以近期新规为主线,谈App治理的红线与抓手
2019年5月5日,App专项治理工作组在其官网和官方公众号发布《关于征求<App违法违规收集使用个人信息行为认定方法(征求意见稿)>意见的通知》(以下简称“《通知》”),对《App违法违规收集使用个人信息行为认定方法(征求意见稿)》(以下简称“《认定方法》(草案)”)公开征求意见。此次《认定方法》(草案)给出药方和标准,按方治理,按标取缔。全文针对APP违法违规收集共给出七大类情形和三十九种具体情形,基本涵盖了目前APP个人信息保护的各个死角,给APP收集使用个人信息划定了具体红线。
5月28日,国家互联网信息办公室发布了《数据安全管理办法》(征求意见稿)(以下简称“《管理办法》(草案)”),吸收以往诸项标准和规范性文件的良好实践和规范,针对在中国境内利用网络开展数据收集、存储、传输、处理、使用等数据活动,以及数据安全的保护和监督管理做出规定。如果《管理办法》(草案)”最终正式发布,将会将以往诸项标准和规范性文件的良好实践和规范并上升为规章效力层面,为APP隐私专项治理锚定了强有力的依据和抓手。
一、APP治理的脉络回顾
2019年1月25日,中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,决定自2019年1月至12月,在全国范围组织开展为期1年的App违法违规收集使用个人信息专项治理。《公告》分别有五项部署要求:划定准则、展开评估、监管处罚、打击犯罪、安全认证。为落实《公告》相关部署,受四部门委托,全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立App违法违规收集使用个人信息专项治理工作组(以下简称“App专项治理工作组”),具体推动App违法违规收集使用个人信息评估工作,并上线“App个人信息举报”微信公众号,受理对App违法违规收集使用个人信息的举报,以及发布对App隐私政策和个人信息收集情况的评估及处置结果。
接下来四部委以及相关部门,尤其APP专项治理工作组的APP专项治理工作脉络基本按照《公告》五项部署要求展开的。
(一)展开评估
为落实《公告》第2项“展开评估”的部署要求,App专项治理工作组成立之后立即部署首批APP 评估工作,在评估工作中发现了部分App存在涉嫌违法违规的行为。发现问题之后,App专项治理工作组编制了《App违法违规收集使用个人信息自评估指南》、《App违法违规收集使用个人信息评估要点和操作规程》、《大众化应用基本业务功能及必要信息规范》等技术规范,为评估工作奠定了基础。App专项治理工作组依托专业评估机构和行业专家的力量,开展App违法违规收集使用个人信息评估工作,并对评估机构进行培训,分阶段、分批次开展评估工作。
(二)安全认证
为落实《公告》第5点“安全认证”的部署要求, 2019年3月13日,市场监管总局和中央网信办联合发布《关于开展App安全认证工作的公告》,决定开展App安全认证工作。公告事项主要有三点:(1)App安全认证活动依据《移动互联网应用程序(App)安全认证实施规则》开展。(2)从事App安全认证的认证机构为中国网络安全审查技术与认证中心,检测机构由认证机构根据认证业务需要和技术能力确定。(3)认证机构和检测机构应按有关规定,客观、公正地开展认证和检测活动,并对认证和检测结果负责。(4)国家鼓励App运营者自愿通过App安全认证,鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的App。
(三)监管处罚
