)、《常见类型移动互联网应用程序必要个人信息范围规定》、《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》(下称《暂行规定》)等,并牵头制定了《APP用户权益保护测评规范》、《APP收集使用个人信息最小必要评估规范》等标准文件,对APP信息处理行为进行明确要求。
其中,《通知》指出,APP、第三方SDK(软件工具开发包)未告知用户收集个人信息的目的、方式、范围且未经用户同意,私自收集用户个人信息的行为,属于“违规收集个人信息”;APP、第三方SDK非服务所必需或无合理应用场景,特别是在静默状态下或在后台运行时,超范围收集个人信息的行为,属于“超范围收集个人信息”,上述行为均在重点整治之列。
《暂行办法》则明确,网信办负责统筹协调APP个人信息保护工作和相关监督管理工作,建立健全由网信办、工信部、公安部及市监总局四部门组成的APP个人信息保护监督管理联合工作机制。
“这些行业标准性文件的角度或有所不同,可互为补充。在效力层面,虽然这些文件的层级较低,但如果四部委以此进行检查,不合规会被通报、甚至下架,实际影响力不容小觑。”海问律师事务所合伙人杨建媛在接受第一财经记者采访时称。
北京市京师律师事务所律师杜广普从事网络安全与数据合规等领域法律服务多年,他在接受第一财经采访时表示,当前,APP监管治理工作逐渐下沉,除了上述政府部门外,地方监管部门也在开展相关的监督管理工作,监管的范围、频次、颗粒度不断落细,监管治理对象也不局限于头部APP。
根据上述《通知》,2020年12月10日前,工信部完成覆盖40万款主流APP检测工作。
11月3日,也就是个保法实施的第三天,针对APP存在的超范围、高频次索取权限,非服务场景所必需收集用户个人信息,欺骗误导用户下载等违规行为,工信部通报了2021年第11批APP个人信息保护专项整治行动中的违规名单,其中包括了QQ音乐、小红书、豆瓣等38款APP。
至此,工信部已启动了20批次APP个人信息保护专项整治行动。
根据《暂行规定》,被提出整改的相关主体,要求5个工作日内进行整改及时消除隐患;未完成整改的,向社会公告。对社会公告5个工作日后,仍拒绝整改或者整改后仍存在问题的,可要求相关主体进行下架处置;被下架的APP在40个工作日内不得通过任何渠道再次上架。
超范围、违规收集个人信息
为何屡禁不止
伴随APP个人信息保护相关规则不断明确、落细,不同标准规范性文件的协调性逐渐显现,各部门执法口径也渐趋一致,相关市场主体在法规适用上的困惑得以减轻;与此同时,伴随监督、执法的持续从严、下沉,相关企业合规的紧迫性正不断加强。
在此背景下,APP超范围、违规收集个人信息现象为何仍屡禁不止?
杜广普称,当前,APP信息超采、权限滥用等问题越来越频繁地被提及,这不仅是因为相关违法违规行为本身在增多,也是因为合规标准对APP个人信息处理活动参与者责任的明细化,使得原本存在的问题逐渐暴露出来。
北京师范大学网络法治国际中心执行主任吴沈括则认为,APP信息超采、违规收集等问题频频发生的背后,是因为个人信息本身蕴含着巨大价值。
“在当前的数据生态中,由于个人信息蕴含巨大价值,APP个人信息处理活动者对于数据的获取有一种‘天然冲动’,即试图通过获取更多的数据来提供更多的产品和服务,从而达到提高竞争力的目的。”吴沈括告诉第一财经。
他进一步表示,由于早期合规工作基础薄弱,相关企业也可能存在积弊难改的情况。“伴随标准性文件不断出台和更新,企业端需投入大量的时间和经济成本,进行合规治理,相关工作不能一蹴而就。”
安恒信息(688023.SH)高级副总裁、首席科学家刘博对此表示认同。他还指出,对于APP个人信息处理活动参与者而言,违规收集所面临的法律风险可能远远小于可以获得的商业利益,这使得其合规意愿并不强烈,乃至存在侥幸心理。
与此同时,刘博认为,在相关法规的执行和推行的初期,还存在一些规则细节不够明确的问题。例如,现行法律政策对于重大信息安全事件尚无明确规定。
“监管程度也同样存在不到位的现象。”刘博称,一方面,由于认证是自愿进行,未通过认证的APP如何管理依然没有得到彻底有效的解决;另一方面,目前对于通过认证的APP主要的监管手段依然是以企业自查为主。
“大多数APP运营商,在管理层面,对自己平台产品和相关供应商产品很难做到有效的监督;在技术层面,使用第三方SDK及其他第三方服务,已经成为APP开发、运行过程中常见的技术手段,这在帮助APP功能服务快速实现的同时,也引发个人信息收集阶段的安全风险。”刘博称。
针对这一问题,在近日工信部发布的《关于开展信息通信服务感知提升行动的通知》中提到,建立个人信息保护“双清单”。其中,为了让用户清晰掌握个人信息在APP、SDK及其他第三方间的共享情况,工信部要求企业在二级菜单中列出APP与第三方共享的用户个人信息基本情况,包括与第三方共享的个人信息种类、使用目的、使用场景和共享方式等。
中国电子技术标准化研究院网络安全研究中心测评实验室副主任何延哲在接受第一财经采访时称,此前,存在着对第三方责任规制不够清晰的问题,使得追究第三方责任欠缺具体的指导细则,还会产生APP经营者将自身责任推卸给第三方的现象。“双清单”公布后,通过督促第三方“言行一致”,有利于压实第三方的主体责任。
不过,在吴沈括看来,要求企业自身主动建立清单依然属于企业自查的范畴,为切实减少APP在个人信息收集过程中的违法违规行为,还需加强第三方监督,包括用户监督;与此同时,监管部门应建立相应的追责机制,重点治理相关企业虚假,或不完整披露的行为。