APP違規(guī)收集個(gè)人信息 為何屢禁不止

來(lái)源:第一財(cái)經(jīng)

[ 當(dāng)前,APP信息超采、權(quán)限濫用等問(wèn)題越來(lái)越頻繁地被提及,這不僅是因?yàn)橄嚓P(guān)違法違規(guī)行為本身在增多,也是因?yàn)楹弦?guī)標(biāo)準(zhǔn)對(duì)APP個(gè)人信息處理活動(dòng)參與者責(zé)任的明細(xì)化,使得原本存在的問(wèn)題逐漸暴露出來(lái)。 ]

[ 2020年12月10日前,工信部完成覆蓋40萬(wàn)款主流APP檢測(cè)工作。 ]

當(dāng)APP處于靜默狀態(tài)下,圖片、音頻等個(gè)人信息被無(wú)感知收集;關(guān)閉定位權(quán)限后,要求重新授權(quán)的彈窗頻繁出現(xiàn);在某APP臺(tái)購(gòu)物付款時(shí),付費(fèi)方式連接的運(yùn)營(yíng)方也能收集到用戶的購(gòu)物信息,并被用以推送定制化廣告……

作為個(gè)人信息處理的首要環(huán)節(jié),“收集”是個(gè)人信息保護(hù)治理的關(guān)鍵。11月1日起,《個(gè)人信息保護(hù)法》(下稱“個(gè)保法”)正式實(shí)施,其規(guī)定個(gè)人信息的收集遵循“最小范圍”原則,即應(yīng)當(dāng)基于業(yè)務(wù)的處理目的收集必要信息,不得過(guò)度收集個(gè)人信息。

但在應(yīng)用軟件上,信息超采、權(quán)限濫用、數(shù)據(jù)外傳等違規(guī)采集個(gè)人信息的現(xiàn)象依然頻繁,這引起了相關(guān)監(jiān)管部門(mén)的持續(xù)關(guān)注。

日,工信部針對(duì)QQ音樂(lè)、小紅書(shū)、豆瓣等38款A(yù)PP,就超范圍、高頻次索取權(quán)限,非服務(wù)場(chǎng)景所必需收集用戶個(gè)人信息等問(wèn)題進(jìn)行通告,并要求其定期整改。

隨后,“優(yōu)化權(quán)限調(diào)用”、 建立已收集個(gè)人信息清單和與第三方共享個(gè)人信息清單等被列入工信部從11月起開(kāi)展的“信息通信服務(wù)感知提升行動(dòng)”,以進(jìn)一步推進(jìn)APP侵害用戶權(quán)益的治理。

伴隨相關(guān)規(guī)范文件的陸續(xù)出臺(tái)、執(zhí)法威懾力和覆蓋面的不斷增強(qiáng),APP運(yùn)營(yíng)商應(yīng)如何兼顧數(shù)據(jù)的商業(yè)價(jià)值和法律保護(hù)?相關(guān)企業(yè)在合規(guī)治理過(guò)程中,又存在哪些痛點(diǎn)、難點(diǎn)?

監(jiān)管趨嚴(yán)

對(duì)于運(yùn)營(yíng)商等APP個(gè)人信息處理活動(dòng)參與者而言,落實(shí)“收集”階段保護(hù)個(gè)人信息主體責(zé)任的前提和基礎(chǔ)是明晰“合規(guī)”的標(biāo)準(zhǔn)。

個(gè)保法第六條指出,處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的,并應(yīng)當(dāng)與處理目的直接相關(guān),采取對(duì)個(gè)人權(quán)益影響最小的方式。

那么,什么是“超范圍”收集信息?中國(guó)信息通信研究院互聯(lián)網(wǎng)法律研究中心高級(jí)研究員、個(gè)人信息保護(hù)立法研究團(tuán)隊(duì)負(fù)責(zé)人楊婕對(duì)記者表示,這是指與收集、處理目的不直接相關(guān),不具備必要的個(gè)人信息。例如,地圖導(dǎo)航類的基本功能服務(wù)為“定位和導(dǎo)航”,必要個(gè)人信息為位置信息、出發(fā)地、到達(dá)地。

