App個人信息保護治理須縱深推進

中國信息通信研究院

針對App個人信息保護的現實需求，應該加快出臺專門的保護規則

隨著2021年9月1日《數據安全法》和11月1日《個人信息保護法》先后正式生效施行，對App個人信息保護治理工作提出了新的要求。站在建黨百年和“十四五”開局之年的歷史交匯點，應堅持以人民為中心的發展原則，落實相關法律法規要求，補齊制度短板，完善治理機制，推動形成政府、企業、相關社會組織、公眾共同參與App個人信息保護的良好環境，為經濟社會高質量發展提供有力支撐。

隨著《數據安全法》《個人信息保護法》出臺施行，我國個人信息保護法律體系基本形成。但相比其他行業和領域，移動互聯網領域有創新能力強、迭代周期短、形態變化多樣等特征，小程序、快應用、H5頁面等新應用形態不斷出現，SDK、加固殼等新對象不斷增加，麥克風竊聽、通信錄竊取、相冊非授權讀寫等新問題不斷曝出，行業持續快速發展帶來了監管問題和監管對象的動態性變化，而立法調整本身具有滯后性，這種動態變化使得App個人信息保護治理工作中的監管依據及時性問題進一步凸顯，增加了專項治理的難度。與此同時，無論是《網絡安全法》《數據安全法》還是《個人信息保護法》，作為國家層面的法律，規定相對比較原則，對以App為主要形式的移動互聯網創新應用監管針對性不足。

《個人信息保護法》規定，履行個人信息保護職責的部門組織對應用程序等個人信息保護情況進行測評，并公布測評結果。《數據安全法》規定，國家統籌發展和安全，堅持以數據開發利用和產業發展促進數據安全，以數據安全保障數據開發利用和產業發展。可以預見的是，在《個人信息保護法》《數據安全法》實施以后，推動相關制度要求的細化落地將是未來一項重要工作。為落實上位法的制度要求，對于此前出臺施行的《電信和互聯網用戶個人信息保護規定》《兒童個人信息網絡保護規定》等部門規章以及相關管理規定，需要做相應的修改和調整，尤其是將《個人信息保護法》的法律要求轉化為本行業本領域具體規則。

與此同時，順應移動互聯網技術演進和產業發展趨勢，針對App個人信息保護的現實需求，需要加快出臺專門的保護規則。此前，工業和信息化部牽頭起草《移動互聯網應用程序個人信息保護管理暫行規定（征求意見稿）》并向社會公開征求了意見，提出了“知情同意”和“最小必要”兩項App個人信息保護基本原則，強化了App開發運營者等五類主體義務，規定了責令整改、社會公告等四項處置措施，細化了處置流程。《暫行規定》劃清了底線，明確了監管邊界，社會各界高度評價，呼吁早日出臺施行。

此外，隨著App個人信息保護治理工作的深入推進，也將推動相關標準體系的持續完善。只有標準化，才能實現監管檢測的自動化、智能化。目前來看，已經發布的標準主要以團體標準為主，為進一步發揮標準的引領支撐作用，需要及時修訂完善和升級。一方面，推動將《App用戶權益保護測評規范》系列標準和《App收集使用個人信息最小必要評估規范》系列標準上升為行業標準，在完成前期《電信和互聯網服務用戶個人信息保護技術要求第1部分定義及分類分級》國家標準基礎上，進一步細化不同類型、級別信息的保護要求。另一方面，為適應各類新型互聯網服務的快速發展，逐步完善《電信和互聯網服務用戶個人信息保護》系列行業標準，明確各類個人信息在實際業務場景中的收集、使用等要求。同時，終端、SDK、分發平臺等有關權限管控、集成接口、上架明示等配套標準目前還處于空白，未來也有待補充，與現有App個人信息保護相關標準進行有效銜接。

開展App個人信息保護治理是各有關主管部門履行用戶權益保護以及行業監管等職責的應有之義，涉及網信、電信、公安等多方面的監管工作。《個人信息保護法》第六章規定了履行個人信息保護職責的部門，明確國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作;國務院有關部門依照《個人信息保護法》和有關法律、行政法規的規定，在各自職責范圍內負責個人信息保護和監督管理工作;縣級以上地方人民政府有關部門的個人信息保護和監督管理職責，按照國家有關規定確定。此外，《個人信息保護法》進一步規定了履行個人信息保護職責的部門應當履行的個人信息保護職責，包括開展個人信息保護宣傳教育、指導監督個人信息保護工作、接受處理相關投訴舉報、組織對應用程序進行測評、調查處理違法個人信息處理活動等。

