過度收集亂象觸目驚心 新規(guī)有望彌補治理短板

●及時出臺《App違法違規(guī)收集使用個人信息行為認定方法》，明確違規(guī)App行為的具體認定標準，有助于網(wǎng)絡(luò)安全法的相關(guān)要求真正落地并見實效。

●中央網(wǎng)信辦、工信部、公安部、市場監(jiān)管總局指導成立App違法違規(guī)收集使用個人信息專項治理工作組以來，組織開展的App收集使用個人信息評估工作取得階段性進展。截至4月16日，舉報信息超過3480條，涉及1300多款App。

●建議加快立法進度，立法層面加大對違規(guī)App的打擊力度;常態(tài)化公布App違規(guī)收集個人信息的典型案例，對其他企業(yè)起到警示作用;站在維護國家網(wǎng)絡(luò)安全的高度，推進網(wǎng)絡(luò)安全建設(shè)，重視對App非法收集個人信息的治理。

時至今日，“社保掌上通”App遭下架已一月有余。“當用戶通過該App查詢個人社保信息時，用戶信息會被同步發(fā)送至一家大數(shù)據(jù)公司的服務(wù)器。”此前，因存在違規(guī)違法收集個人信息問題，“社保掌上通”App成為眾矢之的。

更讓不少人心有余悸的是，當用戶使用這款App時，被默認同意一份授權(quán)協(xié)議，如“您在此充分地、有效地、不可撤銷地、明示同意并授權(quán)我們使用您的社保賬戶密碼為您提供服務(wù)”，以及“在遵循本協(xié)議的條件下，對您的信息進行采集、分析、處理和模擬您登錄人行征信、學信網(wǎng)、社保、公積金、運營商網(wǎng)站等獲取您的個人信息”等條款。

在互聯(lián)網(wǎng)消費時代，類似的情形并不鮮見。如今，這一現(xiàn)象有望受到遏制。近日，由中央網(wǎng)信辦、工信部、公安部、市場監(jiān)管總局指導成立的App專項治理工作組，起草了《App違法違規(guī)收集使用個人信息行為認定方法(征求意見稿)》(以下簡稱《認定方法》)，將“未經(jīng)同意收集使用個人信息行為”納入規(guī)制范圍。

中國信息安全研究院副院長左曉棟告訴《法制日報》記者，網(wǎng)絡(luò)安全法對保護個人信息的規(guī)定較為原則，盡管《個人信息安全規(guī)范》細化了法律的要求，但從實踐看，仍有大量App在打法律擦邊球。因此，及時出臺《認定方法》，明確違規(guī)App行為的具體認定標準，有助于網(wǎng)絡(luò)安全法的相關(guān)要求真正落地并見實效。

過度收集亂象觸目驚心

消費者在享受移動互聯(lián)網(wǎng)帶來的便利時，個人隱私信息泄露、盜用、販賣事件屢屢發(fā)生。

2018年8月29日，中國消費者協(xié)會發(fā)布的《App個人信息泄露情況調(diào)查報告》顯示，超八成受訪者曾遭遇個人信息泄露。其中，經(jīng)營者未經(jīng)授權(quán)收集個人信息和故意泄露信息是造成消費者個人信息泄露的主要途徑。

據(jù)統(tǒng)計，個人信息泄露后遭遇推銷電話或短信騷擾的占比最高，高達86.5%，接到詐騙電話的占比75.0%，收到垃圾郵件的占比63.4%。

隨后中消協(xié)發(fā)布的另一份報告更觸目驚心。2018年11月28日，中消協(xié)發(fā)布《100款App個人信息收集與隱私政策測評報告》，100款中多達91款存在過度收集用戶個人信息。

近日，App專項治理工作組就《認定方法》公開征求意見，意在為App運營者自查自糾提供指引，為App評估和處置提供參考。

北京師范大學互聯(lián)網(wǎng)發(fā)展研究院院長助理、中國互聯(lián)網(wǎng)協(xié)會研究中心秘書長吳沈括教授告訴記者，《認定方法》的出臺，使得監(jiān)管部門可有針對性地對App違規(guī)行為予以治理，也為平衡技術(shù)發(fā)展與個人信息安全問題提供了有效依據(jù)。

新規(guī)有望彌補治理短板

記者注意到，《認定方法》將App違法違規(guī)收集使用個人信息共分為7種情形。沒有公開收集使用規(guī)則;沒有明示收集使用個人信息的目的、方式和范圍;未經(jīng)同意收集使用個人信息等情形均出現(xiàn)在《認定方法》中。