記者注意到,個(gè)保法實(shí)施前后,已有部分APP推出了“基本功能模式”,該模式下,APP不會(huì)上傳用戶的任何個(gè)人信息,但用戶也無(wú)法享有APP提供的個(gè)化展示服務(wù)。比如,在美圖秀秀最新版本中的“基本功能模式”下,用戶無(wú)法使用圖片美化、拼圖的部分子功能和視頻剪輯、美容的完整功能。

“個(gè)保法實(shí)施后,APP若發(fā)生違規(guī)收集個(gè)人信息的行為,相關(guān)主體要承擔(dān)較嚴(yán)格的法律責(zé)任,包括行政、民事乃至刑事責(zé)任,這大大增強(qiáng)對(duì)違法行為的威懾力,相關(guān)企業(yè)的合規(guī)意識(shí)得到增強(qiáng)。”楊婕稱。

事實(shí)上,在個(gè)保法實(shí)施之前,APP個(gè)人信息收集“合理”及“必要”的標(biāo)準(zhǔn),以及相關(guān)的監(jiān)督管理工作,就已陸續(xù)在推進(jìn)。

2019年,APP專項(xiàng)治理工作組發(fā)布《APP違法違規(guī)收集使用個(gè)人信息自評(píng)估指南》,其中明確,當(dāng)APP運(yùn)營(yíng)者收集的個(gè)人信息超出必要信息范圍時(shí),應(yīng)向用戶明示所收集個(gè)人信息目的并經(jīng)用戶自主選擇同意。

但該指南僅用于APP運(yùn)營(yíng)者對(duì)其收集使用個(gè)人信息情況的自查自糾,效力有限。

2020年以來(lái),工信部先后發(fā)布了《關(guān)于開(kāi)展縱深推進(jìn)APP侵害用戶權(quán)益專項(xiàng)整治行動(dòng)的通知》(下稱《通知》)、《常見(jiàn)類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》、《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序個(gè)人信息保護(hù)管理暫行規(guī)定(征求意見(jiàn)稿)》(下稱《暫行規(guī)定》)等,并牽頭制定了《APP用戶權(quán)益保護(hù)測(cè)評(píng)規(guī)范》、《APP收集使用個(gè)人信息最小必要評(píng)估規(guī)范》等標(biāo)準(zhǔn)文件,對(duì)APP信息處理行為進(jìn)行明確要求。

其中,《通知》指出,APP、第三方SDK(軟件工具開(kāi)發(fā)包)未告知用戶收集個(gè)人信息的目的、方式、范圍且未經(jīng)用戶同意,私自收集用戶個(gè)人信息的行為,屬于“違規(guī)收集個(gè)人信息”;APP、第三方SDK非服務(wù)所必需或無(wú)合理應(yīng)用場(chǎng)景,特別是在靜默狀態(tài)下或在后臺(tái)運(yùn)行時(shí),超范圍收集個(gè)人信息的行為,屬于“超范圍收集個(gè)人信息”,上述行為均在重點(diǎn)整治之列。

《暫行辦法》則明確,網(wǎng)信辦負(fù)責(zé)統(tǒng)籌協(xié)調(diào)APP個(gè)人信息保護(hù)工作和相關(guān)監(jiān)督管理工作,建立健全由網(wǎng)信辦、工信部、公安部及市監(jiān)總局四部門(mén)組成的APP個(gè)人信息保護(hù)監(jiān)督管理聯(lián)合工作機(jī)制。

“這些行業(yè)標(biāo)準(zhǔn)文件的角度或有所不同,可互為補(bǔ)充。在效力層面,雖然這些文件的層級(jí)較低,但如果四部委以此進(jìn)行檢查,不合規(guī)會(huì)被通報(bào)、甚至下架,實(shí)際影響力不容小覷。”海問(wèn)律師事務(wù)所合伙人楊建媛在接受記者采訪時(shí)稱。

