隨著大數據時代的到來,企業掌握的用戶數據決定了企業在互聯網領域的核心競爭力。于是,用戶數據作為重要資源,成為各互聯網企業競相爭奪的核心資產。移動互聯網應用程序(APP)作為用戶接受產品和服務的平臺,在數據收集上發揮著至關重要的作用,是互聯網企業收集用戶數據的重要載體。但同時,部分互聯網企業未重視數據收集的合規操作,導致移動互聯網應用程序(APP)在用戶數據收集中大量存在強制授權、過度索權、超范圍收集個人信息的現象,廣大網友對此反應激烈。
為保障個人信息安全,維護廣大網民合法權益,中央網信辦、工業和信息化部、公安部、市場監管總局聯合發布《關于開展APP違法違規收集使用個人信息專項治理的公告》(以下簡稱為“APP專項治理公告”),決定在全國范圍開展APP專項治理活動。公告一出,引起互聯網企業的普遍擔憂,多數企業擔心自身的不規范操作會招引法律處罰,甚至對于如何開展合規整改無從下手。為緩解企業擔憂,本文嘗試對APP專項治理公告進行解讀,并在解讀的基礎上,指出APP違規收集個人信息的法律風險,同時有針對性地提出企業在開展APP自我整改中的合規建議。希望本文能對互聯網企業的合規整改有所幫助。
一、APP專項治理公告的解讀
2019年1月25日,中央網信辦、工業和信息化部、公安部、市場監管總局在北京聯合發布APP專項治理公告,該公告于2019年1月23日生效,專項治理時間為期1年。公告具體內容如下:
首先,公告第1點開宗明義指出此次專項治理所要達到的目的,即要求APP經營者合法合規收集用戶數據,同時鼓勵APP經營者自愿進行合規認證。
[①]其次,為了貫徹落實專項治理的目的,公告第2點指出主管部門擬委托全國信息安全標準化技術委員會、中國消費者協會、中國互聯網協會、中國網絡空間安全協會編制APP合規操作指南,并組織專業機構對APP經營者進行合規評估。
[②]最后,公告第3點指出有關主管部門如果發現APP經營者違規收集用戶數據,可以責令APP運營者限期整改;逾期不改的,公開曝光;情節嚴重的,依法暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照。
[③]
從上述公告內容來看,此次專項治理活動看似只是尋常的例行整治,但是,仔細研究會發現,此次發布公告的主體為中央網信辦、工業和信息化部、公安部、市場監管總局,然而上述內容的實施主體幾乎不涉及公安部的相關職責。例如公告第1點是對APP運營者的要求,不涉及主管機關;公告第2點規定編制APP合規操作指南并進行評估的有關協會,其中全國信息安全標準化技術委員會、中國網絡空間安全協會主要受中央網信辦委托,
[④]中國互聯網協會主要受工信部委托,
[⑤]中國消費者協會主要受市場監管總局委托,
[⑥]內容并不涉及公安部職責;公告第3點對于APP運營者的違規行為,所作的處罰措施,無論是整改、暫停業務、吊銷許可證或營業執照,基本上是市場監管總局的職責,同樣不涉及公安部職責。
既然公告的諸多內容都不涉及公安部職責,為何公安部是公告的聯合發布主體呢?筆者仔細研究公告后發現,公告第4點開辟專門條款,單獨列出公安部的職責,即“公安機關開展打擊整治網絡侵犯公民個人信息違法犯罪專項工作,依法嚴厲打擊針對和利用個人信息的違法犯罪行為。”請注意條款中“專項工作”“嚴厲打擊”的提法。“專項工作”是否意味著公安部將在四部門專項收集APP運營者違規操作的信息的基礎上,再開展“嚴厲打擊”的專項行動呢?屬于四部門專項行動之內公安部另有的專項行動?
