APP違規(guī)收集個人信息 為何屢禁不止

來源:第一財經

[ 當前,APP信息超采、權限濫用等問題越來越頻繁地被提及,這不僅是因為相關違法違規(guī)行為本身在增多,也是因為合規(guī)標準對APP個人信息處理活動參與者責任的明細化,使得原本存在的問題逐漸暴露出來。 ]

[ 2020年12月10日前,工信部完成覆蓋40萬款主流APP檢測工作。 ]

當APP處于靜默狀態(tài)下,圖片、音頻等個人信息被無感知收集;關閉定位權限后,要求重新授權的彈窗頻繁出現;在某APP臺購物付款時,付費方式連接的運營方也能收集到用戶的購物信息,并被用以推送定制化廣告……

作為個人信息處理的首要環(huán)節(jié),“收集”是個人信息保護治理的關鍵。11月1日起,《個人信息保護法》(下稱“個保法”)正式實施,其規(guī)定個人信息的收集遵循“最小范圍”原則,即應當基于業(yè)務的處理目的收集必要信息,不得過度收集個人信息。

但在應用軟件上,信息超采、權限濫用、數據外傳等違規(guī)采集個人信息的現象依然頻繁,這引起了相關監(jiān)管部門的持續(xù)關注。

日,工信部針對QQ音樂、小紅書、豆瓣等38款APP,就超范圍、高頻次索取權限,非服務場景所必需收集用戶個人信息等問題進行通告,并要求其定期整改。

隨后,“優(yōu)化權限調用”、 建立已收集個人信息清單和與第三方共享個人信息清單等被列入工信部從11月起開展的“信息通信服務感知提升行動”,以進一步推進APP侵害用戶權益的治理。

伴隨相關規(guī)范文件的陸續(xù)出臺、執(zhí)法威懾力和覆蓋面的不斷增強,APP運營商應如何兼顧數據的商業(yè)價值和法律保護?相關企業(yè)在合規(guī)治理過程中,又存在哪些痛點、難點?

監(jiān)管趨嚴

對于運營商等APP個人信息處理活動參與者而言,落實“收集”階段保護個人信息主體責任的前提和基礎是明晰“合規(guī)”的標準。

個保法第六條指出,處理個人信息應當具有明確、合理的目的,并應當與處理目的直接相關,采取對個人權益影響最小的方式。

那么,什么是“超范圍”收集信息?中國信息通信研究院互聯(lián)網法律研究中心高級研究員、個人信息保護立法研究團隊負責人楊婕對記者表示,這是指與收集、處理目的不直接相關,不具備必要的個人信息。例如,地圖導航類的基本功能服務為“定位和導航”,必要個人信息為位置信息、出發(fā)地、到達地。

記者注意到,個保法實施前后,已有部分APP推出了“基本功能模式”,該模式下,APP不會上傳用戶的任何個人信息,但用戶也無法享有APP提供的個化展示服務。比如,在美圖秀秀最新版本中的“基本功能模式”下,用戶無法使用圖片美化、拼圖的部分子功能和視頻剪輯、美容的完整功能。

“個保法實施后,APP若發(fā)生違規(guī)收集個人信息的行為,相關主體要承擔較嚴格的法律責任,包括行政、民事乃至刑事責任,這大大增強對違法行為的威懾力,相關企業(yè)的合規(guī)意識得到增強。”楊婕稱。

事實上,在個保法實施之前,APP個人信息收集“合理”及“必要”的標準,以及相關的監(jiān)督管理工作,就已陸續(xù)在推進。

2019年,APP專項治理工作組發(fā)布《APP違法違規(guī)收集使用個人信息自評估指南》,其中明確,當APP運營者收集的個人信息超出必要信息范圍時,應向用戶明示所收集個人信息目的并經用戶自主選擇同意。

但該指南僅用于APP運營者對其收集使用個人信息情況的自查自糾,效力有限。

2020年以來,工信部先后發(fā)布了《關于開展縱深推進APP侵害用戶權益專項整治行動的通知》(下稱《通知》)、《常見類型移動互聯(lián)網應用程序必要個人信息范圍規(guī)定》、《移動互聯(lián)網應用程序個人信息保護管理暫行規(guī)定(征求意見稿)》(下稱《暫行規(guī)定》)等,并牽頭制定了《APP用戶權益保護測評規(guī)范》、《APP收集使用個人信息最小必要評估規(guī)范》等標準文件,對APP信息處理行為進行明確要求。

其中,《通知》指出,APP、第三方SDK(軟件工具開發(fā)包)未告知用戶收集個人信息的目的、方式、范圍且未經用戶同意,私自收集用戶個人信息的行為,屬于“違規(guī)收集個人信息”;APP、第三方SDK非服務所必需或無合理應用場景,特別是在靜默狀態(tài)下或在后臺運行時,超范圍收集個人信息的行為,屬于“超范圍收集個人信息”,上述行為均在重點整治之列。

《暫行辦法》則明確,網信辦負責統(tǒng)籌協(xié)調APP個人信息保護工作和相關監(jiān)督管理工作,建立健全由網信辦、工信部、公安部及市監(jiān)總局四部門組成的APP個人信息保護監(jiān)督管理聯(lián)合工作機制。

“這些行業(yè)標準文件的角度或有所不同,可互為補充。在效力層面,雖然這些文件的層級較低,但如果四部委以此進行檢查,不合規(guī)會被通報、甚至下架,實際影響力不容小覷。”海問律師事務所合伙人楊建媛在接受記者采訪時稱。

