在移動(dòng)互聯(lián)網(wǎng)應(yīng)用(App)蓬勃發(fā)展的今天,手機(jī)已經(jīng)成為廣大人民群眾日常生活中不可或缺的工具��。手機(jī)上的新聞資訊�����、網(wǎng)上購(gòu)物�����、即時(shí)通信��、網(wǎng)絡(luò)約車(chē)�����、快遞物流��、網(wǎng)絡(luò)支付等各類(lèi)移動(dòng)應(yīng)用����,為我們工作生活提供極大的便利,是推動(dòng)我國(guó)經(jīng)濟(jì)社會(huì)發(fā)展的新動(dòng)能�。與此同時(shí),App存在種種違法違規(guī)收集使用個(gè)人信息的行為��,例如:無(wú)公開(kāi)的隱私政策或隱私政策不完整���、超范圍收集個(gè)人信息���,通過(guò)強(qiáng)制索權(quán)收集超過(guò)必要的個(gè)人信息�、無(wú)法注銷(xiāo)賬號(hào)等����,使得9億互聯(lián)網(wǎng)用戶(hù)的個(gè)人信息面臨著被非法收集、濫用���、泄露等風(fēng)險(xiǎn)�。如何保護(hù)個(gè)人信息安全�����,已經(jīng)成為刻不容緩需要解決的問(wèn)題�����。
2019年1月�,中央網(wǎng)信辦、工信部�、公安部、市場(chǎng)監(jiān)管總局四部門(mén)聯(lián)合發(fā)布《關(guān)于開(kāi)展App違法違規(guī)收集使用個(gè)人信息專(zhuān)項(xiàng)治理的公告》�����,成立了App違法違規(guī)收集使用個(gè)人信息專(zhuān)項(xiàng)治理工作組。2019年全年����,App違法違規(guī)收集使用個(gè)人信息專(zhuān)項(xiàng)治理工作組依托專(zhuān)業(yè)評(píng)估機(jī)構(gòu)和行業(yè)專(zhuān)家的力量�����,對(duì)用戶(hù)規(guī)模大�、與生活關(guān)系密切、問(wèn)題反映集中的1000余款A(yù)pp進(jìn)行了評(píng)估�,對(duì)發(fā)現(xiàn)問(wèn)題的App督促其整改,對(duì)未落實(shí)整改要求的App建議有關(guān)監(jiān)管部門(mén)進(jìn)行下架處理���。一年來(lái)��,專(zhuān)項(xiàng)治理工作取得了顯著的成效�����,App運(yùn)營(yíng)者履行個(gè)人信息保護(hù)責(zé)任義務(wù)的意愿不斷加強(qiáng)��,廣大用戶(hù)的個(gè)人信息安全保護(hù)意識(shí)不斷提升�����。
據(jù)App個(gè)人信息舉報(bào)公眾號(hào)統(tǒng)計(jì)��,在App個(gè)人信息舉報(bào)線(xiàn)索中�,舉報(bào)量排名前五的典型問(wèn)題有:超范圍收集與功能無(wú)關(guān)個(gè)人信息、強(qiáng)制或頻繁索要無(wú)關(guān)權(quán)限�、存在不合理免責(zé)條款、無(wú)法注銷(xiāo)賬號(hào)���、默認(rèn)捆綁功能并一攬子同意����。我們可以發(fā)現(xiàn)問(wèn)題可劃分為三類(lèi):一是收集個(gè)人信息的不規(guī)范���。在上述排名前五中有三個(gè)問(wèn)題均是收集環(huán)節(jié)的問(wèn)題��,收集環(huán)節(jié)是用戶(hù)能夠直接感知的���,是個(gè)人信息安全的起點(diǎn),也是個(gè)人信息保護(hù)的最重要一環(huán)����。二是隱私政策的不合理。關(guān)于隱私政策的問(wèn)題�,廣大網(wǎng)民更多地關(guān)注了不合理?xiàng)l款�。實(shí)際上����,更重要的問(wèn)題是隱私政策不夠規(guī)范完整,未清晰告知收集了哪些信息及收集目的�����,用戶(hù)無(wú)法充分享有知情權(quán)���。三是用戶(hù)無(wú)法注銷(xiāo)賬戶(hù)。用戶(hù)無(wú)法注銷(xiāo)賬戶(hù)�、無(wú)法刪除個(gè)人信息是用戶(hù)主體權(quán)利無(wú)法兌現(xiàn),無(wú)法享有電子數(shù)據(jù)的被遺忘權(quán)的問(wèn)題����。
