Loading
2020-10-29 11:29:00
本篇是系列文章的第一篇:政府机构如何监管App运营商?
一、App监管规则陆续出台
2019年1月25日,中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》(以下简称《公告》)。《公告》指出为保障个人信息安全,维护广大网民合法权益,四部门决定,自2019年1月至12月,在全国范围组织开展 App 违法违规收集使用个人信息专项治理活动。《公告》同时指出,全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立App违法违规收集使用个人信息专项治理工作组(以下简称“App专项治理工作组”),具体推动App违法违规收集使用个人信息评估工作,App合规监管自此拉开帷幕。
《公告》发布后不久,2019年3月1日,App专项治理工作组在其运营的“App个人信息举报”微信公众号上发布《App违法违规收集使用个人信息自评估指南》(以下简称《自评估指南》),《自评估指南》从“隐私政策文本”“App 收集使用个人信息行为”“App 运营者对用户权利的保障”三大评估面入手,列举了App合规收集个人信息的9个评估项,32个评估点,以此指导App运营者对其收集使用个人信息的情况进行自查自纠。
《自评估指南》的目的在于引导App运营商自觉做好合规收集个人信息工作,市场监管总局、中央网信办在此基础上,于2019年3月13日发布《关于开展App安全认证工作的公告》(以下简称《App安全认证》)和《移动互联网应用程序(App)安全认证实施规则》(以下简称《App安全认证实施规则》),进一步提出App运营商不仅要做好合规工作,还鼓励其申请安全认证。其中,《App安全认证》规定:从事 App 安全认证的认证机构为中国网络安全审查技术与认证中心,检测机构由认证机构根据认证业务需要和技术能力确定。《App安全认证实施规则》主要从认证模式、认证程序、认证时限、认证证书、认证证书和认证标志的使用和管理等多个方面规定App运营商申请安全认证的操作指南。
上述《自评估指南》、《App安全认证》和《App安全认证实施规则》从App运营商内部发力,通过激发企业内部动力督促其做好合规方案。在外部监管上,App专项治理工作组在2019年5月5日发布了《App违法违规收集使用个人信息行为认定方法(征求意见稿)》(以下简称《认定方法》),《认定方法》从外部监管施压,迫使企业完成信息收集的合规整改。《认定方法》总结了过去半年各类App运营商违法违规收集个人信息的突出问题,归纳出“没有公开收集使用规则的情形”“没有明示收集使用个人信息的目的、方式和范围的情形”“未经同意收集使用个人信息的情形”“违反必要性原则,收集与其提供的服务无关的个人信息的情形”“未经同意向他人提供个人信息的情形”“未按法律规定提供删除或更正个人信息功能的情形”“侵犯未成年人在网络空间合法权益的情形”等7种认定类型,只要符合7种认定类型的App运营商,都将落入合规整改范围之列。
根据上文可以看出,App监管规则从2019年1月发布《公告》开始便拉开了强监管的帷幕,此后每隔两个月便有相关的规范性文件出台。起初是从内部发力督促整改,鼓励其申请安全认定的文件,往后则是发布从外部实施监管,迫使其做好合规整改的文件,最终形成内外合力,双重联合的态势。App监管规则发布情况详见下图:
二、App监管规则落地实施情况
在过去一段时间,政府机构接连不断发布App监管规则,这些监管规则是否有贯彻落实?追踪发现,政府机构发布的App监管规则大多都在实践中得到了落实。
例如,四部门发布《公告》后不久,全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会即联合成立了App专项治理工作组,工作组通过设立“App个人信息举报”微信公众号和“pip@tc260.org.cn”专门邮箱两种举报渠道,专门面向广大网友征集App运营商违法违规收集个人信息的情况。
同时,在大型活动上,如在2019年3·15晚会上,App专项治理工作组专家现场曝光评估工作中发现的“社保掌上通”App等应用程序违法违规收集个人信息典型问题,将其做成典型案例,对过度索权行为进行震慑。
此外,App专项治理工作组监管力度不断加大。2019年4月上旬,App专项治理工作组针对30款用户量大、问题严重的App,向其运营者发送了整改通知,要求App运营者认真整改、举一反三,及时纠正个人信息收集使用方面存在的问题。据悉,首批通知整改的30款App中,大部分企业已进行整改,效果良好。
2019年5月24日,App专项治理工作组公布了100款常用App申请收集使用个人信息权限问题,将同一类型App的申请权限以及强制申请开启权限情况进行统计和对比分析,旨在通过公开披露、持续关注的方式,引导App运营单位进行自查自纠,形成社会监督效应。2019年5月下旬,除首次整改的30款App外,App专项治理工作组又分批次组织了两批App违法违规收集使用个人信息评估工作,涉及近300款App。
2019年7月11号,App专项治理工作组发布了包括中国建设银行在内的“10款App存在无隐私政策等问题的通报”,2019年7月16号,App专项治理工作组又发布了“关于督促40款存在收集使用个人信息问题的App运营者尽快整改的通知”。除了发布通报外,App专项治理工作组同时追踪违法违规收集个人信息的运营商的整改情况,并在2019年7月25日通过“App个人信息举报”微信公众号发布了“关于App问题整改情况”的通知。
截至2019年8月上旬,App专项治理工作组收到举报信息近6000条,其中实名举报约2000条,共涉及1800余款App,已有几十款App遭到强制下架、上百款App被点名整改,App监管规则落地实施情况可见一斑(具体详见下图):
