一百零五款App違法違規收集使用個人信息情況被通報

　　拿什么強化App個人信息保護

　　本報記者 趙晨熙

　　喜歡聽演唱會的人對大麥App都不陌生，近日，這個“票務專家”卻被下架了，原因是侵害用戶權益，違規收集個人信息，App強制、頻繁、過度索取權限等。

　　5月21日，國家互聯網信息辦公室對105款App違法違規收集使用個人信息情況進行了通報。通報要求，針對檢測發現的問題，相關App運營者應當于本通報發布之日起15個工作日內完成整改。

　　為加強移動互聯網應用程序(App)個人信息保護，規范App個人信息處理活動，在國家互聯網信息辦公室的統籌指導下，工業和信息化部會同公安部、市場監管總局起草了《移動互聯網應用程序個人信息保護管理暫行規定(征求意見稿)》向社會公開征求意見。

　　征求意見稿共20條，界定了適用范圍和監管主體；確立了“知情同意”“最小必要”兩項重要原則；細化了App開發運營者、分發平臺、第三方服務提供者、終端生產企業、網絡接入服務提供者五類主體責任義務；提出了投訴舉報、監督檢查、處置措施、風險提示等四方面規范要求。

　　網經社電子商務研究中心特約研究員趙占領在接受《法治日報》記者采訪時表示，App收集個人信息的問題已是老生常談，涉及相關內容的法律規范也較多，此次征求意見稿是專門針對App處理個人信息的專項規定，將近年來成熟的經驗做法和管理措施轉換為制度性規范文件，從全鏈條、全主體、全流程的角度全面強化了對App個人信息保護的管理。

　　明確“知情同意”“最小必要”原則

　　是否允許授權打開相冊、是否允許授權打開通訊錄、是否允許開啟定位……如今在使用一款App的時候，人們似乎已經習慣了“默認”平臺方的這些授權要求，畢竟如果點擊關閉或拒絕，可能面臨無法正常使用服務，甚至App直接閃退的情況。有些App更是“貼心”地為用戶自動選擇了默認勾選，在看似便利中輕易獲得了用戶的各類個人信息。

　　在北京德恒律師事務所合伙人張韜看來，用戶無奈地“默許”恰恰體現了App在處理用戶個人信息上存在諸多問題。

　　App為了向用戶提供相關服務，在告知并取得用戶同意等合法前提下收集必要的個人相關信息是合理的，但當前部分App運營者存在“過度索權”“超范圍索取”以及未經用戶同意“非法獲取”，甚至“非法出售”用戶個人信息的問題。

　　趙占領曾接觸過多起App違規收集用戶個人信息的案件，他發現當前比較常見的違規方式有兩種：一是收集用戶的個人信息與所要提供的業務沒有必要的關聯性，即超范圍收集用戶個人信息；二是用戶如果不同意App收集用戶個人信息的要求，App則不向用戶提供相關的產品或服務，以這種方式強迫用戶同意App收集個人信息。

　　針對這些問題，此次征求意見稿明確，從事App個人信息處理活動的，應遵循“知情同意”“最小必要”兩項重要原則，同時，征求意見稿特別指出，應當采取非默認勾選的方式征得用戶同意。

　　“知情同意”要求從事App個人信息處理活動的，應當以清晰易懂的語言告知用戶個人信息處理規則，由用戶在充分知情的前提下，作出自愿、明確的意思表示；“最小必要”則要求從事App個人信息處理活動的，應當具有明確、合理的目的，并遵循最小必要原則，不得從事超出用戶同意范圍或者與服務場景無關的個人信息處理活動。

　　范圍廣懲處嚴

　　此次征求意見稿給趙占領的第一感覺是范圍廣、懲處嚴。

　　“廣”體現在全方位對App涉及的各方主體責任與義務進行明確與細化。這意味著，包括App開發運營者、分發平臺、第三方服務提供者、移動智能終端生產企業、網絡接入服務提供者在內的各方主體都被納入個人信息保護的責任人范疇中。

　　“嚴”則體現在細化了違規處置流程和具體措施，明確從事個人信息處理活動的有關主體違反要求的，依次按照通知整改、社會公告、下架處置、斷開接入、信用管理流程進行處置，并明確具體時間期限要求。

　　征求意見稿特別提出，對未按要求完成整改或反復出現問題、采取技術對抗等違規情節嚴重的App，將對其進行直接下架；且下架后的App在40個工作日內不得通過任何渠道再次上架的管理要求。

　　在中央財經大學中國互聯網經濟研究院副院長歐陽日輝看來，一些App平臺之所以“肆無忌憚”，是因為違法違規成本過低，尤其是對于一些尚未形成聲譽的中小平臺而言，規范對它們的約束力會更小。

　　征求意見稿中“對相應違規主體，可納入信用管理，實施聯合懲戒”的規定引起了歐陽日輝的注意，他認為這一規定將對違規者起到極大的震懾作用，將違規者納入信用管理以后，對其實施聯合懲戒，同時還應考慮采取禁止市場準入的方式，這對違規者能起到很大的震懾作用。

　　針對“累犯”，征求意見稿給予了最高可禁入的懲處。征求意見稿第十七條規定，對整改反復出現問題的App及其開發運營者開發的相關App，監督管理部門可以指導組織App分發平臺和移動智能終端生產企業在集成、分發、預置和安裝等環節進行風險提示，情節嚴重的采取禁入措施。

　　從嚴規范App對外提供個人信息

　　個人信息泄露是詐騙成功實施的關鍵因素，而個人信息泄露的一大源頭就是App。

　　張韜注意到，征求意見稿在規范App使用個人信息的同時，對App對外提供個人信息作出了從嚴規范。

　　征求意見稿第六條規定，需要向本App以外的第三方提供個人信息的，應當向用戶告知其身份信息、聯系方式、處理目的、處理方式和個人信息的種類等事項，并取得用戶同意。

　　相比既有法律規定，此前均未明確要求App要向用戶告知第三方的身份信息、聯系方式等事項。比如，網絡安全法第四十二條規定，未經被收集者同意，網絡運營者不得向他人提供個人信息。

　　“征求意見稿對此作出了更為詳盡的規定，充分保障了用戶的知情權。”張韜說。

　　不過，在中倫律師事務所合伙人劉新宇看來，這一規定的可行性仍需探討。在實踐中，很多App對外提供個人信息涉及的第三方主體較多，而且這些第三方主體也并非一成不變，有的變化頻率較高，這些因素都加劇了告知第三方身份信息、聯系方式的難度。

　　與個人信息保護法相銜接

　　不論是網絡安全法，還是電子商務法，近年來，我國對于網絡個人信息保護的力度持續加強。僅針對App收集使用個人信息，近兩年便出臺了多份規范。

　　不僅如此，與個人信息保護更為直接相關的個人信息保護法草案也正在審議中。

　　張韜注意到，征求意見稿中的很多規定都與個人信息保護法草案相呼應。比如，“敏感個人信息”一詞首次出現于個人信息保護法草案第二十九條中，征求意見稿第六條第六項要求處理敏感個人信息應單獨告知并取得同意，沿用了個人信息保護法草案的規定，對敏感個人信息的列舉也保持一致。

　　此外，征求意見稿的相關內容與個人信息保護法草案在立法精神、原則等方面也是基本一致的，包括“告知—同意原則”“最小必要原則”等。

　　在張韜看來，征求意見稿第二條指出“法律、行政法規對個人信息處理活動另有規定的，適用其規定”，這為征求意見稿與個人信息保護法未來的銜接預留了充足和必要的空間。