國家互聯網信息辦公室、工信部等四部門12月30日聯合印發《App違法違規收集使用個人信息行為認定方法》(簡稱《方法》)。《方法》明確了哪些行為分別可被認定為“未公開收集使用規則”“未明示收集使用個人信息的目的、方式和范圍”“未經用戶同意收集使用個人信息”“違反必要原則,收集與其提供的服務無關的個人信息”等。
2017年6月1日起施行的《網絡安全法》和2018年5月1日起施行的國家標准《信息安全技術個人信息安全規范》,都對包括App在內的網絡運營者收集、使用個人信息做出了相應規范,但從落實情況看不太理想。比如幾天前,App專項治理工作組發布的通告顯示,在近期評估中發現57款App存在收集使用個人信息問題,4款App未完成整改。公安部、工信部也披露了相關問題。
App違法違規收集使用個人信息行為,侵害了用戶多種權益。要規范App行為、保障用戶權益,必須在現有法律和國家標准的基礎上,進一步完善制度措施。有關部門此次發布《方法》,旨在落實《網絡安全法》等法律中有關個人信息條款:其一,便於監管者准確認定違法行為﹔其二,督促App運營者自律﹔其三,引導輿論和用戶監督App。
此前,由於相關法律法規規定過於寬泛,客觀上讓一些侵權App有了可乘之機。比如法律規定“應當遵循合法、正當、必要的原則”,但認定違反該原則缺乏細則安排。《方法》明確6種行為違反必要原則,有望堵上某些App侵權、狡辯的漏洞。再如法律規定“公開收集、使用規則”,某些App會利用法律表述模糊打“擦邊球”,《方法》明確4種行為可被認定為“未公開收集使用規則”。
也就是說,針對App運營者利用法律原則性規定打“擦邊球”的各種行為,《方法》及時堵上了漏洞。尤其是多處涉及細節的制度設計值得肯定,如有關收集使用規則的內容晦澀難懂、冗長繁瑣,用戶難以理解,可被認定為“未明示收集使用個人信息的目的、方式和范圍”。這是人性化考慮,既便於用戶准確理解,又能防止運營商利用專業術語利己。
《方法》壓縮了App違法違規收集使用個人信息的空間,便於監管者執法,也便於用戶監督。不過,由於互聯網發展迅速,一些環節情況復雜,某些App運營商為了私利,不排除會針對《方法》拿出對策。隻有讓《方法》始終能跟上App違法違規收集使用個人信息行為發展,才能對違規者形成有效約束。
為進一步堵上App違法侵權漏洞,除了落實《方法》外,還應考慮把《信息安全技術個人信息安全規范》從推薦性國標升級為強制性國標。對於推薦性國標,App運營商可以執行,也可以不執行,而由於個人信息安全涉及公眾生命和財產安全,推薦性國標升級為強制性國標,有利於倒逼運營商嚴格執行,繼而最大化保護公民個人信息安全。
從今年有關部委專項整治情況看,不少App在自查自糾階段、監督檢查階段並不主動整改,應視具體情況,依法處以下架、罰款乃至追究刑責。歸根到底,要嚴格依法處罰違法違規收集使用個人信息的App運營商,以提升法律懲戒力、威懾力﹔要讓法律成為個人信息安全最強大“保護傘”,成為懸在App運營商頭頂的“達摩克利斯之劍”。