三、全局观:个人信息监管的规则体系
上述内容已经将政府机构如何监管App运营商,从监管规则到监管的实际操作都做了较为详细的论述。然而,笔者认为App合规监管需将其放在个人信息监管的大背景下理解,才能拥有更宏大的全局观。须知,随着美国Facebook泄密案的出现和欧盟GDPR的发布实施,数据合规问题得到了全世界的普遍关注,并且从2018年开始,我国的个人信息监管也在不断加强中,App合规监管是目前个人信息监管中较为突出的一环,随着后续对个人信息监管的不断加深,将会影响到更多行业、更多细分领域,因此了解个人信息监管的规则体系实有必要。
研究发现,我国的个人信息监管发端于刑事领域,已经在刑事领域形成较为体系的监管规范。例如,2009年《刑法修正案(七)》第7条规定:增订《刑法》第253-1条,新增出售、非法提供公民个人信息罪和非法获取公民个人信息罪,从而将公民个人信息纳入刑法保护范畴。其后《刑法修正案(九)》第17条对第253-1条做了修改,将原本两罪名修改为侵犯公民个人信息罪,此后侵犯公民个人信息罪一直沿用至今。个人信息保护的罪名演变详见下表:
|
表1:个人信息刑事保护的内容演变情况 |
|
|
《刑法修正案(七)》第7条(2009年) |
《刑法修正案(九)》第17条(2015年) |
|
国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。 窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。 单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。 |
违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。 违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。 窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。 单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。 |
|
资料来源:笔者自制 |
|
相较于体系较为完善的个人信息刑事保护,个人信息在民事法和行政法上的保护内容分散、领域杂乱,整体上呈现“供应不足”的现象。个人信息保护的民事法和行政法等规范性文件检索详见下表:
|
表2:涉及个人信息保护的民事法和行政法等规范性文件检索概观 |
||
|
规范性文件名称 |
法律规定 |
效力层级 |
|
《中华人民共和国民法总则》(2017.10发布) |
第110条、第111条 |
法律 |
|
《中华人民共和国侵权责任法》(2010.07发布) |
第2条、第62条 |
法律 |
|
《中华人民共和国消费者权益保护法》(2013.10修改) |
第29条、第50条、第56条 |
法律 |
|
《中华人民共和国统计法》(2009.06修改) |
第9条、第39条 |
法律 |
|
《中华人民共和国居民身份证法》(2011.10修改) |
第6条、第13条、第19条、第20条 |
法律 |
|
《中华人民共和国商业银行法》(2015.08修改) |
第29条 |
法律 |
|
《中华人民共和国执业医师法》(2009.08修改) |
第22条、第37条 |
法律 |
|
《中华人民共和国网络安全法》(2016.11发布) |
第四章“网络信息安全” |
法律 |
|
《中华人民共和国邮政法》(2015.04修改) |
第3条、第36条、第64条 |
法律 |
|
《中华人民共和国未成年人保护法》(2012.10修改) |
第39条、第69条 |
法律 |
|
《中华人民共和国母婴保健法》(2017.11修改) |
第34条 |
法律 |
|
《中华人民共和国妇女权益保障法》(2018.10修改) |
第42条 |
法律 |
|
《中华人民共和国传染病防治法》(2013.06修改) |
第12条、第68条 |
法律 |
|
《中华人民共和国律师法》(2017.09修改) |
第38条 |
法律 |
|
《中华人民共和国电信条例》(2016.02修改) |
第65条 |
行政法规 |
|
《征信业管理条例》(2013.01发布) |
第3条 |
行政法规 |
|
《快递暂行条例》(2018.03发布) |
第4条 |
行政法规 |
|
《保安服务管理条例》(2009.10发布) |
第25条、第30条、第43条 |
行政法规 |
|
资料来源:笔者自制,2019年3月
|
||
从上表可以看出,个人信息并没有设置专法进行保障,除了《网络安全法》开辟专章规范网络信息安全外,其余的法律均是零散的条款规定,不成体系。同时,个人信息的保护内容较为分散,保护的领域有金融行业、互联网行业、律师行业、母婴行业、物流行业等行业,领域较为混乱,并且各个领域的保护力度也明显不够。整体而言,个人信息在民事法和行政法上保护不成体系,规范密度不足。
然而,值得注意的是,2019年开始,政府在监管个人信息上开始着重发力,特别在2019年5月到6月之间,网信办等部门接连发布《数据安全管理办法(征求意见稿)》、《儿童个人信息网络保护规定(征求意见稿)》、《个人信息出境安全评估办法(征求意见稿)》、《信息安全技术个人信息安全规范》(征求意见稿)等规范性文件,个人信息监管持续呈井喷态势,似有扭转个人信息在行政法上保护力度不足的劣势,该趋势尤其应得到重视。
总体而言,我国个人信息监管的规则体系发端于刑事领域,在民事和行政法规范领域较为混乱,不成体系,但随着2019年政府对个人信息监管力度的加强,行政监管体系有逐步发展壮大的趋势。