侵犯个人信息高额罚单或向互联网扩展,平台逐渐成执法重点
近日,OPPO携手德勤联合发布《移动应用(App)个人信息保护白皮书》(以下简称“白皮书”)。
白皮书分析认为,平台方将逐渐成为个人信息保护方面的执法重点,目前侵犯个人信息的高额罚款集中于金融行业,未来可能向互联网等行业扩展。另外,个人信息保护法生效后,统筹协同制的个人信息保护监管体系有利于法律落地,但对于企业而言,需要投入更多资源和成本以符合不同维度的要求。
App违规收集使用个人信息系主要问题
近年来,随着大数据、云计算、人工智能等技术发展的同时,用户数据已成为企业发展的战略性资产。与此同时,公众对保护个人信息的重视程度也逐渐加深,如何平衡好保护与发展也成为许多企业绕不开的话题。
白皮书梳理官方通报发现,随着近年来App治理强度增加,无隐私政策或隐私政策晦涩难懂情况得到较大改善,但App违规收集和使用个人信息依然是当前App违规的主要问题。另外,App强制索权、频繁索权以及过度索权的问题也是官方通报中第二大常见问题,开发者需在App开发过程中重点关注。
另外,第三方SDK窃取用户个人信息的问题曾引发广泛关注。白皮书分析认为,由于第三方SDK一般不独立面向用户提供服务,而依赖于App接入,即使第三方SDK直接收集个人信息,用户在使用App过程中对其行为也处于无感知状态或者弱感知状态。另外,多数情况下第三 方SDK的个人信息处理活动对于App开发者较不透明,对App开发者而言,很难进行管控。虽然SDK 作为个人信息保护的关键一环,但相关标准和行业实践经验都相对较少。
对此,白皮书建议,SDK提供者完善个人信息保护合规体系,吸取历史经验,在提供服务的过程中采取必要安全措施以 保证用户个人信息安全,并向App开发运营者及最终用户公开收集使用个人信息规则。
高额罚款集中于金融业,未来可能向互联网等行业扩展
据白皮书不完全统计发现,工信部、公安部、国家市场监督管理总局以及国家互联网信息办公室及其省级单位在2019年至2021年8月份期间共通报整改2111款App,通报下架470款App。国家市场监督管理总局在2019年的 “守护消费”暨打击侵害消费者个人信息违法行为专项执法行动中罚款1946万元。
对于个人信息保护方面的未来监管趋势,白皮书分析认为,平台方将逐渐成为执法重点,同时,判罚依据由显性的违规转向非显性违规,呈现多样化趋势。企业应更加关注合规工作中的更多细节,例如非必要信息的收集和使用,绑定授权、一揽子授权、第三方信息滥用等问题。
白皮书梳理发现,近年来,针对侵犯个人信息的事件,中央人民银行曾开出三起超过400万元的罚单。
白皮书分析认为,银行业之所以成为大额罚单的首要重灾区,一方面在于银行具有庞大的用户群体,掌握了大量的用户数据;另一方面,金融数据是消费者普遍关心的最具敏感性的数据类型之一,其泄露及滥用往往会造成极大的经济损失;特别是,针对银行业的强监管环境,从银行业开始下重拳整顿,能达到降低主要风险,实现高执法效率的目的。
白皮书称,可以预见,其他行业如医疗、互联网等,都存在用户数据触达点多、掌握数据量大的特点,那么参考银行业的监管思路,大额判罚的案例有可能也出现在其它行业。
企业或需投入更多以符合不同维度监管要求
在法律法规层面上,作为首部个人信息保护领域的专门性立法——个人信息保护法将于11月1日起正式实施。
个人信息保护法规定,国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作;国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。
白皮书分析认为,国家网信部门作为总统筹方,国务院有关部门在各自职责范围内负责个人信息保护和监管管理工作,兼顾了行业差异性。在地方层面,县级以上地方人民政府有关部门作为具体实施监督方,履行个人信息保护和监督管理职责,兼顾了地区差异性。
由此形成了行业监管为横轴、地方监管为纵轴的网状监督体系,这将有利于个人保护法的落地,但是对于作为个人信息处理者的企业而言,需要投入更多资源和成本以符合不同维度的要求。
白皮书认为,基于最高人民检察院下发的《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》 要求和和专项行动开展,未来也将出现更多个人信息保护领域的典型公益诉讼案例。民事诉讼、公益诉讼成为个人信息处理者在个人信息保护方面的新考验、新挑战。
此外,对于保护个人信息,消费者本人能做些什么?白皮书称,消费者养成安全使用习惯,不仅有助于避免风险事件,也能够反哺监管要求的落实及更新,促进行业各主体的自律及主动合规。
因此,白皮书建议,在日常互联网产品的使用中,消费者可以保持以下良好习惯:
1. 在正规应用商店或者App产品提供者官网下载App,不点击来源不明的链接进行下载安装;
2. 使用App及相关服务前,仔细阅读个人信息保护政策,充分了解App收集和使用个人信息的类型、 目的和方式,以及如何行使用户权利方式等内容;
3. 谨慎授予App使用敏感权限(如位置、相机、麦克风、通讯录等),可以在使用App特定功能或服 务时打开相关敏感权限,不使用时关闭;
4. 多使用App提供的隐私功能或隐私设置,主动、合理行使自己的对于个人信息的权利;
5. 发现安全隐患时,及时联系APP产品提供方,可以有效减少安全事件带来的不利影响;
6. 遇到侵犯用户个人信息情况时,及时联系产品提供者或向有关机构进行投诉。