近日,國家四部委聯(lián)合下發(fā)了《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》,對39類常見App在使用過程中,對必要個人信息的采集類型作出了具體規(guī)定。 當(dāng)前,我國以網(wǎng)絡(luò)安全法、民法典、刑法及其司法解釋為核心的個人信息保護(hù)體系已經(jīng)建立,《個人信息保護(hù)法(草案)》也開始向社會公開征求意見。不過,從相對抽象的立法條文,到具體落實(shí)在特定App應(yīng)用尚存一定距離,新規(guī)通過類型化的方式,將具體應(yīng)用與抽象規(guī)定相結(jié)合,對個人信息保護(hù)將起到重要抓手作用。 互聯(lián)網(wǎng)實(shí)踐中,利用App對消費(fèi)者個人信息過度索權(quán)的情況非常普遍,主要包括三個方面:一是通過網(wǎng)民協(xié)議格式條款,甚至具有市場支配地位的平臺通過霸王條款,強(qiáng)制消費(fèi)者“同意”對個人信息的無限制索取。二是以技術(shù)手段、技術(shù)迭代、大數(shù)據(jù)幌子等方式,掩蓋過度獲取個人信息目的,消費(fèi)者維權(quán)成本很高,違法成本較低。三是大量不法App通過過度索權(quán),形成了個人信息黑產(chǎn),導(dǎo)致個人信息被不法分子利用,精準(zhǔn)詐騙、撞庫竊取、人肉搜索等互聯(lián)網(wǎng)犯罪行為屢見不鮮。 此外,個別App平臺忽視本該承擔(dān)的主體責(zé)任,在個人信息采集層面、使用層面、保護(hù)層面和處分層面都存在巨大安全隱患。以往執(zhí)法實(shí)踐更重視個人信息的使用、保護(hù)、處分和事后處罰,忽視了個人信息違法采集的前期責(zé)任。其實(shí),從治理成本、執(zhí)法效率角度看,在個人信息采集層面治理下的功夫越大,后續(xù)風(fēng)險(xiǎn)就會變得越小。因此,新規(guī)將執(zhí)法前移,從采集個人信息范圍角度加大治理力度,保護(hù)個人信息。 個人信息安全的治理工作不能過度依靠企業(yè)自律和事后執(zhí)法處罰。平臺自律應(yīng)有法律法規(guī)作為基礎(chǔ),只有在足夠具體、有效和針對性的規(guī)則面前,自律才會在個人信息保護(hù)中起到應(yīng)有的效果。新規(guī)把實(shí)踐中39類App對個人信息索權(quán)類別,以非常簡練、具體、明確的方式作出了規(guī)定,旨在督促平臺盡到依法、依約采集個人信息的責(zé)任,目的在于強(qiáng)化平臺作為信息采集者的主體責(zé)任,切實(shí)保護(hù)消費(fèi)者個人信息的安全。 各部門在對個人信息的保護(hù)監(jiān)管工作中,很難逐款判斷App采集個人信息范圍的必要性、正當(dāng)性和合法性具體邊界。執(zhí)法和司法都面臨對個人信息采集類型、范圍、邊界判斷困難的情況,這就導(dǎo)致對個人信息保護(hù)工作多集中在事后追責(zé),缺乏技術(shù)監(jiān)管的預(yù)判。新規(guī)出臺的目的就是要進(jìn)行“穿透式”監(jiān)管,從個人信息采集源頭抓起。這就需要App設(shè)計(jì)者、開發(fā)者、經(jīng)營者、所有者與使用者都必須嚴(yán)格按照規(guī)定,落實(shí)采集類型和范圍責(zé)任,明確采集的必要性、正當(dāng)性,只有達(dá)到新規(guī)具體標(biāo)準(zhǔn),才能符合合法性基本原則。換言之,如果平臺沒有履行新規(guī)相關(guān)標(biāo)準(zhǔn),即便采集的信息事先“獲得”了消費(fèi)者同意,或沒有對采集的個人信息進(jìn)行濫用,也不能以此進(jìn)行抗辯。 值得注意的是,新規(guī)不僅列明了各類App個人信息采集類別,而且還明確規(guī)定,任何組織和個人都有權(quán)利向相關(guān)部門進(jìn)行舉報(bào),這就暢通了公眾對個人信息安全監(jiān)督的權(quán)利,也拓展了相關(guān)部門對保障個人信息安全的治理渠道,反過來,也更加夯實(shí)了互聯(lián)網(wǎng)平臺積極履行主體責(zé)任的必要性。 (作者:朱巍,系中國政法大學(xué)傳播法研究中心副主任)
|