筆者認為此種設想并非沒有道理,須知公安部打擊違反收集個人信息的專項活動早已有之,且逐年呈現高壓態勢。同時按常理推測,公安部完全可以在公告第3點直接攜手市場監管總局,和市場監管總局一道對APP運營者的違規行為作出行政或刑事處罰,沒必要獨設條款。此次公安部將專項活動融入和其他部門的合作當中,同時獨設條款,筆者認為一方面有利于使收集互聯網企業違規操作的材料更快速便捷,另一方面收集的證據更全面和規范,有利于覆蓋更廣的打擊面,同時打擊點更準、更有力度。因此筆者認為互聯網企業須提高警惕,正視APP專項治理公告潛在的威力,切莫陰溝里翻船。
二、個人信息保護呈現“刑法先行”態勢
為了體現筆者解讀APP專項治理公告具有較高的可信度,筆者對近年來個人信息保護的數據材料進行規范梳理,研究發現,近年來個人信息保護確實呈現“刑法先行”的態勢。
(一)個人信息刑事保護尤為突出
1.對個人信息保護的刑事立法
《刑法修正案(七)》第7條規定:增訂《刑法》第253-1條,新增出售、非法提供公民個人信息罪和非法獲取公民個人信息罪,
[⑦]而后《刑法修正案(九)》第17條對第253-1條做了修改,將原本兩罪名修改為侵犯公民個人信息罪,
[⑧]此后侵犯公民個人信息罪一直沿用至今。個人信息保護的罪名演變詳見下表:
表1:個人信息刑事保護的內容演變情況
| 《刑法修正案(七)》第7條(2009年) |
《刑法修正案(九)》第17條(2015年) |
國家機關或者金融、電信、交通、教育、醫療等單位的工作人員,違反國家規定,將本單位在履行職責或者提供服務過程中獲得的公民個人信息,出售或者非法提供給他人,情節嚴重的,處三年以下有期徒刑或者拘役,并處或者單處罰金。
竊取或者以其他方法非法獲取上述信息,情節嚴重的,依照前款的規定處罰。
單位犯前兩款罪的,對單位判處罰金,并對其直接負責的主管人員和其他直接責任人員,依照各該款的規定處罰。 |
違反國家有關規定,向他人出售或者提供公民個人信息,情節嚴重的,處三年以下有期徒刑或者拘役,并處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,并處罰金。
違反國家有關規定,將在履行職責或者提供服務過程中獲得的公民個人信息,出售或者提供給他人的,依照前款的規定從重處罰。
竊取或者以其他方法非法獲取公民個人信息的,依照第一款的規定處罰。
單位犯前三款罪的,對單位判處罰金,并對其直接負責的主管人員和其他直接責任人員,依照各該款的規定處罰。 |
資料來源:筆者自制,2019年3月
從上表個人信息刑事保護的演變可以看出,國家在對個人信息保護的力度越來越大。例如,在犯罪主體上,由原來的特定主體(國家機關或者金融、電信、交通、教育、醫療等單位的工作人員),變為一般主體,打擊范圍得到擴大;在定罪量刑上,由原來“3年以下有期徒刑或拘役”變為“情節特別嚴重,處以3-7年有期徒刑”;同時加重互聯網公司等機構的責任,規定其在履職或提供服務侵犯個人信息,將被從重處罰。對此互聯網公司應尤為重視。
2.對個人信息保護的刑事打擊
筆者在中國裁判文書網,以“侵犯公民個人信息罪”為關鍵字,共檢索到4522起刑事案件,其中案件數的分布情況為:2015年為23件,2016年為442件,2017年為1513件,2018年為2405件,足見國家對個人信息刑事保護的力度逐年增加。筆者按照各級法院對個人信息保護的審理情況進行劃分,得出如下的分布圖:
圖1:2015-2018年各級法院對個人信息保護的審理情況
資料來源:筆者自制,2019年3月
從上圖可以看出,2015年案件基本在基層法院審理,2016年中級法院開始審理部分案件,2017-2018年高等法院和最高法院開始審理個人信息保護的案件,并且案件量呈現逐年增加的趨勢。須知法院審級越高,說明案件的嚴重性和社會影響力越大。由此可以看出,個人信息保護的案件量不僅逐年攀升,而且社會影響性逐年增強,近兩年甚至已經驚動最高院,個人信息保護的刑事保護力度逐年加強的程度可見一斑。
3.對個人信息保護的案件指導