2021年11月1日起，《個人信息保護法》正式生效施行。對履行個人信息保護職責的部門而言，在App個人信息保護治理方面，需要進一步加強部門協調，完善治理機制：一是各主管部門間的協調治理機制。按照《個人信息保護法》相關規定，在履行個人信息保護職責的部門中，既有統籌協調部門，如國家網信部門;也有行業主管部門，如國務院電信、公安、市場監管等部門。由于我國目前還沒有獨立的個人信息保護專門機構，未來國家層面仍需要各履行個人信息保護職責的部門之間的協同治理，根據各部門三定方案和法律法規的授權，在各自職責范圍內做好個人信息保護和監督管理工作。二是中央和地方之間建立部省聯動治理機制。App個人信息保護治理工作數量大且類型復雜多變，僅靠國家層面監管力量有限，《個人信息保護法》也規定了縣級以上地方人民政府有關部門的個人信息保護和監督管理職責。因此，落實屬地管理責任，形成統一發聲、統一監管的合力，破解工作難題，建立從全國到地區的整體監管體系，是未來App個人信息保護治理的必然趨勢。三是專項治理加長效治理相結合的治理機制。從我國App個人信息保護治理趨勢來看，短期內，專項治理工作還將存在，特別是針對App行業發展面臨的突出問題、薄弱環節，例如私自收集個人信息、不給權限不讓用、SDK違規處理用戶個人信息、欺騙誤導用戶等社會廣泛反映的典型問題，開展專項治理確有必要，有利于對癥下藥、精準發力，切實解決問題。但長遠來看，堅持系統謀劃，“專項整治和長效治理相結合”的監管模式才是長久之計，從“局部監管、突出問題”轉為“全流程、全鏈條、全主體”監管，以有效提升個人信息保護監管水平。

我國《個人信息保護法》規定，國家建立健全個人信息保護制度，預防和懲治侵害個人信息權益的行為，加強個人信息保護宣傳教育，推動形成政府、企業、相關社會組織、公眾共同參與個人信息保護的良好環境。App個人信息保護治理工作是國家、社會、企業以及用戶的共同責任，需要政府、行業、企業等多元主體共治、齊抓共管、群策群力、良性互動，從不同的角度發揮各自重要作用，共同營造良好發展環境，推動行業發展行穩致遠。

隨著《個人信息保護法》進入施行階段，各相關主體也將圍繞App個人信息保護治理工作履行各自的角色職責。一是政府部門積極履行個人信息保護和監督管理職責，推進治理創新。App個人信息保護治理工作需要公權力發揮主導作用，政府監管是最主要的推動力量。目前監管部門正在進一步創新監管手段、完善監管措施，實現監管創新和技術創新同步發展。例如，在前期App專項治理工作中建設的全國App技術檢測平臺。二是充分發揮社會監督的重要作用。社會監督雖然沒有政府管理的強制力，但它可以影響個人信息保護的發展。目前，在電信和互聯網領域，已經建成了互聯網信息服務投訴平臺和中國互聯網協會網絡不良與垃圾信息舉報受理中心兩大投訴渠道，在App個人信息保護治理工作中發揮了積極作用。下一步，通過加大宣傳引導力度，進一步及時處理相關舉報案件，推動舉報投訴工作標準化、規范化，進一步發揮社會監督作用。三是不斷提升企業履責水平，做好個人信息保護合規工作。企業是最主要的市場主體。與傳統領域治理相比，互聯網企業是當前最主要的個人信息處理者，也是App用戶權益保護的重要實踐者與行動者，其履責水平的高低直接關系到App個人信息保護治理工作的成效。《個人信息保護法》第五章明確規定了個人信息處理者的義務，為企業主體依法履行用戶個人信息保護義務提供了具體指引。未來，隨著更多App個人信息保護的具體制度規則出臺，將進一步幫助企業厘清自身產品的服務功能及場景合理性需求，確保商業模式創新和技術發展演進以充分保障用戶合法權益為前提，有效提升履責水平。

編輯：張程? 3567672799@qq.com