首頁>科技>資訊
中國信通院王志勤:良法善治深入推進APP個人信息保護治理工作
近年來,移動互聯網快速發展不斷催生新業態、新模式,推動各類移動互聯網應用程序(App)蓬勃興起,成為網絡應用的主要載體。當前,我國App在架數量和用戶規模持續擴大,覆蓋經濟社會生產生活各個方面,已經成為個人信息保護的關鍵領域。為持續強化App個人信息保護,規范App個人信息處理活動,在國家互聯網信息辦公室統籌指導下,工業和信息化部會同公安部、市場監管總局聯合起草制定《移動互聯網應用程序個人信息保護管理暫行規定(征求意見稿)》(以下簡稱“《規定》”),并于4月26日向社會公開征求意見。《規定》共計二十條,實現了App個人信息保護的法治化、技術化和體系化,為切實保護用戶權益、持續深入推動App治理工作提供了堅實的制度保障。
一、 堅持依法治理,提升個人信息保護力度
“求木之長著,必固其根本”,法治是治國理政的基本方式,是互聯網治理特別是個人信息保護工作不可或缺的重要手段。
(一)及時有效回應個人信息保護迫切需求。
雖然近年來我國個人信息保護力度不斷加大,但在現實生活中,由于用戶個人信息收集使用規則、目的、方式和范圍仍存在不明確的地方,個人信息保護仍然面臨諸多問題和挑戰,尤其是App侵犯個人信息問題突出。
截至2020年底,我國國內市場上監測到的App數量為345萬款,根據工業和信息化部近期通報情況顯示,部分App隨意收集、違法獲取、過度使用個人信息情況還比較嚴重。違法違規處理用戶個人信息不僅侵害了人民群眾的切身利益,也嚴重擾亂了數字經濟市場秩序。
研究制定《規定》恰逢其時,為App個人信息處理活動畫出底線、明確紅線,既有利于監管部門明確職責,按照法定權限和程序行使權力;也有利于降低各類市場主體合規成本,穩定市場預期,促進我國數字經濟發展行穩致遠。
(二)堅持法律繼承與制度創新并重。
《規定》立足各行業主管部門管理職責,以《網絡安全法》等法律法規為依據,針對App個人信息保護工作的特點建章立制,即有對現行法律制度的繼承和補充,也有隨著信息通信技術發展同步推進的制度創新和細化。
一方面,《規定》明確了App個人信息處理活動的總體要求,應當采用合法、正當的方式,遵循誠信原則,不得通過欺騙、誤導等方式處理個人信息;另一方面,結合App專項治理工作實踐,按照上位法的基本規定,在具體應用場景中細化了“知情同意”“最小必要化”的認定標準,創造性提出了“六項不得”要求和“六項應當”義務,有效解決了實踐中用戶個人信息收集使用規則、目的、方式和范圍不明確的問題。
(三)持續完善行業監管執法建設。
長期以來,我國個人信息保護工作都面臨著法律實施的難題,造成雖然有法律規定但常常束之高閣的情況。一方面,個人信息保護涉及多個行業監管部門,部門之間職責劃分不清,重復執法和執法空白同時存在;另一方面,監管手段和執法力量有限,難以有效實現個人信息保護的立法目的。
《規定》以App個人信息保護領域為突破口,強化行業監管職責,有效解決了上述問題。
一是明確了App個人信息保護的聯合工作機制,即國家互聯網信息辦公室負責統籌協調App個人信息保護工作和相關監督管理工作,會同工業和信息化部、公安部、市場監管總局建立健全App個人信息保護監督管理聯合工作機制,統籌推進政策標準規范等等相關工作,加強信息共享及對App個人信息保護工作的指導。各部門在各自職責范圍內負責App個人信息保護和監督管理工作。
二是規定了監督管理制度,根據公眾投訴舉報情況和監管中發現的問題,監督管理部門可以對存在問題和風險的App實施個人信息保護檢查,并要求從事App個人信息處理活動的相關主體應當對監督管理部門依法實施的監督檢查予以配合。三是細化了違規處置流程和具體措施,例如明確了App下架處置和恢復上架的要求,提升了監管的規范性和透明度。
二、 堅持技術治理,強化個人信息保護硬度
