国家互联网信息办公室、工信部等四部门12月30日联合印发《App违法违规收集使用个人信息行为认定方法》(简称《方法》)。《方法》明确了哪些行为分别可被认定为“未公开收集使用规则”“未明示收集使用个人信息的目的、方式和范围”“未经用户同意收集使用个人信息”“违反必要原则,收集与其提供的服务无关的个人信息”等。
2017年6月1日起施行的《网络安全法》和2018年5月1日起施行的国家标准《信息安全技术个人信息安全规范》,都对包括App在内的网络运营者收集、使用个人信息做出了相应规范,但从落实情况看不太理想。比如几天前,App专项治理工作组发布的通告显示,在近期评估中发现57款App存在收集使用个人信息问题,4款App未完成整改。公安部、工信部也披露了相关问题。
App违法违规收集使用个人信息行为,侵害了用户多种权益。要规范App行为、保障用户权益,必须在现有法律和国家标准的基础上,进一步完善制度措施。有关部门此次发布《方法》,旨在落实《网络安全法》等法律中有关个人信息条款:其一,便于监管者准确认定违法行为;其二,督促App运营者自律;其三,引导舆论和用户监督App。
此前,由于相关法律法规规定过于宽泛,客观上让一些侵权App有了可乘之机。比如法律规定“应当遵循合法、正当、必要的原则”,但认定违反该原则缺乏细则安排。《方法》明确6种行为违反必要原则,有望堵上某些App侵权、狡辩的漏洞。再如法律规定“公开收集、使用规则”,某些App会利用法律表述模糊打“擦边球”,《方法》明确4种行为可被认定为“未公开收集使用规则”。
也就是说,针对App运营者利用法律原则性规定打“擦边球”的各种行为,《方法》及时堵上了漏洞。尤其是多处涉及细节的制度设计值得肯定,如有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,可被认定为“未明示收集使用个人信息的目的、方式和范围”。这是人性化考虑,既便于用户准确理解,又能防止运营商利用专业术语利己。
《方法》压缩了App违法违规收集使用个人信息的空间,便于监管者执法,也便于用户监督。不过,由于互联网发展迅速,一些环节情况复杂,某些App运营商为了私利,不排除会针对《方法》拿出对策。只有让《方法》始终能跟上App违法违规收集使用个人信息行为发展,才能对违规者形成有效约束。
为进一步堵上App违法侵权漏洞,除了落实《方法》外,还应考虑把《信息安全技术个人信息安全规范》从推荐性国标升级为强制性国标。对于推荐性国标,App运营商可以执行,也可以不执行,而由于个人信息安全涉及公众生命和财产安全,推荐性国标升级为强制性国标,有利于倒逼运营商严格执行,继而最大化保护公民个人信息安全。
从今年有关部委专项整治情况看,不少App在自查自纠阶段、监督检查阶段并不主动整改,应视具体情况,依法处以下架、罚款乃至追究刑责。归根到底,要严格依法处罚违法违规收集使用个人信息的App运营商,以提升法律惩戒力、威慑力;要让法律成为个人信息安全最强大“保护伞”,成为悬在App运营商头顶的“达摩克利斯之剑”。张海英