北京市京師律師事務(wù)所律師杜廣普從事網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)等領(lǐng)域法律服務(wù)多年,他在接受記者采訪時(shí)表示,當(dāng)前,APP監(jiān)管治理工作逐漸下沉,除了上述政府部門(mén)外,地方監(jiān)管部門(mén)也在開(kāi)展相關(guān)的監(jiān)督管理工作,監(jiān)管的范圍、頻次、顆粒度不斷落細(xì),監(jiān)管治理對(duì)象也不局限于頭部APP。

根據(jù)上述《通知》,2020年12月10日前,工信部完成覆蓋40萬(wàn)款主流APP檢測(cè)工作。

11月3日,也就是個(gè)保法實(shí)施的第三天,針對(duì)APP存在的超范圍、高頻次索取權(quán)限,非服務(wù)場(chǎng)景所必需收集用戶個(gè)人信息,欺騙誤導(dǎo)用戶下載等違規(guī)行為,工信部通報(bào)了2021年第11批APP個(gè)人信息保護(hù)專項(xiàng)整治行動(dòng)中的違規(guī)名單,其中包括了QQ音樂(lè)、小紅書(shū)、豆瓣等38款A(yù)PP。

至此,工信部已啟動(dòng)了20批次APP個(gè)人信息保護(hù)專項(xiàng)整治行動(dòng)。

根據(jù)《暫行規(guī)定》,被提出整改的相關(guān)主體,要求5個(gè)工作日內(nèi)進(jìn)行整改及時(shí)消除隱患;未完成整改的,向社會(huì)公告。對(duì)社會(huì)公告5個(gè)工作日后,仍拒絕整改或者整改后仍存在問(wèn)題的,可要求相關(guān)主體進(jìn)行下架處置;被下架的APP在40個(gè)工作日內(nèi)不得通過(guò)任何渠道再次上架。

超范圍、違規(guī)收集個(gè)人信息

為何屢禁不止

伴隨APP個(gè)人信息保護(hù)相關(guān)規(guī)則不斷明確、落細(xì),不同標(biāo)準(zhǔn)規(guī)范文件的協(xié)調(diào)逐漸顯現(xiàn),各部門(mén)執(zhí)法口徑也漸趨一致,相關(guān)市場(chǎng)主體在法規(guī)適用上的困惑得以減輕;與此同時(shí),伴隨監(jiān)督、執(zhí)法的持續(xù)從嚴(yán)、下沉,相關(guān)企業(yè)合規(guī)的緊迫正不斷加強(qiáng)。

在此背景下,APP超范圍、違規(guī)收集個(gè)人信息現(xiàn)象為何仍屢禁不止?

杜廣普稱,當(dāng)前,APP信息超采、權(quán)限濫用等問(wèn)題越來(lái)越頻繁地被提及,這不僅是因?yàn)橄嚓P(guān)違法違規(guī)行為本身在增多,也是因?yàn)楹弦?guī)標(biāo)準(zhǔn)對(duì)APP個(gè)人信息處理活動(dòng)參與者責(zé)任的明細(xì)化,使得原本存在的問(wèn)題逐漸暴露出來(lái)。

北京師范大學(xué)網(wǎng)絡(luò)法治國(guó)際中心執(zhí)行主任吳沈括則認(rèn)為,APP信息超采、違規(guī)收集等問(wèn)題頻頻發(fā)生的背后,是因?yàn)閭€(gè)人信息本身蘊(yùn)含著巨大價(jià)值。

“在當(dāng)前的數(shù)據(jù)生態(tài)中,由于個(gè)人信息蘊(yùn)含巨大價(jià)值,APP個(gè)人信息處理活動(dòng)者對(duì)于數(shù)據(jù)的獲取有一種‘天然沖動(dòng)’,即試圖通過(guò)獲取更多的數(shù)據(jù)來(lái)提供更多的產(chǎn)品和服務(wù),從而達(dá)到提高競(jìng)爭(zhēng)力的目的。”吳沈括告訴記者。

