2021年11月1日,《个人信息保护法》正式生效施行,标志着我国个人信息保护新阶段的全面开启。当前数字经济大背景下,移动互联网应用程序(以下简称APP)的应用日益广泛,业已成为个人信息保护首当其冲的重点领域之一。在新的法律框架下,开展APP个人信息保护应当重点关注什么?相关各方需要推进哪些工作?这些问题都值得我们深入探讨。
一、APP个人信息保护必要性日益凸显
APP随着手机用户增加而持续高速增长。据CNNIC发布的第48次《中国互联网络发展状况统计报告》显示,截止到2021年6月,我国手机网民规模已达到10.07亿,网民使用手机上网的比例为99.6%。可见,以手机为主要平台的各类APP面临更加广阔的流量基础和发展前景。另据工信部公布的《2020年互联网和相关服务业运行情况》显示,截止到2020年底国内各类手机终端APP已达345万款。
与APP高速增长形成鲜明对比的是APP个人信息保护形势日益严峻。据中国互联网协会《中国网民权益保护调查报告》显示,网民因个人信息泄露等原因遭受的经济损失约为每年800-1000亿元。另据中国消费者协会在开展的APP个人信息收集与隐私政策测评结果显示,在收集个人信息方面,纳入测评的100款APP普遍存在涉嫌过度收集个人信息的情况,包括“位置信息”、“通讯录信息”、“身份信息”、“手机号码”等。
二、《个人信息保护法》确立了基本权利义务框架
为加强APP个人信息保护,国家先后采取了一系列举措,初步建立了相关的保护制度规范框架和监督管理机制。《个人信息保护法》的颁布实施,不仅进一步巩固了这些制度和管理成果,而且对于用户方权利、服务方义务做出了体系化提升。
( 一 ) 用户方的四项权利
在APP个人信息保护的场景下,《个人信息保护法》对于个人信息权利的规定,可以大致概括为四项,即:知情权、决定权、安全权和选择权。
一是知情权。主要是指用户对与自己有关的自身个人信息和对与自身有利害关系影响的信息所享有的了解和知悉的权利,一般主要包括信息查询、复制等具体权利。《个人信息保护法》第四十五条(第一、二款)、第四十八条即具体规定了个人信息查阅、复制、以及要求个人信息处理者解释处理规则等具体知情权,明确了权利内容、权利行使条件和行使方式等。
二是决定权。主要是指用户对自身的个人信息处置的权利,一般主要包括发现个人信息有错误时提出异议的权利,以及要求个人信息处理者删除个人信息等具体权利。《个人信息保护法》第四十五条(第三款)、第四十七条具体规定了个人信息的指定转移权、请求删除权,并明确了该项具体权利的适用范围、行使流程等内容。
三是安全权。主要是指用户对于个人信息享有的维护信息完整、确保个人信息处于有效保护和合法利用状态的权利,一般主要包括保护信息完整权、排除风险权、消除侵害权等具体权利形式。《个人信息保护法》第四十六条具体规定了个人用户享有的要求个人信息处理者实施更正、补充的权利;此外法律还在总则部分规定了信息处理质量的要求(第八条)。
四是选择权。该权利相对于前三种权利而言是一种衍生权力,即基于个人信息权利而做出是否使用、或使用哪些APP服务的权利,其在权利形式上一般表现为确认权、退出权等。《个人信息保护法》对于个人用户选择权的规定,主要是通过对个人“同意”的规定来体现的,法律条款涉及第十三条、十四条、十五条、十六条,对个人同意的条件、做出方式、撤回同意的影响和效力等进行了明确。
( 二 ) 服务方的三项义务
在APP个人信息保护的场景下,《个人信息保护法》通过明确规定服务提供方义务的方式,强化对个人用户权利的保护,并进一步推进理顺监管机制。法律对于服务方义务的规定,可以概括归纳为三大项:一般保护义务、特殊保护义务和保障机制义务。
一是一般保护义务。主要是指与服务方承担的与用户方权利相对应的各项基本保护义务,包括对用户知情权、决定权、安全权、选择权及其各项具体权利的保护方式和制度等。《个人信息保护法》第五十一条规定了保护用户个人信息的具体5项措施要求,包括:建立内部制度和规程、实行分类管理要求、采取相应安全技术措施、从业人员定期教育培训、制定应急预案等。