在《個(gè)人信息安全規(guī)范》國(guó)家標(biāo)準(zhǔn)中規(guī)范了個(gè)人信息控制者的收集、存儲(chǔ)����、使用、共享���、轉(zhuǎn)讓��、公開(kāi)披露�����、刪除等整個(gè)生命周期的個(gè)人信息處理活動(dòng)�����,在每一個(gè)環(huán)節(jié)均對(duì)個(gè)人信息控制者提出了明確全面的要求�。《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》(以下簡(jiǎn)稱(chēng)“《認(rèn)定辦法》”)針對(duì)App收集和使用的重點(diǎn)環(huán)節(jié)�����,從六個(gè)方面對(duì)主要違法違規(guī)情形做出具體規(guī)定���。筆者所在的第三方檢測(cè)機(jī)構(gòu)����,在2019年度主要依據(jù)上述國(guó)家標(biāo)準(zhǔn)和《認(rèn)定辦法》參與了百余款A(yù)pp的評(píng)估工作���,同時(shí)對(duì)用戶(hù)的舉報(bào)問(wèn)題進(jìn)行了驗(yàn)證和核實(shí)��。作為第三方評(píng)估機(jī)構(gòu)����,一方面要站在監(jiān)管的角度,去評(píng)估判定App中存在哪些違法違規(guī)問(wèn)題�,另一方面也要以用戶(hù)的視角來(lái)思考,作為普通用戶(hù)希望自己使用的App個(gè)人信息保護(hù)達(dá)到怎樣的水平�。接下來(lái),我們基于以往評(píng)估工作的相關(guān)經(jīng)驗(yàn)和思考�����,結(jié)合網(wǎng)民高度關(guān)注的問(wèn)題���,來(lái)探討App的個(gè)人信息安全保護(hù)問(wèn)題。
一����、完整規(guī)范的隱私政策,讓用戶(hù)充分享有知情權(quán)
《個(gè)人信息安全規(guī)范》詳細(xì)規(guī)定了隱私政策應(yīng)包含的內(nèi)容���,一個(gè)好的隱私政策可以回答用戶(hù)關(guān)注的問(wèn)題�,如:該App的服務(wù)類(lèi)別��、業(yè)務(wù)功能以及各個(gè)業(yè)務(wù)功能收集了哪些信息�����,收集信息的目的、需要申請(qǐng)哪些權(quán)限���,申請(qǐng)權(quán)限的目的����,個(gè)人信息的使用范圍��,能否注銷(xiāo)賬戶(hù)����,注銷(xiāo)賬戶(hù)后個(gè)人信息的處理方式,用戶(hù)的權(quán)利及實(shí)現(xiàn)路徑�,投訴建議的渠道等。隱私政策是App運(yùn)營(yíng)者制定的個(gè)人信息收集���、使用����、處理等全生命周期的規(guī)則����,是運(yùn)營(yíng)者保護(hù)用戶(hù)個(gè)人信息����、尊重公民個(gè)人隱私的宣言���,它不僅是企業(yè)遵守法律法規(guī)的需要��,更體現(xiàn)了企業(yè)的責(zé)任擔(dān)當(dāng)���。
二、收集個(gè)人信息應(yīng)遵循最小必要原則�,并征得用戶(hù)授權(quán)同意
用戶(hù)個(gè)人信息一旦以電子數(shù)據(jù)的形式提交至App運(yùn)營(yíng)者,用戶(hù)對(duì)個(gè)人信息的使用���、流轉(zhuǎn)����、刪除等將難以追溯����,個(gè)人信息的收集環(huán)節(jié)是個(gè)人信息生命周期的入口����,是個(gè)人信息保護(hù)的最重要一環(huán)�。通過(guò)App收集個(gè)人信息的方式有兩種:一種是用戶(hù)主動(dòng)在App內(nèi)填寫(xiě)個(gè)人信息����,另一種是通過(guò)權(quán)限自動(dòng)化收集個(gè)人信息。收集的個(gè)人信息應(yīng)為實(shí)現(xiàn)該業(yè)務(wù)功能所必須的最小集�,不能把多個(gè)業(yè)務(wù)功能捆綁,要求用戶(hù)一攬子同意��。