为落实《公告》第3项“监管处罚”的部署要求,在3.15晚会现场,App专项治理工作组技术专家应邀对违法违规收集使用个人信息的一款“社保掌上通”App进行了技术演示和公开曝光,将App违法违规收集使用个人信息的乱象更加直观的让民众了解。针对央视“3·15”晚会报道的相关问题,工信部随即表示加强手机APP个人信息保护,配合中央网信办、公安部、市场监督管理总局等部门做好APP违法违规收集使用个人信息专项治理行动。2019年3月27日,上海市消费者权益保护委员会召开“网购、旅游出行、生活服务类APP个人信息保护评测结果发布会”,通报了网购平台、旅游出行、生活服务等手机App涉及个人信息权限评测结果。其中有9款APP泄露用户重要信息,上海消保委进行了约谈要求集中整改。
(四)划定红线
为落实《公告》第1项“划定准则”和第2项“展开评估”的部署要求,2019年5月5日,APP专项治理小组编制了负面清单《APP违法违规收集使用个人信息行为认定方法(征求意见稿)》。与《App违法违规收集使用个人信息自评估指南》这一正面清单相比,其内容更加细化,更加针对App专项治理过程中举报的突出问题。
二、《认定方法》(草案)
(一)与《自评估指南》对比
2019年3月1日,App专项治理工作组编制了《App违法违规收集使用个人信息自评估指南》(以下简称《自评估指南》),App运营者可参照指南对其收集使用个人信息的情况进行自查自纠,提升个人信息保护水平。如果说《自评估指南》,从行业自律角度,对App运营者起到对其收集使用个人信息的情况进行自查自纠的正面指导作用,那么《认定方法》(草案)则从监管治理角度,界定了App收集使用个人信息方面的违法违规行为的认定类型和方法,为App处罚认定提供了具体标准。以下为《认定方法》草案与《自评估指南》的8项对比。
对比项 | 《自评估指南》 | 《认定方法》草案 | 对比结论 |
1.隐私政策应易于访问
| 《自评估指南》评估点3 | 第一类第3种情形 | 《认定方法》(草案)和《自评估指南》都明确要求了,进入App主功能界面后,不得多于4次点击、滑动就能访问到隐私政策。这样更能方便用户访问隐私政策。 |
2.明示收集个人信息的业务功能和收集的个人信息类型
| 《自评估指南》评估点5、6、7 | 《认定方法》(草案)第二类第2种情形 | App自评估指南对于披露要求十分严格。从披露的颗粒度上讲,《指南》要求App运营者以穷举的方式列明收集个人信息的业务功能和收集的个人信息类型,不得使用“例如”,“等”字样对相应的业务功能和收集的信息类型进行模糊化的阐述。此次在《认定方法》(草案)中也规定,对于没有逐一列出收集的个人信息的类型与频率的,属于违法违规的情形。 此次《指南》对披露的内容进行了细致的拆分,不难看出未来对隐私政策势必会要求越来越透明和清晰。在此基础上,《指南》还要求App运营商的业务功能与其收集的个人信息一一对应,即要求App运营商要向用户展示收集的个人信息所应用的具体场景。以功能来进行划分,能使App运营商更严格的遵守目的明确原则和最少收集原则,能有效遏制其过度收集用户个人信息。 |
3.隐私政策更新 | 《自评估指南》评估点18 | 《认定方法》(草案)第二类第3种情形 | 《个人信息安全规范》5.6节第f)项已有类似规定:“在本条a)所载事项发生变化时,应及时更新隐私政策并重新告知个人信息主体。” 《自评估指南》明确规定了,在涉及业务功能变更、个人信息出境情况变更、使用目的变更、个人信息保护相关负责人联络方式变更等情形时隐私政策应当进行修订,并且企业有通知用户的义务。这是因为在这些变更的场景中,都会对用户的个人信息处理场景带来很大变化和影响,因此需要重新取得用户的授权同意。 此次《认定方法》(草案)也做出了类似的规定,对于收集使用个人信息的目的、方式和范围发生变化,应当以适当的方式通知用户,并取得用户的重新授权。 |
4.向用户明示收集、使用个人信息的目的、方式、范围
