侵害用戶權益過度索取許可權 如何強化App個人資訊保護

　　一百零五款App違法違規收集使用個人資訊情況被通報

　　拿什麼強化App個人資訊保護

　　本報記者 趙晨熙

　　喜歡聽演唱會的人對大麥App都不陌生，近日，這個“票務專家”卻被下架了，原因是侵害用戶權益，違規收集個人資訊，App強制、頻繁、過度索取許可權等。

　　5月21日，國家網際網路信息辦公室對105款App違法違規收集使用個人資訊情況進行了通報。通報要求，針對檢測發現的問題，相關App運營者應當於本通報發佈之日起15個工作日內完成整改。

　　為加強移動網際網路應用程式(App)個人資訊保護，規範App個人資訊處理活動，在國家網際網路信息辦公室的統籌指導下，工業和資訊化部會同公安部、市場監管總局起草了《移動網際網路應用程式個人資訊保護管理暫行規定(徵求意見稿)》向社會公開徵求意見。

　　徵求意見稿共20條，界定了適用範圍和監管主體；確立了“知情同意”“最小必要”兩項重要原則；細化了App開發運營者、分發平臺、第三方服務提供者、終端生産企業、網路接入服務提供者五類主體責任義務；提出了投訴舉報、監督檢查、處置措施、風險提示等四方面規範要求。

　　網經社電子商務研究中心特約研究員趙佔領在接受《法治日報》記者採訪時表示，App收集個人資訊的問題已是老生常談，涉及相關內容的法律規範也較多，此次徵求意見稿是專門針對App處理個人資訊的專項規定，將近年來成熟的經驗做法和管理措施轉換為制度性規範文件，從全鏈條、全主體、全流程的角度全面強化了對App個人資訊保護的管理。

　　明確“知情同意”“最小必要”原則

　　是否允許授權打開相冊、是否允許授權打開通訊錄、是否允許開啟定位……如今在使用一款App的時候，人們似乎已經習慣了“默認”平臺方的這些授權要求，畢竟如果點擊關閉或拒絕，可能面臨無法正常使用服務，甚至App直接閃退的情況。有些App更是“貼心”地為用戶自動選擇了默認勾選，在看似便利中輕易獲得了用戶的各類個人資訊。

　　在北京德恒律師事務所合夥人張韜看來，用戶無奈地“默許”恰恰體現了App在處理用戶個人資訊上存在諸多問題。

　　App為了向用戶提供相關服務，在告知並取得用戶同意等合法前提下收集必要的個人相關資訊是合理的，但當前部分App運營者存在“過度索權”“超範圍索取”以及未經用戶同意“非法獲取”，甚至“非法出售”用戶個人資訊的問題。

　　趙佔領曾接觸過多起App違規收集用戶個人資訊的案件，他發現當前比較常見的違規方式有兩種：一是收集用戶的個人資訊與所要提供的業務沒有必要的關聯性，即超範圍收集用戶個人資訊；二是用戶如果不同意App收集用戶個人資訊的要求，App則不向用戶提供相關的産品或服務，以這種方式強迫用戶同意App收集個人資訊。

　　針對這些問題，此次徵求意見稿明確，從事App個人資訊處理活動的，應遵循“知情同意”“最小必要”兩項重要原則，同時，徵求意見稿特別指出，應當採取非默認勾選的方式徵得用戶同意。

　　“知情同意”要求從事App個人資訊處理活動的，應當以清晰易懂的語言告知用戶個人資訊處理規則，由用戶在充分知情的前提下，作出自願、明確的意思表示；“最小必要”則要求從事App個人資訊處理活動的，應當具有明確、合理的目的，並遵循最小必要原則，不得從事超出用戶同意範圍或者與服務場景無關的個人資訊處理活動。

　　範圍廣懲處嚴

　　此次徵求意見稿給趙佔領的第一感覺是範圍廣、懲處嚴。

　　“廣”體現在全方位對App涉及的各方主體責任與義務進行明確與細化。這意味著，包括App開發運營者、分發平臺、第三方服務提供者、移動智慧終端生産企業、網路接入服務提供者在內的各方主體都被納入個人資訊保護的責任人範疇中。

