App個人信息保護治理須縱深推進

中國信息通信研究院

針對App個人信息保護的現實需求，應該加快出臺專門的保護規(guī)則

隨著2021年9月1日《數據安全法》和11月1日《個人信息保護法》先后正式生效施行，對App個人信息保護治理工作提出了新的要求。站在建黨百年和“十四五”開局之年的歷史交匯點，應堅持以人民為中心的發(fā)展原則，落實相關法律法規(guī)要求，補齊制度短板，完善治理機制，推動形成政府、企業(yè)、相關社會組織、公眾共同參與App個人信息保護的良好環(huán)境，為經濟社會高質量發(fā)展提供有力支撐。

隨著《數據安全法》《個人信息保護法》出臺施行，我國個人信息保護法律體系基本形成。但相比其他行業(yè)和領域，移動互聯網領域有創(chuàng)新能力強、迭代周期短、形態(tài)變化多樣等特征，小程序、快應用、H5頁面等新應用形態(tài)不斷出現，SDK、加固殼等新對象不斷增加，麥克風竊聽、通信錄竊取、相冊非授權讀寫等新問題不斷曝出，行業(yè)持續(xù)快速發(fā)展帶來了監(jiān)管問題和監(jiān)管對象的動態(tài)性變化，而立法調整本身具有滯后性，這種動態(tài)變化使得App個人信息保護治理工作中的監(jiān)管依據及時性問題進一步凸顯，增加了專項治理的難度。與此同時，無論是《網絡安全法》《數據安全法》還是《個人信息保護法》，作為國家層面的法律，規(guī)定相對比較原則，對以App為主要形式的移動互聯網創(chuàng)新應用監(jiān)管針對性不足。

《個人信息保護法》規(guī)定，履行個人信息保護職責的部門組織對應用程序等個人信息保護情況進行測評，并公布測評結果。《數據安全法》規(guī)定，國家統籌發(fā)展和安全，堅持以數據開發(fā)利用和產業(yè)發(fā)展促進數據安全，以數據安全保障數據開發(fā)利用和產業(yè)發(fā)展。可以預見的是，在《個人信息保護法》《數據安全法》實施以后，推動相關制度要求的細化落地將是未來一項重要工作。為落實上位法的制度要求，對于此前出臺施行的《電信和互聯網用戶個人信息保護規(guī)定》《兒童個人信息網絡保護規(guī)定》等部門規(guī)章以及相關管理規(guī)定，需要做相應的修改和調整，尤其是將《個人信息保護法》的法律要求轉化為本行業(yè)本領域具體規(guī)則。

與此同時，順應移動互聯網技術演進和產業(yè)發(fā)展趨勢，針對App個人信息保護的現實需求，需要加快出臺專門的保護規(guī)則。此前，工業(yè)和信息化部牽頭起草《移動互聯網應用程序個人信息保護管理暫行規(guī)定（征求意見稿）》并向社會公開征求了意見，提出了“知情同意”和“最小必要”兩項App個人信息保護基本原則，強化了App開發(fā)運營者等五類主體義務，規(guī)定了責令整改、社會公告等四項處置措施，細化了處置流程。《暫行規(guī)定》劃清了底線，明確了監(jiān)管邊界，社會各界高度評價，呼吁早日出臺施行。

此外，隨著App個人信息保護治理工作的深入推進，也將推動相關標準體系的持續(xù)完善。只有標準化，才能實現監(jiān)管檢測的自動化、智能化。目前來看，已經發(fā)布的標準主要以團體標準為主，為進一步發(fā)揮標準的引領支撐作用，需要及時修訂完善和升級。一方面，推動將《App用戶權益保護測評規(guī)范》系列標準和《App收集使用個人信息最小必要評估規(guī)范》系列標準上升為行業(yè)標準，在完成前期《電信和互聯網服務用戶個人信息保護技術要求第1部分定義及分類分級》國家標準基礎上，進一步細化不同類型、級別信息的保護要求。另一方面，為適應各類新型互聯網服務的快速發(fā)展，逐步完善《電信和互聯網服務用戶個人信息保護》系列行業(yè)標準，明確各類個人信息在實際業(yè)務場景中的收集、使用等要求。同時，終端、SDK、分發(fā)平臺等有關權限管控、集成接口、上架明示等配套標準目前還處于空白，未來也有待補充，與現有App個人信息保護相關標準進行有效銜接。

開展App個人信息保護治理是各有關主管部門履行用戶權益保護以及行業(yè)監(jiān)管等職責的應有之義，涉及網信、電信、公安等多方面的監(jiān)管工作。《個人信息保護法》第六章規(guī)定了履行個人信息保護職責的部門，明確國家網信部門負責統籌協調個人信息保護工作和相關監(jiān)督管理工作;國務院有關部門依照《個人信息保護法》和有關法律、行政法規(guī)的規(guī)定，在各自職責范圍內負責個人信息保護和監(jiān)督管理工作;縣級以上地方人民政府有關部門的個人信息保護和監(jiān)督管理職責，按照國家有關規(guī)定確定。此外，《個人信息保護法》進一步規(guī)定了履行個人信息保護職責的部門應當履行的個人信息保護職責，包括開展個人信息保護宣傳教育、指導監(jiān)督個人信息保護工作、接受處理相關投訴舉報、組織對應用程序進行測評、調查處理違法個人信息處理活動等。