| 《自评估指南》评估点20的第3点 | 《认定方法》(草案)第二类第5种情形 | 在《自评估指南》评估点20的第3点规定,收集个人敏感信息时,App应通过弹窗提示等显著方式向用户明示收集、使用个人信息的目的、方式、范围。在目前的法律监管中,非常重视有关个人敏感信息的收集。对于个人敏感信息,不仅要求其在隐私文本中呈现时要用特殊的字体标识,也要求企业在收集个人敏感信息时,通过弹窗的方式提示用户,这也表明了企业对于收集和使用个人敏感信息的提示义务需要遵守更高的要求。 此次《认定方法》(草案)中也规定了,每次要求用户提供个人敏感信息,都需要同步实时说明原因。每次收集的过程中都需要向用户提示,对企业来说非常严格,因为企业需要同时考虑兼顾用户体验和合规要求。该规定也充分体现对于个人敏感信息的突出保护。 |
5.禁止将多项业务功能和权限打包,要求用户一揽子接受的情形 | 《自评估指南》评估点24的第1、2点 | 《认定方法》(草案)第四类第3种情形和第4种情形
| 此规定响应了《个人信息安全规范》(征求意见稿)中,要求企业对基本业务功能和扩展业务功能进行划分的规定。对于两种不同的业务功能,收集个人信息的授权同意应当进行区分。对于基本业务功能,可以在用户注册或首次登录时征求其授权同意;而对于扩展业务功能,可以采用单独的交互界面来取得用户的同意,如弹窗等。 此规定避免了App运营商对业务功能捆绑的形式,因此在用户拒绝使用扩展业务功能时,不得影响其使用基本业务功能。这样的规定使企业收集个人信息时符合选择同意原则与最少收集原则。 |
6.支持用户注销帐号 | 《自评估指南》评估点30 | 《认定方法》(草案)第六类第1种情形 | 早在2013年施行的《电信和互联网用户个人信息保护规定》就要求,电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或者帐号的服务。然而这条规定一致没有得到大多企业的重视,市场上仍然很多App没有为用户提供注销帐号的途径。在今年出台的《个人信息安全规范》(征求意见稿)中就明确提出,个人信息控制者应当向个人信息主体提供能够查询、更正、删除其个人信息,以 及撤回同意、注销账户、投诉等方法。 因此在《指南》和《认定方法中》,App是否为用户提供注销帐号的途径,也成为了重要合规标准。需要提醒企业注意的是,在用户注销帐号之后,企业有义务停止收集用户的个人信息,并对已经收集的用户个人信息删除或作匿名化处理,因此注销帐号也是用户非常重要的权利。 |
7.提供终止定向推送的选项 | 《认定方法》(草案)第三类第4种情形 | 此次《认定方法》(草案)规定的“利用用户信息和算法定向推送新闻、广告等,未提供终止定向推送的选项”的违法违规情形,是首次将算法写入个人信息有关的相关立法中。 | |
自评估指南》评估项7 | 《认定方法》(草案)第4类情形
| 在《自评估指南》评估项7中规定企业收集个人信息应满足必要性要求。此次《认定方法》(草案)的出台明确划定了必要性的几个标准,包括游客模式、技术迭代问题、一揽子授权、采集频率等。可以看出,对必要性原则的遵守势必会成为未来监管的重点方向。 | |
8.侵犯未成年人在网络空间的合法权益 | 相较于《自评估指南》,《认定方法》(草案)用专门的章节规定了对未成年人个人信息的保护要求,并将未成年人保护的范围保护的年龄范围规定在14岁以下。 随着网络用户呈现低龄化的趋势,对未成年人个人信息保护已成为世界各国的统一方向,美国COPPA要求网络运营者在收集或使用儿童用户的任何个人信息之前必须取得其父母的同意,欧盟GDPR规定当儿童不满16周岁,只有当儿童具有父母监护责任的主体同意或授权,处理儿童个人数据才是合法的。 | ||
8.存在嵌入第三方代码插件收集个人信息的功能,向用户明示
