核心提示:法律明确规定了信息处理者的个人信息保护义务。应强化监管,推进平台在技术和运营方面加强企业合规,对企业处理个人信息的行为进行定期检查、监督,对违法行为及时进行处罚,落实法律法规规定的保护个人信息责任。
1月22日,工业和信息化部通报31款App及SDK存在侵害用户权益行为。其中,多款游戏App存在强制、频繁、过度索取权限等违规收集个人信息的行为。1月29日,上海市网信办通报称,对一批未有效履行消费者个人信息保护责任、存在严重问题的知名企业予以行政处罚。其中,某知名火锅连锁品牌违法违规行为集中体现在两个环节:一是外送微信小程序仍在强制索取精准位置信息;二是创设近30年来形成的1.5亿条会员个人信息及18万条公司员工信息未加密存储。
近年来,App和小程序违规收集个人信息、过度或强制索权、损害用户和消费者利益,经常见诸新闻。App是移动端应用程序的简称,专指手机上的应用软件,或称手机客户端。小程序是一种不需要下载安装即可使用的应用,用户扫一扫或搜一下即可打开应用。它们在便捷人们生活的同时,也带来了一些社会问题。比如,一些App及小程序运营者强制要求用户进行个人信息授权、不授权即停止提供服务等,有的甚至采取欺骗性、误导性手段套取用户个人信息用作其他经营目的。
《中华人民共和国网络安全法》规定,“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则”“网络运营者不得收集与其提供的服务无关的个人信息”。《中华人民共和国民法典》第一千零三十五条规定,“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;(二)公开处理信息的规则;(三)明示处理信息的目的、方式和范围;(四)不违反法律、行政法规的规定和双方的约定。”《中华人民共和国个人信息保护法》强调,处理个人信息应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的并与处理目的直接相关,采取对个人权益影响最小的方式,限于实现处理目的的最小范围,公开处理规则,保证信息质量,采取安全保护措施等。这些原则应贯穿于个人信息处理的全过程、各环节。
个人信息保护法在“知情-同意”框架外,还规定了单独同意制度,即在处理敏感个人信息、向他人提供或公开个人信息、跨境转移个人信息等环节应取得个人的单独同意;明确个人信息处理者不得过度收集个人信息,不得以个人不同意为由拒绝提供产品或者服务,并赋予个人撤回同意的权利,在个人撤回同意后,个人信息处理者应当停止处理或及时删除其个人信息。
2021年3月,国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅联合发布《常见类型移动互联网应用程序必要个人信息范围规定》,明确移动互联网应用程序(App)运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用App基本功能服务。2021年12月,国家发展改革委等九部门发布《关于推动平台经济规范健康持续发展的若干意见》明确提出,严厉打击平台企业超范围收集个人信息、超权限调用个人信息等违法行为。从严管控非必要采集数据行为,依法依规打击黑市数据交易、大数据杀熟等数据滥用行为。
个人信息本身可以被无限复制与重复利用,信息主体在信息流动过程中对信息的控制能力不断减弱,这时的“同意”可能发生“功能潜变”,即个人信息被首次采集后,在后续信息处理过程中可能被挪作他用,违背首次采集时知情同意约定的范围与目的。这使得个人信息主体和信息处理者的权益结构处于失衡状态。事实上,因为个人信息流动与处理的隐蔽性与技术性,没有重新获取个人信息主体单独同意也并不能阻碍信息处理者将个人信息用作他处。当个人信息主体对其已被采集的个人信息丧失控制时,信息处理者如何保管、处理个人信息就尤为重要。
前文提到的上海市网信办对外发布的通报中,涉案火锅品牌1.5亿条会员个人信息主要为会员的手机号码、邮箱号码等;18万条员工个人信息甚至包括姓名、身份证号码、手机号码、家庭地址等在内的敏感个人信息。这些信息均未采取加密措施,一旦泄露被售卖,可能会被不法分子用于电信网络诈骗。因此,上海市网信办针对消费者提出“六不”建议:“隐私政策不告知不继续”“非必要个人信息不提供”“一键要号码不允许”“诱导给精准定位不同意”“‘被’会员诱关注不冲动”“定向推营销广告不接受”。个人信息处理行为侵害自然人利益,被侵害人当然可以进行事前预防、事后投诉或者侵权诉讼,但是个人信息的处理会涉及收集、存储、使用、加工和传输等多个环节,收集后的后续过程不需要信息主体的参与,这造成多元信息处理主体与信息主体直接联系的断裂。一旦发生信息泄露等侵权行为,信息主体由于掌握情况的不对称性很难判断出问题的具体环节,每一个环节的处理者也都可以轻易地逃避责任,这应引起重视。
法律明确规定了信息处理者的个人信息保护义务。因此,应强化监管,推进平台在技术和运营方面加强企业合规,具体可从技术与制度两方面着手。
第一,对App或小程序运营者而言,落实法定义务,强化技术合规。数字技术抓取及处理个人信息存在隐蔽性,用户可能完全不知情,但平台企业技术设计的基本原则应当落实“最小范围,公开处理规则”,即只采集符合目的的个人信息并公开信息处理规则。
第二,处理个人信息达到一定规模的运营者和应用者应依照个人信息保护法第五十二条的规定,设立专职个人信息保护负责人,负责对个人信息处理活动及采取的保护措施等进行监督。
第三,App或小程序运营者应针对个人信息采集与处理行为制定内部管理制度和操作规程;对个人信息实行分类管理;采取加密、去标识化等相应安全技术措施;合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;制定并组织实施个人信息安全事件应急预案。
第四,在App或小程序应用于消费者或用户前,必须经过外部专业机构进行合法性及合规性评估。应将合法合规评估作为App或小程序应用的强制性前置程序,具体包括对技术设计说明、个人信息保护责任人、个人信息管理制度及操作规程的合法合规性进行评估。合法合规评估报告应在启用App或小程序前进行公示,并长期公开展示于运营方主页,方便用户查看。
第五,依据个人信息保护法第五十四条规定:“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。”App或小程序运营者在使用App进行个人信息采集和处理后,应定期进行合规审计,将个人信息处理涉及的所有行为进行合规审计,并将合规审计报告公示。
除企业提高个人信息安全保护的合规意识外,监管部门还要对于企业处理个人信息的行为进行定期检查、监督,对违法行为及时进行处罚,以落实民法典、网络安全法、个人信息保护法、数据安全法等相关法律法规规定的保护个人信息的责任。