魏書音 李東格

摘 ? 要：近年來，App強(qiáng)制授權(quán)、過度索權(quán)、超范圍收集個(gè)人信息的現(xiàn)象大量存在，違法違規(guī)使用個(gè)人信息的問題十分突出，廣大網(wǎng)民對此反映強(qiáng)烈。國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、市場監(jiān)管總局根據(jù)《關(guān)于開展App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理的公告》，在近一年專項(xiàng)治理工作基礎(chǔ)上，依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》（本文簡稱《網(wǎng)絡(luò)安全法》）等法律法規(guī)，制定發(fā)布了《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》，為App評(píng)估和處置提供參考，為App運(yùn)營者自查自糾提供指引。文章分析了認(rèn)定方法的制定背景、意義及主要規(guī)范內(nèi)容，認(rèn)為《認(rèn)定方法》從源頭根治個(gè)人信息安全問題，啃個(gè)人信息保護(hù)的“硬骨頭”，標(biāo)志著個(gè)人信息保護(hù)工作進(jìn)入更為深入階段。

關(guān)鍵詞：App;收集使用個(gè)人信息;網(wǎng)絡(luò)安全法

中圖分類號(hào)：DF92 ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： In recent years， there have been a large number of phenomena such as mandatory collection of personal information， excessive collection of personal information by Apps， and the illegal use of personal information is very prominent， which has aroused strong reactions from netizens.Cyberspace Administation of China， Ministry of Industry and Information Technology of Peoples Republic of China， State Administration for market Regulation， The Ministry of Public Security of the Peoples Republic of China based on the special governance work nearly a year， according to the network security law and other laws and regulations， formulate released 《Identification Methods of App's Illegal Collection and Use of Personal Information》， provide a reference for assessment and treatment of App， provide guidance to operators of self-check App.This paper analyzes the background， significance and main contents of the identification method， and holds that the identification method can root out the problem of personal information security at the source， gnaw the "hard bone" of personal information protection， marking the work of personal information protection has entered a deeper stage.

Key words： Data on cross-border;Free flow of data; Cross-border data flow regime

1 引言

近年來，App強(qiáng)制授權(quán)、過度索權(quán)、超范圍收集個(gè)人信息的現(xiàn)象大量存在，違法違規(guī)使用個(gè)人信息的問題十分突出，廣大網(wǎng)民對此反映強(qiáng)烈。為落實(shí)《網(wǎng)絡(luò)安全法》《消費(fèi)者權(quán)益保護(hù)法》的要求，為保障個(gè)人信息安全，維護(hù)廣大網(wǎng)民合法權(quán)益[1]。中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場監(jiān)管總局決定，自2019年1月至12月，在全國范圍組織開展App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理。根據(jù)《關(guān)于開展App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理的公告》，在近一年專項(xiàng)治理工作基礎(chǔ)上，四部門制定發(fā)布了《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》（本文簡稱“《認(rèn)定方法》”），為App評(píng)估和處置提供參考，為App運(yùn)營者自查自糾提供指引。

2 《認(rèn)定方法》：啃個(gè)人信息保護(hù)的“硬骨頭”

《認(rèn)定方法》結(jié)合App功能特性，針對移動(dòng)互聯(lián)網(wǎng)行業(yè)現(xiàn)存的個(gè)人信息收集使用方面存在的突出問題，對《網(wǎng)絡(luò)安全法》關(guān)于個(gè)人信息保護(hù)的原則性要求進(jìn)行了細(xì)化說明。一是明確違法違規(guī)行為的具體表現(xiàn)形式，如“未經(jīng)用戶同意收集使用個(gè)人信息”不僅包括了根本沒有征求用戶同意的情況，還有收集完信息再征求用戶同意、實(shí)際收集的信息超出用戶授權(quán)范圍、App更新時(shí)自動(dòng)更改用戶設(shè)置的權(quán)限狀態(tài)等情況;二是細(xì)化解釋法律規(guī)定的原則性要求，如明確了《網(wǎng)絡(luò)安全法》規(guī)定的“必要”“明示”等的具體含義和要求。“必要”是指實(shí)現(xiàn)業(yè)務(wù)功能所必需，如改善服務(wù)質(zhì)量、提升用戶體驗(yàn)等不屬于必要范圍，“明示”要求逐項(xiàng)列舉、目的明確、易于理解，收集使用規(guī)則更新時(shí)提示用戶等;三是指明以不正當(dāng)方式逃避監(jiān)管，實(shí)際上并未履行法律責(zé)任的情況，如《網(wǎng)絡(luò)安全法》要求網(wǎng)絡(luò)運(yùn)營者公開收集使用規(guī)則，而有些App雖然有隱私政策，但是并未充分履行告知義務(wù)。隱私政策中幾乎不涉及收集使用規(guī)則，或隱私政策在App中十分隱蔽、難以找到，或隱私政策不是在App中公布，而是在官網(wǎng)等用戶無法直接查看的地方公布，或沒有提供簡體中文版本，用戶難以閱讀?！墩J(rèn)定方法》明確要求收集使用規(guī)則必須在App中以用戶便于訪問和閱讀的形式展現(xiàn)，并且根據(jù)行業(yè)和監(jiān)管實(shí)際，規(guī)定進(jìn)入主界面后，通過少于四次點(diǎn)擊等操作即可訪問到。