| 《自评估指南》评估点22 | 《认定方法》(草案)第五类第1种情形 | 对于通过第三方代码和插件这样的形式向第三方提供个人信息的,方式通常比较隐蔽,很多时候用户无法直接察觉。因此,在《自评估指南》和《认定方法》(草案)中都规定了通过第三方代码、插件等形式向第三方提供人信息的,要么经过用户授权同意,要么经过了匿名化处理。 这一点《网络安全法》第42条第1款也有类似的规定,“……未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”《个人信息安全规范》中,将未单独向个人信息主体征得收集、使用个人信息的授权同意的第三方插件(例如网站经营者与在其网页或应用程序中部署统计分析工具、软件开发工具包SDK、调用地图 API接口),规定为共同个人信息控制者。因此,作为App运营商来讲,有义务在向第三方提供用户的个人信息时,通过弹窗提示等方式明确告知用户。 |
(二)《认定方法》(草案)对个人信息保护基本机制和原则的遵循和细化
1.对“告知—同意”基本机制的遵循和细化
《认定方法》(草案)仍然遵循“告知—同意”的基本机制,保障数据主体的知情权益和自决权益,是从反面角度对《网安法》和《个人信息安全规范》所确立的“告知同意”机制的进一步细化。
在“告知”方面表现在:《认定方法》(草案)第一类“没有公开收集使用规则的情形”和第二类“没有明示收集使用个人信息的目的、方式和范围的情形”。
在“同意”方面表现在:(1)一般同意:《认定方法》(草案)第三类“未经同意收集使用个人信息的情形”和第四类“违反必要性原则收集与其提供的服务无关的个人信息的情形” 中的“强制授权、过度索权、超范围收集”等情形以及第五类“未经同意向他人提供个人信息的情形”。(2)特殊同意:第七类情形“侵犯未成年人在网络空间合法权益”,将“未经监护人同意收集使用14 周岁以下(含)未成年人个人信息和未经监护人同意利用14 周岁以下(含)未成年人信息和算法开展个性化推送新闻、时政信息、广告等定向推送活动”两种情形认定为违法违规。
在“其他自决权益”方面表现在:《认定方法》(草案)第六类将未按法律规定提供删除或更正个人信息功能的具体情形界定为违法违规收集使用个人信息的行为,进而保障用户删除或更正个人信息的自决权益。
2.对“合法、正当、必要”的原则的遵循和细化
《认定方法》(草案)继续遵循《网络安全法》第41条“合法、正当、必要”三原则,其规定多种违法违规情形是对三原则的进一步细化。
针对“合法性”原则,《认定方法》(草案)本身就是对违法违规收集使用个人信息合法与非法标准的规定。
针对“正当性”原则,《认定方法》(草案)第三类“未经同意收集使用”情形,实际就是将正当性标准在APP个人信息收集使用中的具体化。
针对“必要性”原则,《认定方法》(草案)第四类“违反必要性原则,收集与其提供的服务无关的个人信息的情形”的八种具体情形,基本涵盖了APP超越必要性原则违法违规行为的所有类别,包括游客模式、技术迭代问题、一揽子授权、采集频率等。
三、《管理办法》(草案)
《管理办法》(草案),将以往诸项标准和规范性文件的良好实践和规范并上升为规章效力层面,也体现了对“告知—同意”的基本机制和“合法、正当、必要”原则遵循,如果正式发布,将在规章层面为APP隐私专项治理提供了强有依据和抓手。
在“告知—同意”基本机制方面,主要表现在:第7条的“公开使用规则”,第8条“收集使用规则应当明确具体、简单通俗、易于访问”,第11条“不得以改善服务质量等为由,以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息”,第22条“因业务需要,确需扩大个人信息使用范围的,应当征得个人信息主体同意” ,第23条“利用用户数据和算法推送新闻信息、商业广告等(以下简称“定向推送”),应当以明显方式标明“定推”字样,为用户提供停止接收定向推送信息的功能”,以及第12条“收集14周岁以下未成年人个人信息的,应当征得其监护人同意”的特殊同意机制。
在“合法、正当、必要”原则方面,主要表现在:第27条规定的同意之外的五种例外情形是对《网络安全法》收集使用个人信息合法性和正当性情形的有效补充。《办法》增加了对提供个人信息征得同意的例外情形,实际上扩大了无需征得个人信息主体同意的情形范围,网络运营者对此的压力也被减轻不少。以及第11条“收集与提供核心业务功能服务必要的个人信息,不得因个人信息主体拒绝或者撤销同意收集上述信息以外的其他信息,而拒绝提供核心业务功能服务”。
