近年来,移动互联网的兴起使得App得到广泛开发应用,同时App存在的强制索权、过度收集个人信息等问题,也给用户个人信息安全带来严重安全隐患。近日,在国家互联网信息办公室的统筹指导下,工业和信息化部会同公安部、市场监管总局起草了《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》(以下简称征求意见稿),向社会公开征求意见。
收集个人信息不能再随意“出圈
”
追个剧,却要你对通讯录授权;不接受打开定位功能,就多次弹出定位授权,影响你浏览;编辑个文档也需要提供拍照权限……大数据时代,一些App动辄要求用户默认交出各种本不必要的隐私权限,否则就不能正常使用。
针对用户存在的上述烦恼,征求意见稿指出,从事App个人信息处理活动的,应当以清晰易懂的语言告知用户个人信息处理规则,由用户在充分知情的前提下,作出自愿、明确的意思表示,并明确了“六项应当”要求。
“征求意见稿为App划出底线、明确红线,明确收集个人信息不能再随意‘出圈’。”中国信息安全研究院副院长左晓栋介绍,根据《网络安全法》的规定,网络运营者收集、使用个人信息,应当公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并征得被收集者同意。但有些企业在执行中往往“打擦边球”。例如,隐私政策难以访问、诱导用户默认同意、要求用户一揽子授权等,征求意见稿对以上过度搜集个人信息的行为作出了明确规定,还针对敏感个人信息的处理提出了具体条款。
对手机App过度索权说“不”
征求意见稿除了确立了“知情同意”原则外,还作出了“最小必要”的规定。
征求意见稿提出,从事App个人信息处理活动的,应当具有明确、合理的目的,并遵循“最小必要”原则,不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。
“针对个人信息搜集,《网络安全法》明确规定了‘合法、正当、必要’原则。但一直以来,‘必要’原则很难客观评价。” 左晓栋介绍,征求意见稿,针对个人信息采集类型、范围、边界判断较为困难的现实问题,进一步精准落实网络安全法中“合法、正当、必要”原则,对“最小必要”作出详细定义。例如,处理个人信息的数量、频次、精度等应当为服务所必需,个人信息的本地读取、写入、删除、修改等操作应当为服务所必需。此外,有些App运营者为了达到超范围收集信息的目的,还采取了一些强迫行为。例如,用户如不同意提供信息便退出服务、频繁弹窗反复申请无关权限(用户在不堪其扰后往往不得不同意),此意见稿对这些行为也作了列举,提出了禁则。
多管齐下,守护我们的个人信息
近年来,为切实加强个人信息保护、规范个人信息使用,相关部门付出不少努力。国家网信办、工信部、公安部等近日联合发布的《常见类型移动互联网应用程序必要个人信息范围规定》,明确规范App收集个人信息活动。工信部连续两年开展App侵害用户权益专项整治行动,截止2021年3月,共完成73万款App的技术检测工作,责令整改3046款违规App,下架179款拒不整改的App。
此次出台的征求意见稿规定了多个主体的个人信息保护义务,并对未按要求完成整改或反复出现问题、采取技术对抗等违规情节严重的App,进行直接下架处理;且下架后的App在40个工作日内不得通过任何渠道再次上架。
“当前中国通过法治手段保护公民个人信息的水平不断提升,监管部门有关个人信息管理的监管活动呈现常态化趋势。”左晓栋说,征求意见稿第十六条明确了行政处罚手段,包括责令整改与社会公告、下架处置、断开接入,处罚依次加重。此外,还可实施信用管理,即将相应违规主体纳入信用管理,实施联合惩戒。对于“屡教屡犯”者,第十七条规定,监管部门可在App分发平台和移动智能终端的多个环节设置风险提示,情节严重的采取禁入措施。对于构成犯罪的,第十八条规定,由公安机关依法追究刑事责任。
(周晶 王雪纯)