2021年11月1日起，《個人信息保護法》正式生效施行。對履行個人信息保護職責的部門而言，在App個人信息保護治理方面，需要進一步加強部門協調，完善治理機制：一是各主管部門間的協調治理機制。按照《個人信息保護法》相關規(guī)定，在履行個人信息保護職責的部門中，既有統籌協調部門，如國家網信部門;也有行業(yè)主管部門，如國務院電信、公安、市場監(jiān)管等部門。由于我國目前還沒有獨立的個人信息保護專門機構，未來國家層面仍需要各履行個人信息保護職責的部門之間的協同治理，根據各部門三定方案和法律法規(guī)的授權，在各自職責范圍內做好個人信息保護和監(jiān)督管理工作。二是中央和地方之間建立部省聯動治理機制。App個人信息保護治理工作數量大且類型復雜多變，僅靠國家層面監(jiān)管力量有限，《個人信息保護法》也規(guī)定了縣級以上地方人民政府有關部門的個人信息保護和監(jiān)督管理職責。因此，落實屬地管理責任，形成統一發(fā)聲、統一監(jiān)管的合力，破解工作難題，建立從全國到地區(qū)的整體監(jiān)管體系，是未來App個人信息保護治理的必然趨勢。三是專項治理加長效治理相結合的治理機制。從我國App個人信息保護治理趨勢來看，短期內，專項治理工作還將存在，特別是針對App行業(yè)發(fā)展面臨的突出問題、薄弱環(huán)節(jié)，例如私自收集個人信息、不給權限不讓用、SDK違規(guī)處理用戶個人信息、欺騙誤導用戶等社會廣泛反映的典型問題，開展專項治理確有必要，有利于對癥下藥、精準發(fā)力，切實解決問題。但長遠來看，堅持系統謀劃，“專項整治和長效治理相結合”的監(jiān)管模式才是長久之計，從“局部監(jiān)管、突出問題”轉為“全流程、全鏈條、全主體”監(jiān)管，以有效提升個人信息保護監(jiān)管水平。

我國《個人信息保護法》規(guī)定，國家建立健全個人信息保護制度，預防和懲治侵害個人信息權益的行為，加強個人信息保護宣傳教育，推動形成政府、企業(yè)、相關社會組織、公眾共同參與個人信息保護的良好環(huán)境。App個人信息保護治理工作是國家、社會、企業(yè)以及用戶的共同責任，需要政府、行業(yè)、企業(yè)等多元主體共治、齊抓共管、群策群力、良性互動，從不同的角度發(fā)揮各自重要作用，共同營造良好發(fā)展環(huán)境，推動行業(yè)發(fā)展行穩(wěn)致遠。

隨著《個人信息保護法》進入施行階段，各相關主體也將圍繞App個人信息保護治理工作履行各自的角色職責。一是政府部門積極履行個人信息保護和監(jiān)督管理職責，推進治理創(chuàng)新。App個人信息保護治理工作需要公權力發(fā)揮主導作用，政府監(jiān)管是最主要的推動力量。目前監(jiān)管部門正在進一步創(chuàng)新監(jiān)管手段、完善監(jiān)管措施，實現監(jiān)管創(chuàng)新和技術創(chuàng)新同步發(fā)展。例如，在前期App專項治理工作中建設的全國App技術檢測平臺。二是充分發(fā)揮社會監(jiān)督的重要作用。社會監(jiān)督雖然沒有政府管理的強制力，但它可以影響個人信息保護的發(fā)展。目前，在電信和互聯網領域，已經建成了互聯網信息服務投訴平臺和中國互聯網協會網絡不良與垃圾信息舉報受理中心兩大投訴渠道，在App個人信息保護治理工作中發(fā)揮了積極作用。下一步，通過加大宣傳引導力度，進一步及時處理相關舉報案件，推動舉報投訴工作標準化、規(guī)范化，進一步發(fā)揮社會監(jiān)督作用。三是不斷提升企業(yè)履責水平，做好個人信息保護合規(guī)工作。企業(yè)是最主要的市場主體。與傳統領域治理相比，互聯網企業(yè)是當前最主要的個人信息處理者，也是App用戶權益保護的重要實踐者與行動者，其履責水平的高低直接關系到App個人信息保護治理工作的成效。《個人信息保護法》第五章明確規(guī)定了個人信息處理者的義務，為企業(yè)主體依法履行用戶個人信息保護義務提供了具體指引。未來，隨著更多App個人信息保護的具體制度規(guī)則出臺，將進一步幫助企業(yè)厘清自身產品的服務功能及場景合理性需求，確保商業(yè)模式創(chuàng)新和技術發(fā)展演進以充分保障用戶合法權益為前提，有效提升履責水平。

編輯：張程? 3567672799@qq.com