App沒有隱私政策、用戶協(xié)議，App安裝、使用等過程中均未通過彈窗、鏈接等方式提示用戶閱讀隱私政策，均被納入違法違規(guī)行為。

“可以說，《認定方法》對App隱私政策的規(guī)定非常細致。”令吳沈括欣慰的是，《認定方法》對隱私政策的內(nèi)容設(shè)定、訪問形式等都作了明確要求，這意味著隱私政策不再是徒有其表的虛設(shè)，用戶對App中的收集行為更加明確，有利于增強其對網(wǎng)絡(luò)空間的信心。

此外，《認定方法》明確規(guī)定何為App違法違規(guī)收集個人信息，對App服務(wù)提供者而言，明晰了過度采集行為及其應當?shù)呢熑畏秶?，甚至讓其意識到公民個人信息保護的重要性。

“《認定方法》的出臺，在一定意義上，彌補了對App治理的短板。”在吳沈括看來，盡管我國個人信息管理體系以及技術(shù)標準等逐漸完備，但對于App違法違規(guī)收集個人信息的行為并未有專項規(guī)定予以規(guī)制，而《認定方法》著重加強了對App的管制，一定程度上也有利于該行業(yè)的有序健康發(fā)展。

“《認定方法》將有利于促進網(wǎng)絡(luò)健康有序發(fā)展。”對此，中國社科院國家文化安全與意識形態(tài)建設(shè)研究中心副主任兼秘書長朱繼東十分認同。他告訴記者，對有關(guān)部門而言，對認定某個App是否構(gòu)成非法收集個人信息行為，有了科學依據(jù);對廣大App用戶而言，可以清晰了解App是否在違規(guī)收集個人信息，可以有針對性地利用這些維護自己的權(quán)益，同向有關(guān)部門舉報。

讓朱繼東擔憂的是，實踐中這些認定可能存在難點。“個別App會鉆法律的空子，比如用戶如果不同意隱私政策，則拒絕正常使用，逼迫用戶同意不合理的隱私政策，而且難以留存證據(jù)。”朱繼東坦言，僅僅依靠認定辦法，還難以對個人信息保護問題進行周延性保護，后續(xù)需要將辦法上升到法律層面，嚴厲打擊違規(guī)App的非法收集行為。

打擊常遇無法可依情形

始于今年1月的App違法違規(guī)收集使用個人信息專項治理已有4個月有余，在推進此項專項治理中是否還存在一些短板?

吳沈括非常關(guān)注專項治理中開展自愿性App個人信息安全認證的內(nèi)容。他認為，自愿性App個人信息安全認證實際效果有待驗證。對大部分App服務(wù)提供者而言，在尚未確定該行為的最大利益時，主動實行安全認證積極性并不高。為此，吳沈括建議，采取鼓勵措施，以實際利益等提高服務(wù)提供者的積極性。

據(jù)悉，中央網(wǎng)信辦、工信部、公安部、市場監(jiān)管總局指導成立App違法違規(guī)收集使用個人信息專項治理工作組以來，組織開展的App收集使用個人信息評估工作取得階段性進展。

截至4月16日，舉報信息超過3480條，涉及1300余款App。對于30款用戶量大、問題嚴重的App,工作組已向其運營者發(fā)送了整改通知。

在左曉棟看來，這種整改效果不容樂觀。“專項治理開展后，有些App確實按照要求進行了整改，隱私政策也做了重新修訂，但違法違規(guī)收集個人信息方式更加隱蔽。”

左曉棟舉例說，按照要求，App需要明示收集使用個人信息的目的、方式和范圍，許多App把使用范圍擴大至公司及關(guān)聯(lián)企業(yè)，究竟哪些屬于關(guān)聯(lián)企業(yè)，往往沒有明示。依照現(xiàn)有規(guī)定，又很難界定其是否違規(guī)。

朱繼東同樣認為，專項治理工作存在一些難點。比如在打擊App違規(guī)收集行為中，經(jīng)常出現(xiàn)依據(jù)比較模糊或是難以找到相應的法律依據(jù)，甚至是無法可依情形，對非法收集個人信息的相關(guān)規(guī)定有待進一步細化。

為此，朱繼東建議：一要加快立法進度，立法層面加大對違規(guī)App的打擊力度;二要常態(tài)化公布App違規(guī)收集個人信息的典型案例，對其他企業(yè)起到警示作用;三要站在維護國家網(wǎng)絡(luò)安全的高度，推進網(wǎng)絡(luò)安全建設(shè)，重視對App非法收集個人信息的治理。(侯建斌)

關(guān)鍵詞： 過度收集 新規(guī) 治理 短板