此外,《管理办法》(草案)还规定了为APP治理规定具体的监管方式和处罚措施。例如,《数据安全管理办法》第33条赋予网信部门“约谈及敦促整改”以及第37条规定了网络运营者的“公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等”处罚措施和法律责任。此前,《公告》第3项“监管处罚”部署要求指出,有关主管部门加强对违法违规收集使用个人信息行为的监管和处罚,按照《网络安全法》《消费者权益保护法》等依法予以处罚,包括责令App运营者限期整改;逾期不改的,公开曝光;情节严重的,依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。《网络安全法》第64规定了侵犯个人信息依法得到保护权利的,责令改正,警告、没收违法所得、罚款,暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。《消费者权益保护法》第29条规定了侵犯消费者个人信息权益的行为模式,且第56条规定了处罚措施和法律后果:警告、没收违法所得、罚款,责令停业整顿、吊销营业执照。此前也多是依据《消费者权益保护法》进行处罚,例如2019年1月25日,上海市杨浦区市场监管总局对某公司的处罚。而在此次出台的《管理办法》(草案)中,将《公告》第3项“监管处罚”部署要求中的处罚措施在规章层面进行固化,并呼应了《公告》中提到的处罚依据《网络安全法》和《消费者权益保护法》相关规定,为APP治理提供了强有力的依据和抓手。此外第37条还规定了犯罪情形下的刑事责任,与《公告》第4项的“打击犯罪”的部署要求向呼应。
四、APP专项治理特征
(一)APP治理的移动端属性
与PC端、手机(设备)端、IoT智能终端、操作系统领域的治理,移动端APP治理有其独特性。但采集终端之间又是可以交互的,比如智能家居领域,APP与IOT终端,与云,形成数据采集和传输闭环,可以进行交互操作。App运营商、操作系统开发商、网络运营商、终端硬件(手机)厂商也会发生数据之争,如“腾讯和华为”数据之争,APP治理需要操作系统开发商、网络运营商、终端硬件(手机)厂商的配合和监督。
(二)APP治理的两个面向
APP治理遵循两个面向:安全和隐私,并是相互联结和相互促动的。
隐私,即个人信息保护方面,2019年3月1日,App专项治理工作组制定的《自评估指南》,以及2019年5月5日,App专项治理工作组发布的《认定方法》(草案)。
安全,即网络和数据安全方面,虽然该次APP专项治理长达一年,但四部门意在建立更为长效的治理机制,因此于2019年3月13日,市场监管总局和中央网信办联合发布《关于开展App安全认证工作的公告》,决定开展App安全认证工作。而此次《管理办法》(草案)的诸多条款,如第15条“重要数据和个人敏感信息网信部门备案”、第17条“收集重要数据和个人敏感信息应当明确数据安全责任人”、第19条“对重要数据和个人敏感信息采取分类、备份、加密措施”、第27条“个人信息向他人提供前的风险评估”第28条“重要数据出境风险评估”、第30条“第三方接入”,为APP治理提供了安全方面的依据。
(三)APP治理的监管和自律
本次专项治理涉及四个监管机构:中央网信办、工信部、公安部和市场监管总局,以及一个标准化组织和三个行业自律组织:全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会。其中中央网信办是中国网络空间安全协会和全国信息安全标准化技术委员会的业务指导部门。工信部是中国互联网协会的业务主管单位。市场监管总局批准设立并领导全国信息安全标准化技术委员会。市场监管总局还是中国消费者协会的业务主管单位。这说明监管和自律是联动的。此外,《自评估指南》的发布也体现了APP治理的自律性。
