Loading
2020-10-29 11:29:00
本篇是系列文章的第一篇:政府機構如何監管App運營商?
一、App監管規則陸續出臺
2019年1月25日,中央網信辦、工信部、公安部、市場監管總局四部門聯合發布《關于開展App違法違規收集使用個人信息專項治理的公告》(以下簡稱《公告》)。《公告》指出為保障個人信息安全,維護廣大網民合法權益,四部門決定,自2019年1月至12月,在全國范圍組織開展 App 違法違規收集使用個人信息專項治理活動。《公告》同時指出,全國信息安全標準化技術委員會、中國消費者協會、中國互聯網協會、中國網絡空間安全協會成立App違法違規收集使用個人信息專項治理工作組(以下簡稱“App專項治理工作組”),具體推動App違法違規收集使用個人信息評估工作,App合規監管自此拉開帷幕。
《公告》發布后不久,2019年3月1日,App專項治理工作組在其運營的“App個人信息舉報”微信公眾號上發布《App違法違規收集使用個人信息自評估指南》(以下簡稱《自評估指南》),《自評估指南》從“隱私政策文本”“App 收集使用個人信息行為”“App 運營者對用戶權利的保障”三大評估面入手,列舉了App合規收集個人信息的9個評估項,32個評估點,以此指導App運營者對其收集使用個人信息的情況進行自查自糾。
《自評估指南》的目的在于引導App運營商自覺做好合規收集個人信息工作,市場監管總局、中央網信辦在此基礎上,于2019年3月13日發布《關于開展App安全認證工作的公告》(以下簡稱《App安全認證》)和《移動互聯網應用程序(App)安全認證實施規則》(以下簡稱《App安全認證實施規則》),進一步提出App運營商不僅要做好合規工作,還鼓勵其申請安全認證。其中,《App安全認證》規定:從事 App 安全認證的認證機構為中國網絡安全審查技術與認證中心,檢測機構由認證機構根據認證業務需要和技術能力確定。《App安全認證實施規則》主要從認證模式、認證程序、認證時限、認證證書、認證證書和認證標志的使用和管理等多個方面規定App運營商申請安全認證的操作指南。
上述《自評估指南》、《App安全認證》和《App安全認證實施規則》從App運營商內部發力,通過激發企業內部動力督促其做好合規方案。在外部監管上,App專項治理工作組在2019年5月5日發布了《App違法違規收集使用個人信息行為認定方法(征求意見稿)》(以下簡稱《認定方法》),《認定方法》從外部監管施壓,迫使企業完成信息收集的合規整改。《認定方法》總結了過去半年各類App運營商違法違規收集個人信息的突出問題,歸納出“沒有公開收集使用規則的情形”“沒有明示收集使用個人信息的目的、方式和范圍的情形”“未經同意收集使用個人信息的情形”“違反必要性原則,收集與其提供的服務無關的個人信息的情形”“未經同意向他人提供個人信息的情形”“未按法律規定提供刪除或更正個人信息功能的情形”“侵犯未成年人在網絡空間合法權益的情形”等7種認定類型,只要符合7種認定類型的App運營商,都將落入合規整改范圍之列。
根據上文可以看出,App監管規則從2019年1月發布《公告》開始便拉開了強監管的帷幕,此后每隔兩個月便有相關的規范性文件出臺。起初是從內部發力督促整改,鼓勵其申請安全認定的文件,往后則是發布從外部實施監管,迫使其做好合規整改的文件,最終形成內外合力,雙重聯合的態勢。App監管規則發布情況詳見下圖:
二、App監管規則落地實施情況
在過去一段時間,政府機構接連不斷發布App監管規則,這些監管規則是否有貫徹落實?追蹤發現,政府機構發布的App監管規則大多都在實踐中得到了落實。
例如,四部門發布《公告》后不久,全國信息安全標準化技術委員會、中國消費者協會、中國互聯網協會、中國網絡空間安全協會即聯合成立了App專項治理工作組,工作組通過設立“App個人信息舉報”微信公眾號和“pip@tc260.org.cn”專門郵箱兩種舉報渠道,專門面向廣大網友征集App運營商違法違規收集個人信息的情況。