“技術前進一小步,管理難度增加一大步”,新一代信息通信技術的快速發展對個人信息保護工作提出了更高的要求。硬科技需要更硬的法律和監管制度,只有著眼于技術發展規律,有前瞻性地為App發展把好方向、提供適宜的法律制度環境,才能夠充分發揮立法維護公民權益、規范產業發展、促進技術進步的作用。《規定》針對App技術特點和發展規律,堅持技術治理,進一步強化了個人信息保護的硬度。
(一)以技術產業創新主體為重點壓實監管責任。
網絡社會的誕生本身就是技術的一種反映,對任何新技術形式的治理往往都要從技術本身出發來進行審視。
《規定》從技術研究、應用角度出發,以App開發運營者、App分發平臺、App第三方服務提供者、移動智能終端生產企業和網絡接入服務提供者五類技術產業主體作為重點監管對象,既規定了五類主體應當共同遵循的個人信息保護總體要求,也分別規定了不同主體在App個人信息保護方面應當承擔的具體義務,進一步明確和細化了主體責任。
(二)以技術檢測平臺為依托提升監管能力。
目前,App在架數量大,且保持平均兩周一次的頻繁迭代更新,對App個人信息保護工作提出了新要求。現有技術監管手段由于自動化檢測能力低、覆蓋范圍受限,很難實現全面均衡監管。
為解決此問題,監管部門指導中國信息通信研究院聯合部分互聯網企業共同建設了“全國App技術檢測平臺”,組織行業優勢力量,運用人工智能、大數據等技術手段持續優化平臺能力,大幅提升監管自動化、智能化、標準化。
(三)以技術標準為核心強化監管要求。
標準本質上是一種技術制度,為應對風險社會挑戰,標準化越來越強調“事前引領”的功能。
例如,在前期App個人信息保護專項治理行動中,工業和信息化部指導相關組織制定了《App用戶權益保護測評規范》10項標準,對于“最小必要化”等收集使用用戶個人信息原則,制定了《App收集使用個人信息最小必要評估規范》26項系列標準,并通過電信終端產業協會以團標形式發布,取得了良好的社會效果。
《規定》將這種做法也固化為制度,規定相關行業組織和專業機構按照有關法律法規、標準,開展App個人信息保護能力評估、認證。
三、 堅持綜合治理,完善個人信息保護維度
App個人信息保護治理工作情況多變復雜、涉及人數眾多,是一項非常艱巨的系統工程,需要提升綜合治理能力。《規定》堅持體系化共治思維,堅持政府、企業、行業共同參與,多維度系統推動解決App個人信息保護治理問題。
(一)構建多層次的App個人信息保護規范體系。
App個人信息保護問題不是一部法律或者一個規定能夠單獨解決的。《規定》繼承了《網絡安全法》《電信條例》《互聯網信息服務管理辦法》等法律法規核心內容,系統總結了一系列實踐中已經成熟的經驗做法和管理措施并進行制度化。隨著《規定》的制定,將推動形成一個涵蓋法律、行政法規、部門規章、規范性文件在內多層級的App個人信息保護規范體系,為用戶個人信息保護提供更加全面的法律制度保障。
(二)構建多主體的個人信息保護責任體系。
App個人信息保護工作是國家、社會、企業的共同責任,需要政府、行業、企業等不同主體的積極參與,從不同的角度發揮各自重要作用。
一是積極推進政府的監管創新。政府部門監管是最主要的推動力量。《規定》在長期實踐基礎上,規定了社會公告、直接下架處理、斷開接入等諸多監管處置措施,實現監管創新和技術創新同步發展。
二是持續強化行業自律和社會監督。行業自律和社會監督雖然沒有政府管理的強制力,但它可以通過制造輿論來影響個人信息保護的發展。為此,《規定》要求被下架的App完成整改并作出企業自律承諾后,可申請恢復上架。
三是大力提升企業的履責水平。企業是最主要的市場主體,也是用戶權益保護的重要實踐者與行動者,其履責水平的高低直接關系到個人信息保護工作的水平。《規定》堅持強化主體責任,明確了App開發運營者等五類主體在App個人信息處理活動中的具體義務要求,有助于企業完善內部治理,厘清自身產品的服務功能及場景合理性需求,確保商業模式創新和技術發展演進以充分保障用戶合法權益為前提,提升履責水平。
編輯:陳姝延
關鍵詞:app 保護 監管 規定