四部门重拳出击App个人信息乱象,企业如何有效应对?
前言
中央网信办、工业和信息化部、公安部、市场监管总局于1月25日联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》(以下简称“公告”),决定自2019年1月至12月,在全国范围组织开展App违法违规收集使用个人信息专项治理行动。此次专项治理将重点开展以下工作:
一、组织相关专业机构,对用户数量大、与民众生活密切相关的App隐私政策和个人信息收集使用情况进行评估;
二、加强对违法违规收集使用个人信息行为的监管和处罚;
三、公安机关开展打击整治网络侵犯公民个人信息违法犯罪专项工作;
四、开展自愿性App个人信息安全认证。
此举无疑向移动应用程序(APP)开发者、运营者及应用商店、社交平台和云服务企业等网络平台运营者敲响了遵守个人信息保护合规要求的警钟。
一、监管趋势
早在2017年7月至9月,中央网信办、工信部、公安部和国家标准委针对国内互联网领先企业的10款App组织了首次App隐私政策专项评审工作。
2018年11月,中国消费者协会发布了《100款App个人信息收集与隐私政策测评报告》。报告显示,包括通讯社交、影音播放、网上购物、交易支付、出行导航、金融理财、旅游住宿、新闻阅读、邮箱云盘和拍摄美化在内的共10类100款App中,多达91款App存在过度收集用户个人信息的问题,主要集中在过度收集和使用位置信息、通讯录信息和手机号码等信息。
2018年12月,全国信息安全标准化技术委员会对40款网络产品和服务的隐私条款进行了2018年隐私条款专项评审工作。网信办更是依法集中清理整治违法违规、低俗不良移动应用程序,于2018年12月关停下架3469款涉黄涉赌、恶意扣费、窃取隐私、诱骗诈骗、违规游戏、不良学习类APP,并集体约谈28家应用商店、社交平台和云服务企业,对其履行主体责任不力、客观上为违法违规APP提供接入通道、扩散渠道提出警告,要求立即对各自平台进行全面排查,清理应用商店,屏蔽恶意链接,清查接入服务。
而国家互联网应急中心也于近日曝光了134个窃取用户个人信息的恶意程序变种,其主要危害涉及:私自将用户手机里已存在的所有短信和通讯录上传至指定的邮箱;私自接收指定手机号码发来短信控制指令,执行控制指令内容;私自将用户接收到的新的短信转发至指定的手机号,同时在用户的收件箱中删除该短信等违法违规行为。自2018年9月以来,网信办会同工信部、公安部等有关部门针对社会反映强烈、侵害用户权益的恶意移动应用程序开展专项整治,发现并清理共7873款存在恶意扣费、信息窃取等高危恶意行为的移动应用程序,并督促电信运营商、云服务提供商、域名管理机构等关停相关服务。
与此同时,当今国际社会对个人信息隐私的保护力度正在加大。法国的数据保护监管机构国家信息与自由委员会以违反欧盟《通用数据保护条例》(GDPR)为由,于今年1月21日向谷歌开出5000万欧元(约合3亿8千万人民币)的罚单,创下对单一美国科技巨头开出此类罚款的最高纪录。
由此可见,国内个人信息保护的执法力度正逐步加强。目前,我国的个人信息保护法也已列入本届全国人大常委会的立法规划。在此大环境下,对企业的合规要求也日益增强。
二、公告解读
本次公告主要列明了APP运营者的主要合规义务、App隐私政策和个人信息收集使用情况评估方式、APP运营者的法律责任及开展自愿性App个人信息安全认证等要点。
1.APP运营者的合规义务
公告指出,App运营者收集使用个人信息时应当严格履行《中华人民共和国网络安全法》(以下简称“《网络安全法》”)规定的责任义务,对获取的个人信息安全负责,采取有效措施加强个人信息保护。
《网络安全法》规定网络运营者应承担的个人信息保护合规义务主要包括:
建立健全用户信息保护制度(第四十条)
建立个人信息的收集、使用规则及制度(第四十一条、第四十二条、第四十四条)
建立个人信息泄露事件的报告制度(第四十二条)
建立个人信息的删除和更正制度(第四十三条)
建立对用户发布的信息管理制度(第四十七条)
建立网络信息安全投诉、举报制度(第四十九条)
《网络安全法》规定网络运营者在收集个人信息时应满足“知情同意”原则(第四十一条)。公告强调App运营者应当获得个人信息主体的自主选择同意,即明示同意,同时要求App运营者不以默认、捆绑、停止安装使用等手段变相强迫用户授权(禁止强制授权),进一步提高了App运营者获得个人信息主体授权的合规要求。
《网络安全法》规定网络运营者在收集个人信息时应当向个人信息主体明示收集使用规则(第四十一条)。公告在此原则性规定的基础上,要求App运营者应当以通俗易懂、简单明了的方式向个人信息主体展示其个人信息收集使用规则,即以用户友好的角度来设计用户隐私政策,避免目前绝大多数用户难以理解晦涩难懂、长篇大段的隐私协议而草草点击同意授权的乱象。可以看出,各部委以行业良好实践规范作为本次专项治理的审查要求,旨在提高App市场上个人信息保护的合规标准。
同时,公告指出App运营者应当遵循合法、正当、必要的原则,不得收集与所提供服务无关的个人信息(禁止过度收集),不得违反法律法规和与用户的约定收集使用个人信息(禁止超范围收集),并倡导App运营者在定向推送新闻、时政、广告时,为用户提供拒绝接收定向推送的选项(禁止强制推送),进一步落实个人信息主体对于其个人信息的实际控制权。
2.App隐私政策和个人信息收集使用情况评估
