(网经社讯)2021年4月26日,工业和信息化部信息通信管理局(以下简称工信部通管局)发布了《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》(以下简称《征求意见稿》),并向社会公开征求意见。工信部通管局指出,App治理是一项具有长期性、复杂性的系统治理工作,有必要将近年来取得的成熟经验做法和管理措施转换为制度性规范文件。《征求意见稿》出台,正是强化App个人信息保护管理的系统性、整体性和协同性,回应当前个人信息保护面临的诸多问题和挑战。
《征求意见稿》共计二十条,分别界定了适用范围和监管主体;确立了“知情同意”“最小必要”两项重要原则;细化了App开发运营者、分发平台、第三方服务提供者、终端生产企业、网络接入服务提供者等五类主体责任义务;提出了投诉举报、监督检查、处置措施、风险提示等四方面规范要求。本文将结合法律实务,简要分析《征求意见稿》的六大要点,为合规做好准备。
一、明确App个人信息处理活动涉及主体
《征求意见稿》结合监管部门近两年来已经成熟的经验做法和管理措施制度,以互联网的分层结构为线索,系统性明确了参与App个人信息处理活动的主体,具体包括:
(一)网络接入服务提供者,是指从事互联网数据中心(IDC)业务、互联网接入服务(ISP)业务和内容分发网络(CDN)业务,为App提供网络接入服务的电信业务经营者,包括移动、电信、联通等网络运营商。这部分主体从事基础网络服务,虽然不能在个人信息保护中起到直接作用,但对于监管部门的违法纠正措施可以起到落实作用,所以也是主体之一。
(二)移动智能终端生产企业,是指生产能够接入公众网络,提供预置App或者具备安装App能力的移动智能终端设备的主体,例如苹果、华为、小米等企业;如果把App比喻为一个工具,那么这部分主体所生产的设备就是工具箱,就个人信息保护同样起到源头的控制作用。
(三)App分发平台,是指通过应用商店、应用市场、网站等方式提供App下载、升级服务的软件服务平台,例如苹果市场(Apple Store)、华为应用市场、腾讯应用宝、百度应用商店等。
(四)App开发运营者和App第三方服务提供者,前者指的是从事App开发和运营活动的主体,这也是个人信息保护重要规制对象,后者则指向相对于用户和App以外的,为App提供软件开发工具包(SDK)、封装、加固、编译环境等第三方服务的主体。结合《网络安全标准实践指南-移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》(TC260-PG-20205A,以下简称《SDK安全指引》)第3.2条“常见SDK类型”的规定可知,两者均属于App内容服务的提供者。
过去对个人信息保护实践更多关注的是App内容服务提供者,而忽视了其他参与者同样就违规处理个人信息行为会有所涉及,例如,《工业和信息化部关于开展纵深推进App侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号)即指出应用分发平台责任落实不到位的问题。原因在于App内容服务提供者数量众多,且与个人信息主体的关系最为密切。此次《征求意见稿》明确了涉及App个人信息处理活动的全周期的主体,并规定了各自的个人信息安全保护义务,将对个人信息保护起到积极作用。
二、明确App个人信息保护的监管分工
《征求意见稿》第4条明确各部门对App个人信息保护的监管职责。具体而言,在国家网信办负责统筹协调下,工业和信息化部、公安部、市场监管总局以及国家网信办建立健全App个人信息保护监督管理联合工作机制,在各自职责范围内负责App个人信息保护和监督管理工作。该规定明确了各部门的职责分工,有利于降低因监管部门职责不明而产生的行政监管及企业合规成本,在厘清职责分工的基础上也有利于四部委就重大问题积极开展联合整治活动。
第5条第2款规定:“相关行业组织和专业机构按照有关法律法规、标准及本规定,开展App个人信息保护能力评估、认证。”这些“相关行业组织和专业机构”应被视为监管的辅助力量,因其范围尚未明确,涉及设立许可、资格获取以及业务的开展等,有必要在正式版本或者后期规范性文件中予以明确。与之相关的是,《中华人民共和国个人信息保护法(草案二次审议稿)》(以下简称《个人信息保护法(二审稿)》)第38条第2项规定,个人信息处理者“按照国家网信部门的规定经专业机构进行个人信息保护认证”后,可向境外提供个人信息,即是评估、认证机制应用的具体制度。
三、细化App个人信息“知情同意”系列规则
《征求意见稿》第6条规定:“从事App个人信息处理活动的,应当以清晰易懂的语言告知用户个人信息处理规则,由用户在充分知情的前提下,作出自愿、明确的意思表示。”该条的表述与《个人信息保护法(二审稿)》第14、18条的表述基本一致。从遵守“知情同意”规范要求角度而言,App领域的个人信息处理者应以《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》(TC260-PG-20202A)、GB/T 35273-2020《信息安全技术 个人信息安全规范》《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号)等文件为参照。
特别值得关注的是,App环境中用户与企业制定的个人信息保护政策(隐私政策)之间的交互。《征求意见稿》第6条第2项指出“应当采取非默认勾选的方式征得用户同意”,若程序上无需用户点击个人信息保护政策,则有可能被法院认定为未履行充分告知义务,例如在“上海寻梦信息技术有限公司与徐寿锋管辖裁定书”中,江苏省苏州市中级人民法院认定“徐某某登录拼多多App 时,系统已经默认‘我已经阅读并同意服务协议与隐私政策’,徐寿锋仅需要通过输入手机号码、验证码等信息,点击“同意协议并登录”图标即可进入拼多多购物平台进行购物。整个购物过程均无须点击阅读《拼多多用户服务协议》,因此不能认定上海寻梦信息技术有限公司已采取合理方式对《拼多多用户服务协议》中的约定管辖条款向徐寿锋履行了提示义务,故应认定案涉协议管辖条款无效。”