值得說明的是，《認(rèn)定方法》主要針對App收集使用個(gè)人信息的行為，至于個(gè)人信息安全保護(hù)措施、非法買賣等犯罪行為不是其重點(diǎn)規(guī)范對象。目前，個(gè)人信息收集使用方面的法律規(guī)定較為單一，執(zhí)法監(jiān)管經(jīng)驗(yàn)不足，服務(wù)模式、業(yè)務(wù)功能復(fù)雜多樣，很多收集使用個(gè)人信息的做法處于灰色地帶，監(jiān)管難度較大，尤其過度收集行為更是個(gè)人信息安全的根源性問題?！墩J(rèn)定方法》在App違法違規(guī)收集使用個(gè)人信息評(píng)估工作的基礎(chǔ)上，通過深入行業(yè)進(jìn)行調(diào)研，根據(jù)法律法規(guī)劃定出違法違規(guī)行為界限，尤其著力探索破解強(qiáng)制收集、超范圍收集、隱蔽收集個(gè)人信息等現(xiàn)存突出問題和治理難題，從源頭根治個(gè)人信息安全問題，啃個(gè)人信息保護(hù)的“硬骨頭”，標(biāo)志著個(gè)人信息保護(hù)工作進(jìn)入更為深入的階段。

3 《認(rèn)定方法》主要內(nèi)容

3.1 強(qiáng)制收集使用個(gè)人信息

有些App要求用戶一次性同意其收集所有業(yè)務(wù)功能所需的個(gè)人信息，或要求用戶授權(quán)其運(yùn)營的其他產(chǎn)品及第三方插件收集用戶個(gè)人信息，或要求用戶授權(quán)與所謂的“關(guān)聯(lián)企業(yè)”共享個(gè)人信息，不同意則不提供服務(wù)。較為典型的是將TargetSdkVersion值設(shè)置小于23，要求用戶一次性同意開啟多個(gè)可收集個(gè)人信息的權(quán)限，用戶不同意則無法安裝使用;有些App在用戶明確表示不同意后，仍頻繁征求用戶同意進(jìn)而干擾用戶正常使用，強(qiáng)迫用戶提供個(gè)人信息。

對此，《認(rèn)定方法》要求App運(yùn)營者不得通過一攬子征求同意的方式、不同意則拒絕提供無關(guān)業(yè)務(wù)功能、頻繁征求同意等強(qiáng)制性方式獲得用戶授權(quán)。

3.2 超范圍收集使用個(gè)人信息。

有些App收集與所提供服務(wù)無關(guān)的個(gè)人信息。很多App為了增加產(chǎn)品功能豐富性，通常將多種業(yè)務(wù)功能集中開發(fā)在一款產(chǎn)品中，要求用戶同意所有業(yè)務(wù)功能所需個(gè)人信息，不提供任一個(gè)人信息，則拒絕提供所有服務(wù);有些App在不使用相關(guān)功能時(shí)，仍頻繁收集僅為此項(xiàng)功能所需的個(gè)人信息，或者超出業(yè)務(wù)功能所需頻率收集個(gè)人信息。

目前，利用個(gè)人信息和算法進(jìn)行定向推送已成為一些互聯(lián)網(wǎng)行業(yè)的一大營利模式，有些企業(yè)為實(shí)現(xiàn)精準(zhǔn)推送，往往以改善程序功能、提高用戶體驗(yàn)、定向推送等目的強(qiáng)迫用戶提供并非實(shí)現(xiàn)業(yè)務(wù)功能所必需的個(gè)人信息。有些企業(yè)為了宣傳產(chǎn)品，未經(jīng)用戶同意將所收集的用戶個(gè)人信息提供廣告營銷商處理，進(jìn)行廣告推送。

對此，《認(rèn)定方法》要求不得收集無關(guān)的個(gè)人信息，不得強(qiáng)制收集非必要的個(gè)人信息。非必要信息包括“不是業(yè)務(wù)功能所必需”“僅為改善服務(wù)質(zhì)量、提升用戶體驗(yàn)、定向推送信息、研發(fā)新產(chǎn)品所需要”“新增業(yè)務(wù)功能所需個(gè)人信息”等。