北京市京師律師事務所律師杜廣普從事網絡安全與數據合規(guī)等領域法律服務多年,他在接受記者采訪時表示,當前,APP監(jiān)管治理工作逐漸下沉,除了上述政府部門外,地方監(jiān)管部門也在開展相關的監(jiān)督管理工作,監(jiān)管的范圍、頻次、顆粒度不斷落細,監(jiān)管治理對象也不局限于頭部APP。

根據上述《通知》,2020年12月10日前,工信部完成覆蓋40萬款主流APP檢測工作。

11月3日,也就是個保法實施的第三天,針對APP存在的超范圍、高頻次索取權限,非服務場景所必需收集用戶個人信息,欺騙誤導用戶下載等違規(guī)行為,工信部通報了2021年第11批APP個人信息保護專項整治行動中的違規(guī)名單,其中包括了QQ音樂、小紅書、豆瓣等38款APP。

至此,工信部已啟動了20批次APP個人信息保護專項整治行動。

根據《暫行規(guī)定》,被提出整改的相關主體,要求5個工作日內進行整改及時消除隱患;未完成整改的,向社會公告。對社會公告5個工作日后,仍拒絕整改或者整改后仍存在問題的,可要求相關主體進行下架處置;被下架的APP在40個工作日內不得通過任何渠道再次上架。

超范圍、違規(guī)收集個人信息

為何屢禁不止

伴隨APP個人信息保護相關規(guī)則不斷明確、落細,不同標準規(guī)范文件的協(xié)調逐漸顯現,各部門執(zhí)法口徑也漸趨一致,相關市場主體在法規(guī)適用上的困惑得以減輕;與此同時,伴隨監(jiān)督、執(zhí)法的持續(xù)從嚴、下沉,相關企業(yè)合規(guī)的緊迫正不斷加強。

在此背景下,APP超范圍、違規(guī)收集個人信息現象為何仍屢禁不止?

杜廣普稱,當前,APP信息超采、權限濫用等問題越來越頻繁地被提及,這不僅是因為相關違法違規(guī)行為本身在增多,也是因為合規(guī)標準對APP個人信息處理活動參與者責任的明細化,使得原本存在的問題逐漸暴露出來。

北京師范大學網絡法治國際中心執(zhí)行主任吳沈括則認為,APP信息超采、違規(guī)收集等問題頻頻發(fā)生的背后,是因為個人信息本身蘊含著巨大價值。

“在當前的數據生態(tài)中,由于個人信息蘊含巨大價值,APP個人信息處理活動者對于數據的獲取有一種‘天然沖動’,即試圖通過獲取更多的數據來提供更多的產品和服務,從而達到提高競爭力的目的。”吳沈括告訴記者。

他進一步表示,由于早期合規(guī)工作基礎薄弱,相關企業(yè)也可能存在積弊難改的情況。“伴隨標準文件不斷出臺和更新,企業(yè)端需投入大量的時間和經濟成本,進行合規(guī)治理,相關工作不能一蹴而就。”

安恒信息(688023.SH)高級副總裁、首席科學家劉博對此表示認同。他還指出,對于APP個人信息處理活動參與者而言,違規(guī)收集所面臨的法律風險可能遠遠小于可以獲得的商業(yè)利益,這使得其合規(guī)意愿并不強烈,乃至存在僥幸心理。

與此同時,劉博認為,在相關法規(guī)的執(zhí)行和推行的初期,還存在一些規(guī)則細節(jié)不夠明確的問題。例如,現行法律政策對于重大信息安全事件尚無明確規(guī)定。

“監(jiān)管程度也同樣存在不到位的現象。”劉博稱,一方面,由于認證是自愿進行,未通過認證的APP如何管理依然沒有得到徹底有效的解決;另一方面,目前對于通過認證的APP主要的監(jiān)管手段依然是以企業(yè)自查為主。

“大多數APP運營商,在管理層面,對自己臺產品和相關供應商產品很難做到有效的監(jiān)督;在技術層面,使用第三方SDK及其他第三方服務,已經成為APP開發(fā)、運行過程中常見的技術手段,這在幫助APP功能服務快速實現的同時,也引發(fā)個人信息收集階段的安全風險。”劉博稱。

針對這一問題,在日工信部發(fā)布的《關于開展信息通信服務感知提升行動的通知》中提到,建立個人信息保護“雙清單”。其中,為了讓用戶清晰掌握個人信息在APP、SDK及其他第三方間的共享情況,工信部要求企業(yè)在二級菜單中列出APP與第三方共享的用戶個人信息基本情況,包括與第三方共享的個人信息種類、使用目的、使用場景和共享方式等。

中國電子技術標準化研究院網絡安全研究中心測評實驗室副主任何延哲在接受記者采訪時稱,此前,存在著對第三方責任規(guī)制不夠清晰的問題,使得追究第三方責任欠缺具體的指導細則,還會產生APP經營者將自身責任推卸給第三方的現象。“雙清單”公布后,通過督促第三方“言行一致”,有利于壓實第三方的主體責任。

不過,在吳沈括看來,要求企業(yè)自身主動建立清單依然屬于企業(yè)自查的范疇,為切實減少APP在個人信息收集過程中的違法違規(guī)行為,還需加強第三方監(jiān)督,包括用戶監(jiān)督;與此同時,監(jiān)管部門應建立相應的追責機制,重點治理相關企業(yè)虛假,或不完整披露的行為。

標簽: 違規(guī)收集信息 豆瓣App 個人信息 社交平臺

推薦

財富更多》

動態(tài)更多》

熱點