(四)多方参与的生态治理
APP治理,既需要公权力部门主导,又需要媒体和公众等多方参与监督。例如,2019年3月15日,在“2019第六届金融3·15高峰论坛”上,南都个人信息保护研究中心和中国人民大学法学院未来法治研究院共同发布了《2019移动金融类App隐私政策透明度测评》(以下简称《报告》)。为让公众直观了解常用App申请收集使用个人信息权限情况,在中央网信办、工信部、公安部、市场监管总局指导下,App专项治理工作组对下载量大的100款App申请权限以及强制开启的权限进行了分析统计,于2019年5月24日进行了公布,这将便于公众参与对App的监督,对于规范App申请收集使用个人信息相关权限和加强App个人信息保护具有重要意义。
五、APP专项治理趋势
(一)治理的技术趋势
在大数据、人工智能、区块链、生物别、云计算、物联网等新兴技术驱动的数字经济就像是个人信息的吸尘器,其的导致数据收集、分析和适用自动化背景下,数据治理日益表现出对技术考量以及在对技术手段的使用上。此次《认定方法》(草案)将算法纳入到法律规制范围,正是治理技术趋势的表现。
2019年3月13日,市场监管总局和中央网信办联合发布《关于开展App安全认证工作的公告》,开展App安全认证工作,其中手段之一就是技术认证,也体现了技术治理的趋势。
国外数据立法也有类似体现。例如2018年11月1日,美国参议员Wyden公布了其起草《用户数据保护法案》(“Consumer Data Protection Act”)体现出了技术驱动型保护的特色, 如要求公司评估处理用户数据的算法,以评估其在准确性、公平性、偏见、歧视、隐私和安全性方面的影响,委员会设立用户控制其信息的新的工具—— 全国性DNT(不跟踪系统)选择性退出数据共享网站,以及设置技术局并配备技术专家为FTC保护消费者权益提供了急需的技术性建议。
(二)消费者保护趋势
在治理的技术背景和特征之下,APP专项治理也日益表现出消费者保护的趋势。例如,2019年3月13日,市场监管总局和中央网信办联合发布《关于开展App安全认证工作的公告》,其中有一点就是,国家鼓励App运营者自愿通过App安全认证,鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的App,通过安全认证标识的发放引导消费者选用安全的App产品。这一点儿《管理办法》(草案)第34条做出了呼应。
此外,国外也有相关趋势表现。除了上面提及的美国参议员Wyden《用户数据保护法案》,德国联邦数据局及各自独立的州数据保护局联合委员会于2018年11月7日发布了针对在GDPR语境下的用于直接营销目的的个人数据处理的指导意见(DS-GVO),规定:依据画像进行精准营销,应当遵循告知同意的一般性机制,保护消费者知情利益。
在做出自动化个人决策和画像(automated individualdecision-making and profiling)时, GDPR13(2)(f), 14(2)(g)和 15(1)(h)条款规定,应告知“自动化决策”的“存在(existence)”,包括 “关于算法逻辑机制的有效信息”和 “告知数据主体自动化决策机制处理其个人数据对其影响和后果”。而GDPR 22(3)条款提到的保障措施“safeguards”,包括有权“获得数据控制者人为干预”、“表达个人观点”、“质疑自动化决策”。 在国内金融APP治理中,也应该学习GDPR。比如在使用人工智能算法的金融APP运营者,向金融消费者提供人工智能算法的合理解释,是金融消费者保护的题中之义,包括算法的功能和通用的逻辑、算法的目的和意义、设想的后果、具体决定的逻辑和个人数据的权重等。依据《资产新规》23条“金融机构运用人工智能技术开展资产管理业务应当严格遵守本意见有关信息披露等一般性规定。