同時,在大型活動上,如在2019年3·15晚會上,App專項治理工作組專家現場曝光評估工作中發現的“社保掌上通”App等應用程序違法違規收集個人信息典型問題,將其做成典型案例,對過度索權行為進行震懾。
此外,App專項治理工作組監管力度不斷加大。2019年4月上旬,App專項治理工作組針對30款用戶量大、問題嚴重的App,向其運營者發送了整改通知,要求App運營者認真整改、舉一反三,及時糾正個人信息收集使用方面存在的問題。據悉,首批通知整改的30款App中,大部分企業已進行整改,效果良好。
2019年5月24日,App專項治理工作組公布了100款常用App申請收集使用個人信息權限問題,將同一類型App的申請權限以及強制申請開啟權限情況進行統計和對比分析,旨在通過公開披露、持續關注的方式,引導App運營單位進行自查自糾,形成社會監督效應。2019年5月下旬,除首次整改的30款App外,App專項治理工作組又分批次組織了兩批App違法違規收集使用個人信息評估工作,涉及近300款App。
2019年7月11號,App專項治理工作組發布了包括中國建設銀行在內的“10款App存在無隱私政策等問題的通報”,2019年7月16號,App專項治理工作組又發布了“關于督促40款存在收集使用個人信息問題的App運營者盡快整改的通知”。除了發布通報外,App專項治理工作組同時追蹤違法違規收集個人信息的運營商的整改情況,并在2019年7月25日通過“App個人信息舉報”微信公眾號發布了“關于App問題整改情況”的通知。
截至2019年8月上旬,App專項治理工作組收到舉報信息近6000條,其中實名舉報約2000條,共涉及1800余款App,已有幾十款App遭到強制下架、上百款App被點名整改,App監管規則落地實施情況可見一斑(具體詳見下圖):
三、全局觀:個人信息監管的規則體系
上述內容已經將政府機構如何監管App運營商,從監管規則到監管的實際操作都做了較為詳細的論述。然而,筆者認為App合規監管需將其放在個人信息監管的大背景下理解,才能擁有更宏大的全局觀。須知,隨著美國Facebook泄密案的出現和歐盟GDPR的發布實施,數據合規問題得到了全世界的普遍關注,并且從2018年開始,我國的個人信息監管也在不斷加強中,App合規監管是目前個人信息監管中較為突出的一環,隨著后續對個人信息監管的不斷加深,將會影響到更多行業、更多細分領域,因此了解個人信息監管的規則體系實有必要。
研究發現,我國的個人信息監管發端于刑事領域,已經在刑事領域形成較為體系的監管規范。例如,2009年《刑法修正案(七)》第7條規定:增訂《刑法》第253-1條,新增出售、非法提供公民個人信息罪和非法獲取公民個人信息罪,從而將公民個人信息納入刑法保護范疇。其后《刑法修正案(九)》第17條對第253-1條做了修改,將原本兩罪名修改為侵犯公民個人信息罪,此后侵犯公民個人信息罪一直沿用至今。個人信息保護的罪名演變詳見下表:
|
表1:個人信息刑事保護的內容演變情況 |
|
|
《刑法修正案(七)》第7條(2009年) |
《刑法修正案(九)》第17條(2015年) |
|
國家機關或者金融、電信、交通、教育、醫療等單位的工作人員,違反國家規定,將本單位在履行職責或者提供服務過程中獲得的公民個人信息,出售或者非法提供給他人,情節嚴重的,處三年以下有期徒刑或者拘役,并處或者單處罰金。 竊取或者以其他方法非法獲取上述信息,情節嚴重的,依照前款的規定處罰。 單位犯前兩款罪的,對單位判處罰金,并對其直接負責的主管人員和其他直接責任人員,依照各該款的規定處罰。 |