二是特殊保护义务。主要是指服务方承担的除了基本保护义务之外、需要额外承担的特别保护责任,主要是针对特殊用户群体、特殊保护对象或者服务方本身具有特殊影响的情况。《个人信息保护法》规定的特殊义务主要有:敏感个人信息处理义务、重要互联网平台及用户数量大和业务类型复杂的服务方义务两类。前者包括:取得书面同意、取得单独同意、进行额外告知等义务(第二十八条至第三十二条规定);后者包括:建立外部独立监督机构、制定平台规则、发布社会责任报告等义务(第五十八条)。
三是基础保障义务。主要是指为确保实现保护义务而需要承担和开展的合规类建设职责,表现形式上一般是自行或委托第三方开展相关安全检测评估等。《个人信息保护法》规定的基础保障义务主要包括设立保护专人或专职机构、定期开展合规审计、开展前置影响评估、及时采取补救措施并报告等(第五十二条至第五十七条),法律通过明确适用主体类别、制定详细适用条件等方式,强化了此类义务的界限和可操作性。
三、对APP个人信息保护影响的思考和展望
《个人信息保护法》的施行,无疑进一步加强了对APP用户个人信息的保护广度和深度,而其对于APP监管者、APP信息处理者、APP合规保障者三方主体的影响则更具有全局性和深远价值。笔者将结合思考研判,分别加以简析。
首先,推进APP监管者优化监督管理。一是从监管主体来看,将进一步强化协同机制。《个人信息保护法》以专章(第六章)明确了个人信息保护的管理框架,即“国家网信部门负责统筹协调”、“国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作”,可见在APP个人信息保护领域,相关部门基于这一监管框架强化落实分工协同,将成为监管发展主基调。二是从监管依据来看,法规和标准规范将加速出台。在法规层面,除了此前已公开征求意见的《移动互联网应用程序个人信息保护管理暂行规定》将加速推进外,一批已生效实施的部门规章也将迎来修订完善的契机,包括《移动智能终端应用软件预置和分发管理暂行规定》等;在标准方面,与APP收集个人信息相关的基本要求、同意权认定方法、检测评估规范等也将成为重点立制方向。三是从监管手段来看,检查监督举措的统筹性将持续加强。当前针对APP个人信息保护的检查和反馈机制已初具规模且成效明显,而如何加强不同行业领域监督检查之间的统筹协调、最大限度减小被监管对象的负担、强化检查结果的互认等,或将是优化监管手段的一个重要方向。
其次,推进APP信息处理者强化合规落实。《个人信息保护法》对于APP信息处理者(包括平台运营者、分发者、智能移动终端生产企业、网络接入服务提供者等)而言,其影响将主要体现在三个方面:一是APP经营思路将加速收敛。法律的施行将进一步督促APP信息处理者加快树立保护个人信息的“红线”意识,避免过激的“唯流量论”发展思路。二是APP信息处理者在个人信息保护方面的建章立制将提速。受高压监管和处罚的影响,APP服务提供者必然会强化健全法律要求的规章机制,在个人信息保护制度完善、机构人员设置、流程补足等多个方面优先发力。三是加强APP在个人信息保护上的技术改进和提升。改进提升APP自身的推荐算法、个人信息保护规则、信息核查机制等技术设置或将更具实质意义,在此方面APP信息处理者可选路径包括多种,如基于自身技术实力自行研发、或引入第三方专业力量联合推进等。
再次,拉动APP合规保障市场加快创新发展。《个人信息保护法》在强化监管的同时,也为APP合规保障市场的发展带来新的发展动能。一是促进APP基础开发服务创新发展,包括为APP提供软件开发工具包(SDK)、封装、加固、编译环境等,将迎来个人信息保护需求带来的更新、改进发展契机。二是促进APP个人信息保护检测技术和平台创新发展,检测技术将重点围绕隐私条款的内容合规性、APP功能的个人信息需求梳理、对引用第三方嵌入工具个人信息保护的核实等等。三是促进APP个人信息保护支撑服务创新发展,此类业务主要包括个人信息保护相关规划咨询、个人信息保护合规审计、个人信息保护影响评估、个人信息保护风险监测、个人信息保护教育培训等。
总之,加强APP个人信息保护是个人信息保护领域至关重要的一环,在当前推进数字经济发展的进程中具有十分直接的现实意义。值此《个人信息保护法》生效施行之际,绿盟科技将依托自身在个人信息保护方面的丰富服务实践和技术产品积累,为加强个人信息保护事业持续赋能。
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。