他進(jìn)一步表示,由于早期合規(guī)工作基礎(chǔ)薄弱,相關(guān)企業(yè)也可能存在積弊難改的情況。“伴隨標(biāo)準(zhǔn)文件不斷出臺(tái)和更新,企業(yè)端需投入大量的時(shí)間和經(jīng)濟(jì)成本,進(jìn)行合規(guī)治理,相關(guān)工作不能一蹴而就。”

安恒信息(688023.SH)高級(jí)副總裁、首席科學(xué)家劉博對(duì)此表示認(rèn)同。他還指出,對(duì)于APP個(gè)人信息處理活動(dòng)參與者而言,違規(guī)收集所面臨的法律風(fēng)險(xiǎn)可能遠(yuǎn)遠(yuǎn)小于可以獲得的商業(yè)利益,這使得其合規(guī)意愿并不強(qiáng)烈,乃至存在僥幸心理。

與此同時(shí),劉博認(rèn)為,在相關(guān)法規(guī)的執(zhí)行和推行的初期,還存在一些規(guī)則細(xì)節(jié)不夠明確的問(wèn)題。例如,現(xiàn)行法律政策對(duì)于重大信息安全事件尚無(wú)明確規(guī)定。

“監(jiān)管程度也同樣存在不到位的現(xiàn)象。”劉博稱,一方面,由于認(rèn)證是自愿進(jìn)行,未通過(guò)認(rèn)證的APP如何管理依然沒(méi)有得到徹底有效的解決;另一方面,目前對(duì)于通過(guò)認(rèn)證的APP主要的監(jiān)管手段依然是以企業(yè)自查為主。

“大多數(shù)APP運(yùn)營(yíng)商,在管理層面,對(duì)自己臺(tái)產(chǎn)品和相關(guān)供應(yīng)商產(chǎn)品很難做到有效的監(jiān)督;在技術(shù)層面,使用第三方SDK及其他第三方服務(wù),已經(jīng)成為APP開(kāi)發(fā)、運(yùn)行過(guò)程中常見(jiàn)的技術(shù)手段,這在幫助APP功能服務(wù)快速實(shí)現(xiàn)的同時(shí),也引發(fā)個(gè)人信息收集階段的安全風(fēng)險(xiǎn)。”劉博稱。

針對(duì)這一問(wèn)題,在日工信部發(fā)布的《關(guān)于開(kāi)展信息通信服務(wù)感知提升行動(dòng)的通知》中提到,建立個(gè)人信息保護(hù)“雙清單”。其中,為了讓用戶清晰掌握個(gè)人信息在APP、SDK及其他第三方間的共享情況,工信部要求企業(yè)在二級(jí)菜單中列出APP與第三方共享的用戶個(gè)人信息基本情況,包括與第三方共享的個(gè)人信息種類、使用目的、使用場(chǎng)景和共享方式等。

中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院網(wǎng)絡(luò)安全研究中心測(cè)評(píng)實(shí)驗(yàn)室副主任何延哲在接受記者采訪時(shí)稱,此前,存在著對(duì)第三方責(zé)任規(guī)制不夠清晰的問(wèn)題,使得追究第三方責(zé)任欠缺具體的指導(dǎo)細(xì)則,還會(huì)產(chǎn)生APP經(jīng)營(yíng)者將自身責(zé)任推卸給第三方的現(xiàn)象。“雙清單”公布后,通過(guò)督促第三方“言行一致”,有利于壓實(shí)第三方的主體責(zé)任。

不過(guò),在吳沈括看來(lái),要求企業(yè)自身主動(dòng)建立清單依然屬于企業(yè)自查的范疇,為切實(shí)減少APP在個(gè)人信息收集過(guò)程中的違法違規(guī)行為,還需加強(qiáng)第三方監(jiān)督,包括用戶監(jiān)督;與此同時(shí),監(jiān)管部門(mén)應(yīng)建立相應(yīng)的追責(zé)機(jī)制,重點(diǎn)治理相關(guān)企業(yè)虛假,或不完整披露的行為。

標(biāo)簽: 違規(guī)收集信息 豆瓣App 個(gè)人信息 社交平臺(tái)

推薦

財(cái)富更多》

動(dòng)態(tài)更多》

熱點(diǎn)