实务中比较保险的做法是,中断用户当前操作界面,进行单独的弹窗提醒。《个人信息保护法(二审稿)》也在多处规定了“单独同意”的规范要求,此种单独提醒将成为未来App业务的常态。此外,复杂、频繁的交互设定也会有损于用户体验,进而违反相应规定。
四、明确App个人信息处理“最小必要”原则
《网络安全法》第41条和《民法典》第1035条规定了个人信息处理活动的“合法、正当、必要”原则,并规定“不得过度处理”,《个人信息保护法(二审稿)》第6条则强调了“目的限制”和“最小范围”原则。《征求意见稿》第7条明确了App个人信息处理“最小必要”原则。工信部通管局在《征求意见稿》的起草说明中将“知情同意”与“最小必要”并列称为原则,存在一定的误区。以《个人信息保护法(二审稿)》的体系来看,“目的限制”和“最小范围”原则位于“总则”部分,而“知情同意”原则贯穿于各项规则中。全国人大常委会法工委发言人也强调“告知-同意”系个人信息处理一系列规则的核心。因此,“最小必要”原则要求不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动,在正式稿中可将考虑第7条置于第6条之前。
实践中不少App内容服务提供主体存在违反“最小必要”原则的情形,为了拓展和完善其业务功能,往往在个人信息保护政策中“一股脑”地征求取得各类信息和处理活动权限的个人同意。2021年5月5日,国家网信办组织对输入法、地图导航等常见类型公众大量使用的部分App的个人信息收集使用情况进行了检测,31款App存在“违反必要原则,收集与其提供的服务无关的个人信息”的情况。就企业合规而言,近期生效的《常见类型移动互联网应用程序必要个人信息范围规定》能够提供参照,其划定了39种常见类型App的基本功能服务和必要个人信息范围,可以成为“最小必要”原则落地的重要参考依据。
五、细化App个人信息保护五类主体责任义务
《征求意见稿》对App治理的全链条、全主体、全流程予以规范,第8-12条分别规定了上述五类主体的具体责任义务。细化的责任义务内容,体现了将个人信息保护落实到设计、开发及运营各环节的理念,未来愈发严苛的数据合规要求,也将促使企业践行以人为本的技术实践。欧盟《一般数据保护条例》(General Data Protection Regulation,简称GDPR)以及美国《加利福尼亚州消费者隐私保护法案》(California Consumer PrivacyAct,简称CCPA)都强调了技术对于个人信息保护的作用。特别是GDPR第25条规定了数据控制者在处理个人数据时应实施适当的技术和组织措施,确保数据保护原则得以落实,特别是确保在默认情况下只有对特定处理目的有必要的个人数据才能被处理。
2021年3月22日,张新宝教授在中国人民大学民商事法律科学研究中心主办的“个人信息保护法中英研讨会”中认为,对数以百万计的App分别监管是困难的,应对实际上控制技术资源、技术环境和运营环境的信息处理者,设置“守门人”个人信息处理的特别义务。“守门人”包括应用程序的分发平台、操作系统以及大型平台App,承担的是个人信息处理的特殊义务。此种观点已被《征求意见稿》所吸收。App分发平台、移动智能终端生产企业、网络接入服务提供者均负有对App的身份登记、监督管理以及惩戒的义务。
就App开发运营者和App第三方服务提供者关系而言,《征求意见稿》第10条明确规定App第三方服务提供者负有向App开发运营者公开其个人信息处理目的、处理方式、处理类型、保存期限等内容的义务,并在发现安全风险或者个人信息处理规则变更时应当及时进行更新并告知App开发运营者。
结合《征求意见稿》第8条,应由App开发运营者向用户进行告知,并进行监督和管理。这是由于SDK通常无法独立展示前台页面,其告知行为需要借助宿主App向用户提供。法律效果上,App开发运营者未尽到监督义务的,应当依法与第三方服务提供者承担连带责任。该连带责任的要求,较之《SDK安全指引》根据App使用SDK方式的不同进行责任的区分,更为苛责。
实践中由于技术原因,App可能对SDK的个人信息处理情况不够了解,这就要求App开发运营者与App第三方服务提供者在订立开发者服务协议时明确约定数据安全的监管措施以及权利义务安排。
六、明确监管部门可采取处置措施
《征求意见稿》第16、17条明确了监督管理部门可依据各自职责对App处理个人信息的违规行为采取处置措施,具体而言包括责令整改与社会公告、下架处置、断开接入、信用管理。
特别是信用管理将会对企业产生较大威慑力,根据2015年多部门印发的《失信企业协同监管和联合惩戒合作备忘录》,市场监督管理部门(原工商行政管理部门)可对企业及其法定代表人,以及根据相关法律法规规定对企业严重违法行为负有责任的企业法人和自然人股东、其他相关人员,采取市场准入和任职资格限制。
在时间期限上,App若被责令整改,应在5日内完成整改,否则会被社会公告;社会公告后企业的整改亦应在5日内完成,否则将会遭到下架处理。对反复出现问题、采取技术对抗等违规情节严重的,将对其进行直接下架;被下架的App在40个工作日内不得通过任何渠道再次上架。此外,监督管理部门可以指导组织App分发平台和移动智能终端生产企业充分发挥“守门人”义务,对整改反复出现问题的App及其开发运营者开发的相关App,在集成、分发、预置和安装等环节进行风险提示,情节严重的采取禁入措施。
---结语---
个人信息保护的规范体系愈发完善和严格,任何涉及App场景下个人信息处理活动的市场主体都不能心存侥幸,应落实“以人为本”的技术设计和制度保障,切实维护用户的个人信息合法权益,提升企业信用和品牌声誉。