通過(guò)權(quán)限獲取的個(gè)人信息��,僅應(yīng)在使用到相關(guān)業(yè)務(wù)功能時(shí)才能申請(qǐng)權(quán)限���,且通過(guò)權(quán)限收集個(gè)人信息的頻率應(yīng)為滿(mǎn)足業(yè)務(wù)需求的最小頻率�。在收集個(gè)人信息時(shí)����,應(yīng)明確告知收集信息的目的,并征得用戶(hù)授權(quán)同意�����;在收集身份證號(hào)����、身份證照片�、銀行卡號(hào)等個(gè)人敏感信息時(shí)要征得用戶(hù)的明示同意����;在收集人臉、指紋���、聲紋等生物特征信息時(shí)����,應(yīng)單獨(dú)告知收集����、使用個(gè)人生物識(shí)別信息的目的、方式和范圍����,以及存儲(chǔ)時(shí)間等規(guī)則,并征得個(gè)人信息主體的明示同意��。
三���、規(guī)范個(gè)人信息的使用、委托處理、共享���、轉(zhuǎn)讓和公開(kāi)披露行為����,與隱私政策的聲明保持一致���,能夠讓用戶(hù)放心
在個(gè)人信息的使用�����、委托處理���、共享、轉(zhuǎn)讓和公開(kāi)披露等處理環(huán)節(jié)�,個(gè)人信息大都在App運(yùn)營(yíng)者的服務(wù)端后臺(tái)進(jìn)行處理,用戶(hù)無(wú)法明確感知個(gè)人信息是如何被處理使用的�。App運(yùn)營(yíng)者在使用個(gè)人信息時(shí),應(yīng)在確保個(gè)人信息不被非法竊取和非授權(quán)濫用的基礎(chǔ)上����,嚴(yán)格按照隱私政策聲明的收集目的,控制個(gè)人信息的使用范圍�����,規(guī)范用戶(hù)畫(huà)像及基于用戶(hù)畫(huà)像的個(gè)性化推薦行為,允許用戶(hù)進(jìn)行自主選擇�����。另外��,需要對(duì)個(gè)人信息進(jìn)行委托處理��、共享����、轉(zhuǎn)讓和公開(kāi)披露的,應(yīng)按照隱私政策聲明的方式進(jìn)行處理�。只有App運(yùn)營(yíng)者做到安全、規(guī)范地使用個(gè)人信息��,做到言行一致��,用戶(hù)才會(huì)放心地將個(gè)人信息提交給App運(yùn)營(yíng)者��。
四����、用戶(hù)具有對(duì)個(gè)人信息進(jìn)行查詢(xún)����、更正����、刪除����、注銷(xiāo)賬號(hào)等主體權(quán)利
用戶(hù)將個(gè)人信息提交給App運(yùn)營(yíng)者后,用戶(hù)的主體權(quán)利要得到充分的保障����,在隱私政策中要告知實(shí)現(xiàn)以上用戶(hù)主體權(quán)利的途徑,提供投訴建議的渠道����,并能夠?qū)嶋H提供相應(yīng)的服務(wù)。在這些主體權(quán)利里��,要重點(diǎn)提及的是用戶(hù)注銷(xiāo)賬號(hào)的權(quán)利�。首先,App運(yùn)營(yíng)者應(yīng)提供便捷的注銷(xiāo)賬號(hào)的方式���,不應(yīng)給注銷(xiāo)賬戶(hù)設(shè)置不合理的條件���。其次�,在注銷(xiāo)賬戶(hù)后��,應(yīng)及時(shí)刪除其個(gè)人信息或進(jìn)行匿名化處理�。目前,有很多App在用戶(hù)申請(qǐng)刪除賬戶(hù)時(shí)����,只是在后臺(tái)將該用戶(hù)做刪除標(biāo)記,并未真正刪除用戶(hù)的個(gè)人信息或?qū)τ脩?hù)信息進(jìn)行匿名化處理��,用戶(hù)的個(gè)人信息仍可追溯到個(gè)人�����,這實(shí)際上已經(jīng)侵犯了用戶(hù)的合法權(quán)益�。
隨著個(gè)人信息保護(hù)法律法規(guī)不斷完善以及相關(guān)國(guó)家標(biāo)準(zhǔn)陸續(xù)出臺(tái),App運(yùn)營(yíng)者應(yīng)切實(shí)將個(gè)人信息保護(hù)法律法規(guī)�����、國(guó)家標(biāo)準(zhǔn)的相關(guān)要求落實(shí)到產(chǎn)品中��,加強(qiáng)行業(yè)自律,做好用戶(hù)個(gè)人信息保護(hù)���,促進(jìn)移動(dòng)互聯(lián)網(wǎng)產(chǎn)業(yè)健康有序發(fā)展��。