3.3 隱瞞用戶收集使用個(gè)人信息。

有些App在用戶注冊界面默認(rèn)勾選同意隱私政策，非常容易導(dǎo)致用戶在毫不知情的情況下進(jìn)行授權(quán);有些App在隱私政策中使用“包括但不限于”“可能用于”等開放式表述，未完整列出具體的個(gè)人信息類型，通過要求用戶同意隱私政策而獲得收集無限制多類個(gè)人信息的授權(quán);有些App在安裝后，未征得用戶同意，就開始使用Cookie等同類技術(shù)收集用戶設(shè)備IMEI號(hào)、MAC地址等個(gè)人信息;有些App為降低成本、提升效率，通過嵌入各類第三方插件（如SDK）實(shí)現(xiàn)產(chǎn)品功能的多樣化，而這些第三方插件成為“隱形扒手”，在用戶不知情的情況下收集個(gè)人信息，甚至將個(gè)人信息傳至境外服務(wù)器;有些App故意隱瞞、掩飾收集使用個(gè)人信息的真實(shí)目的，或者使用模糊性語言使得收集個(gè)人信息目的不明確、難以理解，誤導(dǎo)用戶同意收集個(gè)人信息;有些App通過其他產(chǎn)品賬號(hào)登錄，未經(jīng)用戶同意，訪問用戶其他產(chǎn)品中的個(gè)人信息;有些App在其界面顯示其他產(chǎn)品鏈接，一旦用戶點(diǎn)擊即默認(rèn)注冊，未經(jīng)用戶同意將個(gè)人信息提供第三方。

對此，《認(rèn)定方法》要求App運(yùn)營者通過逐項(xiàng)列舉的方式明確App及委托第三方、嵌入第三方代碼和插件收集個(gè)人信息類型，在收集個(gè)人敏感信息或獲取權(quán)限時(shí)同步告知用戶目的[2]，確保用戶知悉收集個(gè)人信息的真實(shí)明確目的，收集使用行為要經(jīng)過用戶明確授權(quán)等。

4.4 未設(shè)置有效的更正、刪除個(gè)人信息及注銷用戶賬號(hào)的功能。

有些App雖設(shè)置相關(guān)功能和渠道，但是無法及時(shí)響應(yīng);有些App仍把注銷過的賬號(hào)信息保留于服務(wù)器，注銷賬號(hào)機(jī)制無效;有些App在用戶注銷時(shí)，要求滿足提供超出用戶注冊時(shí)所需信息等不合理?xiàng)l件，否則不予注銷。

對此，《認(rèn)定方法》要求App運(yùn)營者不僅要設(shè)置更正、刪除個(gè)人信息及注銷用戶賬號(hào)的功能，還有要求能夠給及時(shí)響應(yīng)，并不得設(shè)置不合理的前提條件。

4 結(jié)束語

近年來，個(gè)人信息逐漸成為互聯(lián)網(wǎng)行業(yè)最具價(jià)值的核心資源，最大限度地收集個(gè)人信息成為行業(yè)普遍現(xiàn)象。國家高度重視個(gè)人信息保護(hù)，中央網(wǎng)信辦、工信部等部門開展專項(xiàng)治理、重拳出擊，并不再僅局限于個(gè)人信息買賣等犯罪行為，將治理目標(biāo)前移，全力整治個(gè)人信息收集使用方面存在的違法違規(guī)行為[3]。目前，個(gè)人信息收集使用方面的法律規(guī)定較為單一，執(zhí)法監(jiān)管經(jīng)驗(yàn)不足，服務(wù)模式、業(yè)務(wù)功能復(fù)雜多樣，很多做法處于灰色地帶，監(jiān)管難度較大，尤其過度收集行為更是個(gè)人信息安全的根源性問題[4]?！墩J(rèn)定方法》對《網(wǎng)絡(luò)安全法》所確認(rèn)的六類違法違規(guī)行為進(jìn)行分解細(xì)化，為監(jiān)管部門明確統(tǒng)一認(rèn)定標(biāo)準(zhǔn)、企業(yè)自查自糾確立了指導(dǎo)性標(biāo)準(zhǔn)，對個(gè)人信息保護(hù)工作具有重要意義。同時(shí)，《認(rèn)定方法》也是監(jiān)管部門深入治理的標(biāo)志，監(jiān)管部門不僅要關(guān)注App運(yùn)營者的行為，還深入分析背后的利益鏈和問題動(dòng)因，不僅要治理客戶端的問題，更要深入后臺(tái)發(fā)現(xiàn)問題，不僅要關(guān)注一款A(yù)pp，還要關(guān)注同一運(yùn)營者旗下的多款A(yù)pp以及嵌入App的SDK等第三方插件、數(shù)據(jù)處理者等合作方等行為[5]。

參考文獻(xiàn)

[1] 彭晴菲.網(wǎng)絡(luò)環(huán)境下用戶隱私權(quán)的憲法保護(hù)探析[J].北京工業(yè)職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2019，18（04）：104-108.

[2] 張新寶.個(gè)人信息收集：告知同意原則適用的限制[J].比較法研究，2019（06）：1-20.

[3] 劉文林.大數(shù)據(jù)時(shí)代背景下個(gè)人信息安全問題與對策[J].通訊世界，2019，26（11）：59-60.

[4] 丁可寧.明確法律解釋 保護(hù)個(gè)人信息安全[J].中國防偽報(bào)道， 2019（11）：76.

[5] 魏波，劉曉昊.個(gè)人信息數(shù)據(jù)網(wǎng)絡(luò)收集與管理的行政規(guī)制[J].網(wǎng)絡(luò)空間安全，2019，10（05）：12-17.