違反國家有關規定,向他人出售或者提供公民個人信息,情節嚴重的,處三年以下有期徒刑或者拘役,并處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,并處罰金。 違反國家有關規定,將在履行職責或者提供服務過程中獲得的公民個人信息,出售或者提供給他人的,依照前款的規定從重處罰。 竊取或者以其他方法非法獲取公民個人信息的,依照第一款的規定處罰。 單位犯前三款罪的,對單位判處罰金,并對其直接負責的主管人員和其他直接責任人員,依照各該款的規定處罰。 |
|
資料來源:筆者自制 |
|
相較于體系較為完善的個人信息刑事保護,個人信息在民事法和行政法上的保護內容分散、領域雜亂,整體上呈現“供應不足”的現象。個人信息保護的民事法和行政法等規范性文件檢索詳見下表:
|
表2:涉及個人信息保護的民事法和行政法等規范性文件檢索概觀 |
||
|
規范性文件名稱 |
法律規定 |
效力層級 |
|
《中華人民共和國民法總則》(2017.10發布) |
第110條、第111條 |
法律 |
|
《中華人民共和國侵權責任法》(2010.07發布) |
第2條、第62條 |
法律 |
|
《中華人民共和國消費者權益保護法》(2013.10修改) |
第29條、第50條、第56條 |
法律 |
|
《中華人民共和國統計法》(2009.06修改) |
第9條、第39條 |
法律 |
|
《中華人民共和國居民身份證法》(2011.10修改) |
第6條、第13條、第19條、第20條 |
法律 |
|
《中華人民共和國商業銀行法》(2015.08修改) |
第29條 |
法律 |
|
《中華人民共和國執業醫師法》(2009.08修改) |
第22條、第37條 |
法律 |
|
《中華人民共和國網絡安全法》(2016.11發布) |
第四章“網絡信息安全” |
法律 |
|
《中華人民共和國郵政法》(2015.04修改) |
第3條、第36條、第64條 |
法律 |
|
《中華人民共和國未成年人保護法》(2012.10修改) |
第39條、第69條 |
法律 |
|
《中華人民共和國母嬰保健法》(2017.11修改) |
第34條 |
法律 |
|
《中華人民共和國婦女權益保障法》(2018.10修改) |
第42條 |
法律 |
|
《中華人民共和國傳染病防治法》(2013.06修改) |
第12條、第68條 |
法律 |
|
《中華人民共和國律師法》(2017.09修改) |
第38條 |
法律 |
|
《中華人民共和國電信條例》(2016.02修改) |
第65條 |
行政法規 |
|
《征信業管理條例》(2013.01發布) |
第3條 |
行政法規 |
|
《快遞暫行條例》(2018.03發布) |
第4條 |
行政法規 |
|
《保安服務管理條例》(2009.10發布) |
第25條、第30條、第43條 |
行政法規 |
|
資料來源:筆者自制,2019年3月
|
||
從上表可以看出,個人信息并沒有設置專法進行保障,除了《網絡安全法》開辟專章規范網絡信息安全外,其余的法律均是零散的條款規定,不成體系。同時,個人信息的保護內容較為分散,保護的領域有金融行業、互聯網行業、律師行業、母嬰行業、物流行業等行業,領域較為混亂,并且各個領域的保護力度也明顯不夠。整體而言,個人信息在民事法和行政法上保護不成體系,規范密度不足。
然而,值得注意的是,2019年開始,政府在監管個人信息上開始著重發力,特別在2019年5月到6月之間,網信辦等部門接連發布《數據安全管理辦法(征求意見稿)》、《兒童個人信息網絡保護規定(征求意見稿)》、《個人信息出境安全評估辦法(征求意見稿)》、《信息安全技術個人信息安全規范》(征求意見稿)等規范性文件,個人信息監管持續呈井噴態勢,似有扭轉個人信息在行政法上保護力度不足的劣勢,該趨勢尤其應得到重視。
總體而言,我國個人信息監管的規則體系發端于刑事領域,在民事和行政法規范領域較為混亂,不成體系,但隨著2019年政府對個人信息監管力度的加強,行政監管體系有逐步發展壯大的趨勢。