經過整理,筆者發現近年來權力機關發布指導審理個人信息保護案件的指引性文件的頻率很高。例如,最高檢于2018年11月印發《檢察機關辦理侵犯公民個人信息案件指引》,最高檢與最高法于2017年6月聯合發布《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》。同時公檢法部門紛紛發布指導案例,例如2017年5月最高檢發布6起侵犯公民個人信息犯罪典型案例,
[⑨]2017年5月最高法發布7起侵犯公民個人信息犯罪典型案例,
[⑩]2016年公安部發布10起侵犯公民個人信息犯罪的典型案例和8起網絡侵犯公民個人信息犯罪典型案例
[11]。可見公檢法部門對個人信息保護十分重視。
(二)個人信息民、行保護整體上“供應不足”
筆者通過檢索,梳理了近年來民事法和行政法對個人信息保護的法律文件,通過研究發現,相比體系較為完善的個人信息刑事保護,個人信息在民事法和行政法上的保護出現內容分散、領域雜亂,整體上呈現“供應不足”的局面。具體檢索情況詳見下表:
表2:涉及個人信息保護的民事法和行政法等規范性文件檢索概觀
| 規范性文件名稱 |
法律規定 |
效力層級 |
| 《中華人民共和國民法總則》(2017.10發布) |
第110條、第111條 |
法律 |
| 《中華人民共和國侵權責任法》(2010.07發布) |
第2條、第62條 |
法律 |
| 《中華人民共和國消費者權益保護法》(2013.10修改) |
第29條、第50條、第56條 |
法律 |
| 《中華人民共和國統計法》(2009.06修改) |
第9條、第39條 |
法律 |
| 《中華人民共和國居民身份證法》(2011.10修改) |
第6條、第13條、第19條、第20條 |
法律 |
| 《中華人民共和國商業銀行法》(2015.08修改) |
第29條 |
法律 |
| 《中華人民共和國執業醫師法》(2009.08修改) |
第22條、第37條 |
法律 |
| 《中華人民共和國網絡安全法》(2016.11發布) |
第四章“網絡信息安全” |
法律 |
| 《中華人民共和國郵政法》(2015.04修改) |
第3條、第36條、第64條 |
法律 |
| 《中華人民共和國未成年人保護法》(2012.10修改) |
第39條、第69條 |
法律 |
| 《中華人民共和國母嬰保健法》(2017.11修改) |
第34條 |
法律 |
| 《中華人民共和國婦女權益保障法》(2018.10修改) |
第42條 |
法律 |
| 《中華人民共和國傳染病防治法》(2013.06修改) |
第12條、第68條 |
法律 |
| 《中華人民共和國律師法》(2017.09修改) |
第38條 |
法律 |
| 《中華人民共和國電信條例》(2016.02修改) |
第65條 |
行政法規 |
| 《征信業管理條例》(2013.01發布) |
第3條 |
行政法規 |
| 《快遞暫行條例》(2018.03發布) |
第4條 |
行政法規 |
| 《保安服務管理條例》(2009.10發布) |
第25條、第30條、第43條 |
行政法規 |
資料來源:筆者自制,2019年3月
從上表可以看出,個人信息并沒有設置專法進行保障,除了《網絡安全法》開辟專章規范網絡信息安全外,其余的法律均是零散的條款規定,不成體系。同時,個人信息的保護內容較為分散,保護的領域有金融行業、互聯網行業、律師行業、母嬰行業、物流行業等行業,領域較為混亂,并且各個領域的保護力度也明顯不夠。整體而言,個人信息在民事法和行政法上保護不成體系,規范密度不足。
三、對企業開展APP自我整改的合規建議
從上文可以看出,近年來國家對個人信息保護主要以“刑事處罰”為先。筆者認為此次的APP專項治理尤為要注意公告第4條公安機關的專項治理任務,但同時也不能忽視市場監管總局的行政處罰。辨證來看,此次的整改也是促進互聯網企業合規經營的契機,互聯網企業應認真對待此次APP自我整改的合規工作,趁此機會,一勞永逸地解決掉APP運行中違規收集個人信息的隱患問題。對此,筆者在下文提出APP自我整改的幾點合規建議,以供互聯網企業參考。
(一)增強底線思維,勿觸碰刑事高壓線
