本文轉自【光明日報】;
依法治理App過度索權是強化個人信息安全的基礎
近日,國家四部委聯合下發了《常見類型移動互聯網應用程序必要個人信息範圍規定》,對39類常見App在使用過程中,對必要個人信息的採集類型作出了具體規定。
當前,我國以網絡安全法、民法典、刑法及其司法解釋為核心的個人信息保護體系已經建立,《個人信息保護法(草案)》也開始向社會公開徵求意見。不過,從相對抽象的立法條文,到具體落實在特定App應用尚存一定距離,新規通過類型化的方式,將具體應用與抽象規定相結合,對個人信息保護將起到重要抓手作用。
互聯網實踐中,利用App對消費者個人信息過度索權的情況非常普遍,主要包括三個方面:一是通過網民協議格式條款,甚至具有市場支配地位的平台通過霸王條款,強制消費者“同意”對個人信息的無限制索取。二是以技術手段、技術迭代、大數據幌子等方式,掩蓋過度獲取個人信息目的,消費者維權成本很高,違法成本較低。三是大量不法App通過過度索權,形成了個人信息黑產,導致個人信息被不法分子利用,精準詐騙、撞庫竊取、人肉搜索等互聯網犯罪行為屢見不鮮。
此外,個別App平台忽視本該承擔的主體責任,在個人信息採集層面、使用層面、保護層面和處分層面都存在巨大安全隱患。以往執法實踐更重視個人信息的使用、保護、處分和事後處罰,忽視了個人信息違法採集的前期責任。其實,從治理成本、執法效率角度看,在個人信息採集層面治理下的功夫越大,後續風險就會變得越小。因此,新規將執法前移,從採集個人信息範圍角度加大治理力度,保護個人信息。
個人信息安全的治理工作不能過度依靠企業自律和事後執法處罰。平台自律應有法律法規作為基礎,只有在足夠具體、有效和針對性的規則面前,自律才會在個人信息保護中起到應有的效果。新規把實踐中39類App對個人信息索權類別,以非常簡練、具體、明確的方式作出了規定,旨在督促平台盡到依法、依約採集個人信息的責任,目的在於強化平台作為信息採集者的主體責任,切實保護消費者個人信息的安全。
各部門在對個人信息的保護監管工作中,很難逐款判斷App採集個人信息範圍的必要性、正當性和合法性具體邊界。執法和司法都面臨對個人信息採集類型、範圍、邊界判斷困難的情況,這就導致對個人信息保護工作多集中在事後追責,缺乏技術監管的預判。新規出台的目的就是要進行“穿透式”監管,從個人信息採集源頭抓起。這就需要App設計者、開發者、經營者、所有者與使用者都必須嚴格按照規定,落實採集類型和範圍責任,明確採集的必要性、正當性,只有達到新規具體標準,才能符合合法性基本原則。換言之,如果平台沒有履行新規相關標準,即便採集的信息事先“獲得”了消費者同意,或沒有對採集的個人信息進行濫用,也不能以此進行抗辯。
值得注意的是,新規不僅列明瞭各類App個人信息採集類別,而且還明確規定,任何組織和個人都有權利向相關部門進行舉報,這就暢通了公眾對個人信息安全監督的權利,也拓展了相關部門對保障個人信息安全的治理渠道,反過來,也更加夯實了互聯網平台積極履行主體責任的必要性。
(作者:朱巍,系中國政法大學傳播法研究中心副主任)