金融机构应当向金融监督管理部门报备人工智能模型的主要参数以及资产配置的主要逻辑,充分提示人工智能算法的固有缺陷和使用风险,明晰交易流程。金融机构因违法违规或者管理不当造成投资者损失的,应当依法承担损害赔偿责任。”就该条来说,人工智能模型的主要参数以及资产配置的主要逻辑只向监管机构报备,而不是向金融消费者告知或解释。而仅仅提及,应严格遵守本意见有关信息披露等一般性规定,向消费者充分提示人工智能算法的固有缺陷和使用风险,明晰交易流程。此处采取的不是因果解释(或告知)而是相关解释(或告知)。但《资产新规》23条第3段:“因算法同质化、编程设计错误、对数据利用深度不够等人工智能算法模型缺陷或者系统异常,导致羊群效应、影响金融市场稳定运行的,金融机构应当及时采取人工干预措施,强制调整或者终止人工智能业务”,正是学习GDPR 22(3)条款的做法,给予人工智能资产管理领域的金融消费者一定的人工干预和算法终结机制等保障措施。
如果仅仅涉及数据的收集、存储、传输、删除等过程,那么可以单纯地从“数据主体”的角度出发,设置算法可解释性规制路径。但往往算法的数据处理涉及商用目的,所以此时,打破以上两种思路错位分野,从“消费者”(即受算法自动化决策影响的消费者)角度出发加以规制,综合保护较为合理。例如GDPR将“画像”(“profiling”)算作自动化算法决策的一种,乃是因为“画像”往往不止于对个人在特定领域和目的上进行特征集合描述,大多数情况下是出于商业目的,例如“精准营销”或“直接营销”。所以,出于“定向营销”目的的“精准画像”,应该从消费者保护的角度出发,即在收集信息阶段给予其“知情”的权利,在自动化决策后,数据控制者还要采取必要措施保障其个人权利和自由。
在人工智能和自动化决策背景下,数据保护由1.0(隐私),2.0(自决控制)走向3.0(风险规制)。而在经济生活和商业开展中,应该多从消费者角度,而非单单从数据主体角度,进行数据保护。应赋予消费者第九项权利——数据权,包括除了知情权之外的访问权、限制处理权、更正权、反对权、删除权、可携带权等。进入人工智能时代,消费者保护也应该由平面化走向立体化。在数据保护3.0或消费者保护的立体化阶段,应该采取风险规制和治理的路径,无论是对个人还是社会,要评估自动化决策、精准营销、人脸识别等人工智能应用,对个人和社会的影响和风险,进行充分评估和预防管理。结论就是,相对数据主体,还是要从消费者和风险控制角度去规制和治理。而不应过于注重个人数据的个人属性,应兼顾隐私与风险。不能因为过度关注个人属性,而妨碍数据价值充分挖掘,促进经济摩尔定律式的发展,以及社会福利的指数级增长!
六、小结
此次《认定方法》(草案)给出认定的药方和标准,《管理办法》(草案)为APP治理提供了规章层面上的依据和抓手。但不是孤立立法,而是与网络安全法、消费者权益保护法、广告法、电子商务法、民法典、刑法修正案等相关法律法规以及相关标准相衔接的,构成了APP治理的生态体系。具体来说,草案给出“APP违法违规搜集个人信息”认定的的具体情形和标准方法,而《管理办法》(草案)则给出了明确的处罚措施和法律责任,与其他法律法规规定的民事责任、行政责任或刑事责任的类型相衔接。
APP专项治理已经取得明显的良好效果,截止到4月18日,APP专项治理工作组,共接到公民举报信息超过3480条,涉及1300余款App,并针对30款用户量大、问题严重的App发送了整改通知,要求其根据有关法律法规规范自身运营。但目前治理从规范和执法层面,还存在一些问题,尤其是如何进一步界定何为“必要性”原则这一问题。在实际操作中,因为缺乏具体的标准,对于“必要”原则的理解存在诸多争议。而界定清楚“必要性”原则的概念和范围,对于APP治理工作的开展有着至关重要的作用。正当、合法、必要三原则中的“必要”原则应进一步明确、细化标准,避免企业以此为由任意扩大所收集的个人信息的范围。