APP專項治理公告第4點明確指出公安局要開展專項行動,“依法嚴厲打擊針對和利用個人信息的違法犯罪行為”。此處所謂的“依法”主要依據《刑法》第253-1條開展打擊活動。其中,《刑法》第253-1條規定了“侵犯公民個人信息罪”的構成要件和違法后果,而對于如何判斷“個人信息”,怎么理解“情節嚴重”“提供”“出售”等詞的含義,最高檢和最高法聯合發布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》都有對應的說明。筆者認為互聯網企業應增強底線思維,牢固樹立刑法底線不能逾越的理念,熟悉《刑法》第253-1條及對應的司法解釋的內容,勿違反刑法的明文規定。
(二)遵循操作指引要求,自我逐項核查
據悉,全國信息安全標準化技術委員會、中國消費者協會、中國互聯網協會、中國網絡空間安全協會已經成立了APP專項治理工作組,并且編制了“App違法違規收集使用個人信息自評估指南”“App違法違規收集使用個人信息評估要點和操作規程”和“大眾化應用基本業務功能及必要信息規范”等技術規范。互聯網企業可依據此類技術規范的指引要求,對APP逐項進行核對查驗,發現一起,落實一起,壓實合規工作,以自信的姿態迎接潛在的評估工作。
筆者通過研讀APP專項治理工作組編制的合規操作指南,歸納以下幾點合規事項,可供參考:
1.完善隱私政策。APP運營者應設置隱私政策,并且隱私政策應以單獨成文的形式發布。在進入APP主功能界面后,用戶通過4次以內的點擊就能訪問到隱私政策。同時隱私政策應通俗易懂,便于閱讀。
2.保障互聯網用戶的權利。APP運營者應支持互聯網用戶注銷賬號,并保障用戶訪問、更正或刪除個人信息的權利。同時APP上應設立用戶申訴機制,及時反饋用戶申訴。
3.收集個人信息應遵循合法、正當、必要的原則。APP運營者收集的個人信息不應超過隱私政策所述范圍,同時不應該收集與業務功能無任何關系的個人信息;如果收集與業務功能無必要關系的個人信息應征得用戶同意。
4.收集個人信息應征求用戶同意。APP運營者應明確告知用戶收集哪些信息,并應經用戶自主選擇同意,不應存在強制捆綁授權行為。同時APP上應建立年齡認證機制,對于不滿14周歲的未成年人,應征得其監護人的明示同意。
(三)完善內部管理章程,加強對員工的培訓
互聯網企業除了需要增強勿觸碰刑法高壓線的底線思維,以及根據可操作性的合規指引對APP進行逐項核查外,筆者認為互聯網企業還應該完善內部的管理章程,加強對員工的規范培訓。例如公司章程中應明確其法定代表人或主要負責人對個人信息安全負全面領導責任;任命個人信息保護負責人和個人信息保護工作機構,個人信息保護負責人應由具有相關管理工作經歷和個人信息保護專業知識的人員擔任;建立、維護和更新所收集、使用的個人信息處理活動記錄;定期組織內部相關人員進行應急響應培訓和應急演練,使其掌握崗位職責和應急處置策略和規程等。同時企業須妥善保管內部管理章程、培訓材料、個人信息處理活動記錄,以及按時保留及備份網絡日志,以作為企業出現法律風險時的抗辯證據。
[①] 參見《關于開展App違法違規收集使用個人信息專項治理的公告》第1點、第5點.
[②] 參見《關于開展App違法違規收集使用個人信息專項治理的公告》第2點.
[③] 參見《關于開展App違法違規收集使用個人信息專項治理的公告》第3點.
[④] 參見《全國信息安全標準化技術委員會章程》第4條:“信安標委業務上受中央網絡安全和信息化領導小組辦公室(以下簡稱“中央網信辦”)指導。”第16條:“受國家標準化管理委員會及有關主管部門(中央網信辦)的委托,辦理與信息安全標準化工作有關的其他事宜。”《中國網絡空間安全協會章程》第6條:“本協會接受業務主管單位國家互聯網信息辦公室、社團登記管理機關中華人民共和國民政部的業務指導和監督管理。”其中,國家互聯網信息辦公室與中央網信辦屬于兩個牌子一套人馬。
[⑤] 參見《中國互聯網協會章程》第4條:“本會接受登記管理機關中華人民共和國民政部和業務主管單位工業和信息化部的業務指導和監督管理。”
[⑥] 參見《中國消費者協會章程》第7條:“本會接受業務主管單位國家工商行政管理總局(以下稱業務主管單位)和登記管理機關民政部(以下稱登記管理機關)的業務指導和監督管理。”其中,根據《深化黨和國家機構改革方案》,工商行政管理總局與其他部門合并成市場監管總局。
[⑦] 參見《最高人民法院、最高人民檢察院關于執行<中華人民共和國刑法>確定罪名的補充規定(四)》.
[⑧] 參見《最高人民法院、最高人民檢察院關于執行<中華人民共和國刑法>確定罪名的補充規定(六)》.