　　“嚴”則體現在細化了違規處置流程和具體措施，明確從事個人資訊處理活動的有關主體違反要求的，依次按照通知整改、社會公告、下架處置、斷開接入、信用管理流程進行處置，並明確具體時間期限要求。

　　徵求意見稿特別提出，對未按要求完成整改或反覆出現問題、採取技術對抗等違規情節嚴重的App，將對其進行直接下架；且下架後的App在40個工作日內不得通過任何渠道再次上架的管理要求。

　　在中央財經大學中國網際網路經濟研究院副院長歐陽日輝看來，一些App平臺之所以“肆無忌憚”，是因為違法違規成本過低，尤其是對於一些尚未形成聲譽的中小平臺而言，規範對它們的約束力會更小。

　　徵求意見稿中“對相應違規主體，可納入信用管理，實施聯合懲戒”的規定引起了歐陽日輝的注意，他認為這一規定將對違規者起到極大的震懾作用，將違規者納入信用管理以後，對其實施聯合懲戒，同時還應考慮採取禁止市場準入的方式，這對違規者能起到很大的震懾作用。

　　針對“累犯”，徵求意見稿給予了最高可禁入的懲處。徵求意見稿第十七條規定，對整改反覆出現問題的App及其開發運營者開發的相關App，監督管理部門可以指導組織App分發平臺和移動智慧終端生産企業在整合、分發、預置和安裝等環節進行風險提示，情節嚴重的採取禁入措施。

　　從嚴規範App對外提供個人資訊

　　個人資訊洩露是詐騙成功實施的關鍵因素，而個人資訊洩露的一大源頭就是App。

　　張韜注意到，徵求意見稿在規範App使用個人資訊的同時，對App對外提供個人資訊作出了從嚴規範。

　　徵求意見稿第六條規定，需要向本App以外的第三方提供個人資訊的，應當向用戶告知其身份資訊、聯繫方式、處理目的、處理方式和個人資訊的種類等事項，並取得用戶同意。

　　相比既有法律規定，此前均未明確要求App要向用戶告知第三方的身份資訊、聯繫方式等事項。比如，網路安全法第四十二條規定，未經被收集者同意，網路運營者不得向他人提供個人資訊。

　　“徵求意見稿對此作出了更為詳盡的規定，充分保障了用戶的知情權。”張韜説。

　　不過，在中倫律師事務所合夥人劉新宇看來，這一規定的可行性仍需探討。在實踐中，很多App對外提供個人資訊涉及的第三方主體較多，而且這些第三方主體也並非一成不變，有的變化頻率較高，這些因素都加劇了告知第三方身份資訊、聯繫方式的難度。

　　與個人資訊保護法相銜接

　　不論是網路安全法，還是電子商務法，近年來，我國對於網路個人資訊保護的力度持續加強。僅針對App收集使用個人資訊，近兩年便出臺了多份規範。

　　不僅如此，與個人資訊保護更為直接相關的個人資訊保護法草案也正在審議中。

　　張韜注意到，徵求意見稿中的很多規定都與個人資訊保護法草案相呼應。比如，“敏感個人資訊”一詞首次出現于個人資訊保護法草案第二十九條中，徵求意見稿第六條第六項要求處理敏感個人資訊應單獨告知並取得同意，沿用了個人資訊保護法草案的規定，對敏感個人資訊的列舉也保持一致。

　　此外，徵求意見稿的相關內容與個人資訊保護法草案在立法精神、原則等方面也是基本一致的，包括“告知—同意原則”“最小必要原則”等。

　　在張韜看來，徵求意見稿第二條指出“法律、行政法規對個人資訊處理活動另有規定的，適用其規定”，這為徵求意見稿與個人資訊保護法未來的銜接預留了充足和必要的空間。