这个新规,对你我很重要!
理性分析 倾听心声
服务青少年发展
《规定》出台的背景怎样?对个人信息保护有怎样的促进作用?用户权益如何得到切实保护?《规定》落实还需要细化哪些工作?一起来看吧~
谈剑锋:全国政协委员、上海市信息安全行业协会名誉会长,长期致力于个人信息保护的实践与研究。
他的观点
1
问:规定出台的背景及意义?
答:随着移动互联网快速发展,各类应用程序迅速普及应用,在促进经济社会发展、服务民生等方面发挥了重要作用。但与此同时,App超范围收集用户个人信息问题十分突出。特别是大量App通过捆绑功能服务一揽子索取个人信息授权,用户拒绝授权就无法使用App基本功能服务,以此变相强制用户授权。
这个问题存在一段时间了,用户的投诉和相关诉讼这几年也是日益增多,尽管国家《网络安全法》《民法典》等法律、法规对个人隐私保护已做出了相关规定,但在实际操作中,在对相关问题的检查、监督方面缺乏可操作的细则。
《规定》将为进一步规范互联网应用和平台的业务和行为提供有力支撑,为互联网用户保护个人隐私提供有力依据。
2
问:第三条所称“必要个人信息”,如何理解“必要”?
答:“必要”是指保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务。具体可以从四个方面理解:
(1)初心是否可鉴。App服务提供商的数据处理行为的“必要性”需要基于服务合同目的本身进行判断,而不能本末倒置将数据处理行为作为合同的目的。
(2)客观性。“必要性”必须是客观上的必要:一方面判断这种必要性是假定了一个合理的App服务提供者在其与用户订立合同时,就客观上期待和判断这项服务中必须要进行的数据处理行为。另一方面,App服务提供者需要承担举证责任来证明某一项数据处理行为如果没有进行,合同就会无法履行或者无法订立。
(3)信息获取最小化。如果合同目的可以不需要进行该数据处理行为即可以完成,或者是该合同目的可以通过另外一种对App用户影响更小的数据处理行为完成,则数据处理行为不具有客观上的“必要性”。
(4)行为生命周期。一旦合同终止后,因为App服务提供者不再存在任何履约的“必要性”,所以数据处理行为必须停止,除非有法律、法规特殊规定的例外情况。
3
问:《规定》明确移动互联网应用程序(App)运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用App基本功能服务。这一规定的重要性和必要性如何?如何落地实施?
答:【重要性】 该《规定》有助于遏制App运营者⽆节制地向用户索取权限的现状,从⽽控制个⼈信息泄露的风险。规定从收集端⼊⼿进⾏规制,意在从源头对个⼈隐私进⾏有⼒的管控。为公民充分维护个人信息提供了可参考的法规依据。
【必要性】依据《网络安全法》《电信和互联网用户个人信息保护规定》等法规相关的要求,明确了基本原则,需要可衡量和可参考的依据,随着数字化经济的蓬勃发展需要有更为精准的法律武器给相关方面作为依据。
【落地实施建议】 从落地实施来看,可能仍然面临不小的挑战。首先,监管的基本要求是从反向限制,即:App不得因为用户不同意提供非必要个⼈信息,而拒绝用户使用其基本功能服务,但并不能阻止App运营者采取规避措施,诱导客户授权;其次,《规定》对基本业务的界定,与主体的期待和需求挂钩,具有⼀定的时效性。
现有《规定》将“必要信息”进行细化,也许未来还要适应不断变化的新兴业务需求,为运营者合规运营提供更有操作性的借鉴。另外,不同行业特色、差异巨大,具体监管方式、尺度都需要评估;面对实际收集信息(以隐私协议为例)与必要信息的较⼤差距,又该如何监管?这些都值得研究探索。
因此,建议:
(1)监管部门:推进出台细化措施,在安全隐私原则的基础上,运用科技手段,建设监管科技基础设施,加强对相关领域的监测评估,结合典型案例的处理开展宣传工作;
(2)行业协会:积极组织相关监管单位、第三方服务企业、个人信息处理者等机构开展政策研讨、宣传、培训,加强行业自律;配合监管部门建设行业监管平台;
(3)第三方服务企业:结合《规定》要求,运用大数据、人工智能、区块链等技术,开发相应科技产品,提供法律、咨询、取证等服务,提升监管部门能力、App服务提供者的隐私保护能力以及公民个人信息保护能力。
4
问:APP运营者应如何落实《规定》?
答:《规定》要求,相关部门指导督促本地区App运营者抓紧落实,并加强监督检查,及时调查、处理违法违规收集使用个⼈信息行为,切实维护公民在网络空间的合法权益。
本次发⽂的级别较高,是网信办联合其他三部委联合发文的,预计下⼀阶段将会开展专项检查和整治。
因此建议,App运营者开展如下工作,并与监管机构、法律咨询机构保持密切沟通与联系,防⽌突击检查等造成对业务的不利影响。
(1)深入研究学习《规定》及相关政策,提升整体隐私保护合规意识;
(2)对照《规定》要求寻找治理、政策、意识、制度、流程等方面的差距,开展业务影响分析,制定整改策略,确定相关领域风险偏好;
(3)根据整改策略对制度、流程、技术、合同条款等方面进行整改并开展培训和内外部贯宣工作。
5
问:在您看来,个人信息保护当前面临哪些突出问题?后续还亟待在哪些方面发力?
答:(1)在法律层面:在数据作为重要生产要素的时代,个人数据权属面临着法律规范明文直接规定稀少、权属界定社会共识不足以及权益的衔接不清晰等诸多问题;期待相应法律能持续推进建设和完善;
(2)市场机制方面:缺少基于个人角度出发的个人数据权益的确认和交易的市场机制,在保护个人权利的基础上,是否有可能开展基于个人数据确权、交易、变现等方面的个人数据市场机制,平衡好管理和发展的问题;
(3)尽管目前对隐私保护,在监管层面重视度很高,但是效果有待提升。为此建议,在提升监管有效性同时加强综合治理,培育企业主动合规,有效合规的意识;同时,加强对违规事件的处罚力度,鼓励对侵权行为进行诉讼/赔偿。
来源:微信公众号“APP个人信息举报”,转载请注明来源。
校审 | 陈 浩
责编 | 王诗瑶
校对 | 王 倩
编辑 | 许加鑫(南京师范大学泰州学院)