公告指出,本次专项治理行动将由全国信息安全标准化技术委员会(以下简称“信安标委”)、中国消费者协会、中国互联网协会、中国网络空间安全协会,组织相关专业机构,对用户数量大、与民众生活密切相关的App隐私政策和个人信息收集使用情况进行评估,评估规模预计将达上千款App。上述专业机构也将编制大众化应用基本业务功能及必要信息规范、App违法违规收集使用个人信息治理评估要点,作为本次评估工作的主要依据。
此次信安标委将联合各专业机构针对App如何区别基本功能与附加功能、如何鉴别所收集信息为必要信息、以及违法违规收集使用个人信息的评估要点出台更为细致的合规指引,不难看出本次制定的相关评估规范也将对企业合规工作产生重要影响。
3.APP运营者的法律责任
公告指出,有关主管部门将在此次专项治理行动中加强对违法违规收集使用个人信息行为的监管和处罚,包括责令App运营者限期整改;逾期不改的,公开曝光;情节严重的,依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。根据《网络安全法》的规定,单位违法违规收集使用个人信息的,还将对直接负责的主管人员和其他直接责任人员进行处罚。涉及犯罪的,还应当根据《刑法修正案(九)》及两高相关司法解释的规定承担相应的刑事责任。公安机关也将在本次专项治理行动中开展打击整治网络侵犯公民个人信息违法犯罪专项工作,依法严厉打击针对和利用个人信息的违法犯罪行为。
结合目前我国个人信息保护相关立法框架,违法违规收集使用个人信息的处罚规定具体如下:
违法违规行为 | 执法依据 | 处罚规定 |
提供的应用软件,设置恶意程序,或者含有法律、行政法规禁止发布或者传输的信息。 | 《网络安全法》第六十条 | 由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。 |
强制、过度收集个人信息 | 《网络安全法》第六十四条 《中华人民共和国消费者权益保护法》第二十九条 | 由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。 处罚机关应当记入信用档案,向社会公布。 |
未经消费者同意、违反法律法规规定和双方约定收集、使用个人信息 | 《网络安全法》第六十四条 《中华人民共和国消费者权益保护法》第二十九条 | 由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。 处罚机关应当记入信用档案,向社会公布。 |
未采取措施删除或者更正违反法律法规规定收集、使用的个人信息 | 《网络安全法》第六十四条 《中华人民共和国消费者权益保护法》第二十九条 | 由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。 处罚机关应当记入信用档案,向社会公布。 |
泄露、篡改、毁损收集的个人信息 | 《网络安全法》第六十四条 《中华人民共和国消费者权益保护法》第二十九条 | 由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。 处罚机关应当记入信用档案,向社会公布。 |
发生或可能发生个人信息泄露、毁损、丢失的情况时,未立即采取补救措施,未及时告知用户并向有关主管部门报告 | 《网络安全法》第六十四条 《中华人民共和国消费者权益保护法》第二十九条 | 由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。 处罚机关应当记入信用档案,向社会公布。 |
非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的行为 | 《网络安全法》第六十四条 | 由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。 |
非法方式获取、非法出售或者非法向他人提供个人信息,情节严重构成犯罪的行为 | 《刑法修正案(九)》 | 处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。单位犯罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员判处相应处罚。 |
对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录 | 《网络安全法》第六十八条 | 由有关主管部门责令改正,给予警告,没收违法所得;拒不改正或者情节严重的,处十万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 |
应用软件下载服务提供者不履行安全管理义务 | 《网络安全法》第六十八条 | 由有关主管部门责令改正,给予警告,没收违法所得;拒不改正或者情节严重的,处十万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 |
不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息,采取停止传输、消除等处置措施 | 《网络安全法》第六十九条 | 由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员,处一万元以上十万元以下罚款。 |
拒绝、阻碍有关部门依法实施的监督检查 | 《网络安全法》第六十九条 | 由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员,处一万元以上十万元以下罚款。 |
拒不向公安机关、国家安全机关提供技术支持和协助 | 《网络安全法》第六十九条 | 由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员,处一万元以上十万元以下罚款。 |
拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成了严重后果 | 《刑法修正案(九)》、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》 | 处三年以下有期徒刑、拘役或者管制,并处或者单处罚金;单位犯罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员依照前款的规定处罚。 |
除此之外,为加强APP的规范管理,国家网信办于去年先后出台《移动互联网应用程序信息服务管理规定》《互联网直播服务管理规定》《互联网群组信息服务管理规定》等相关法规,明确移动应用程序开发者、运营者及接入者各自应当承担的企业主体责任。企业还应当遵守各行业主管部门对本行业的特殊监管政策。
4.开展自愿性App个人信息安全认证
公告提出,四部委将开展App个人信息安全认证工作,鼓励App运营者自愿通过App个人信息安全认证,鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的App。据了解[1],市场监管总局将会同网信办等部门建立App个人信息安全认证制度,按照App运营商自愿申请的原则,由具备资质的认证机构依据相关国家标准对App收集、存储、传输、处理、使用个人信息等活动进行评价,符合要求后颁发安全认证证书并允许认证标识。此举旨在通过鼓励搜索引擎和应用商店优先推荐获证App等方式,引导消费者选用安全的App产品,透过市场选择机制的引领作用进一步规范App运营商的研发和推广行为、提升个人信息保护意识和能力,形成解决App违法违规使用个人信息问题的长效治理机制。
三、合规建议及应对策略
本次专项治理行动规模之大、范围之广、执法力度之强,或创下近年之最。四部门联合执法,四协会全面评估,公安部门严厉打击,市场监督部门安全认证,持续时间长达一年的综合治理,加强处罚违法违规行为的同时匹配规范性引导和政策性鼓励,这一系列的组合拳重击势必解决目前App强制授权、过度授权、超范围收集个人信息等突出问题,达到规范App市场的预期监管效果。
对于App开发者、运营者而言,着手调整产品设计环节的隐私保护,规范个人信息收集和使用规则,严格落实信息安全管理责任是目前亟待处理的问题。同时,应用商店、网盘、论坛贴吧等社交平台及云服务企业等网络平台运营者应当切实落实主体责任,针对平台接入的App及其发布信息进行真实性、安全性、合法性等审核,建立信用管理制度;督促应用程序提供者保护用户信息;发布合法信息内容,建立健全安全审核机制;发布合法应用程序,尊重和保护应用程序提供者的知识产权。并通过服务协议,明确双方的权利义务,规避合规风险。App运营者及网络平台运营者应当配合有关部门依法进行的监督检查,设置便捷的投诉举报入口,及时处理公众投诉举报。电信运营商、云服务提供商、域名管理机构亦有义务配合实施网信办等主管部门对相关违法违规APP的关停处罚。
除上述个人信息保护制度外,企业还应当重视《网络安全法》及其配套法律法规构建的系统性的网络安全和数据保护义务,主要包括:
落实网络安全等级保护制度;
网络传播内容的管理;
履行网络运营者网络安全保护义务;
关键信息基础设施认定和网络安全保护义务的履行;
个人信息和重要数据的保护;
数据本地化存储和跨境数据传输的安全评估;
网络产品和服务提供者的网络安全义务;
落实网络安全审查制度;
落实《网络关键设备和网络安全专用产品目录》及安全认证检测制度;
建议企业尽快着手实施网络安全与数据保护的整体合规工作,对企业目前的合规现状进行摸底评估,有效识别相应法律风险,并针对合规漏洞建立健全整体的合规体系。对于企业而言,有效的系统合规梳理工作包括合规现状尽职调查与差距分析、风险识别及合规建议、合规方案的实施和优化三个阶段,做到组织、流程、制度和培训各环节环环相扣,同时应当与企业所在行业、产品及服务的特性有针对性的落实相关合规义务。
为帮助企业更好的理解中国复杂的执法监管环境,更有效的降低法律风险,我们将结合在网络安全与数据保护领域的广泛实践经验,持续推出系列文章,对立法及政策走向及时进行解读,希望对企业的合规工作有所帮助。
注:
[1]来源于国家认监委http://www.cnca.cn/xxgk/tpxw/201901/t20190125_57029.shtml
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等试听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
作者简介:
陈际红 律师
合伙人 北京办公室
业务领域:知识产权, 反垄断与竞争法, 科技、电信与互联网
长按识别图中二维码,可查阅该合伙人简历详情。
输12
韩璐 律师
北京办公室 知识产权部
作者往期文章推荐:
《致敬数据合规元年 | 表析《网络安全法》配套法律法规和规范性文件》
《致敬数据合规元年 | 2018《网络安全法》执法案件大盘点》
《他山之石 | 从全球数据跨境流动监管政策看我国相关制度发展》
点击“阅读原文”,可查阅该专业文章官网版。