随着互联网技术的发展和移动终端的普及,移动互联网应用(以下简称“APP”)已经成为现代社会不可或缺的工具之一,但同时也成为了APP运营者获取用户个人信息最便利的方式。因此,近年来App个人信息保护问题备受关注,一些企业未准确把握合规边界,严重侵害用户的合法权益,相应也受到监管的处罚,影响到企业的经济利益和企业形象。
这里存在一个现实的问题,对于很多APP运营者而言,“非不愿也,实不能也”。复杂多样的法律规定、繁杂细节的审核要点都可能成为其进行合规的障碍。从实际操作而言,我们需要精准理解目前自有APP与APP个人信息保护的各项要求之间的差距,并且进行专项整改和落实;从长远发展来说,我们需要深刻地感知整体的合规趋势,以便顺势而为,在合规的框架内健康发展。随着2021年11月1日《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)正式生效,App运营者的个人信息保护工作,已经刻不容缓。
一、“敲门砖”
对于APP运营者而言,APP个人信息保护的合规可能成为后续登陆市场的“敲门砖”,未达到合规标准可能导致寸步难行。
2021年4月20日,工信部新闻发言人、信息通信管理局局长赵志国表示,要强化关键责任链监管。抓住应用商店这一关键重要环节,督促应用商店落实好平台责任,强化APP上架审核机制,切实做好个人信息保护的“守门人”。(源自:工信部:三方面入手 进一步推进APP个人信息保护工作)
《个人信息保护法》进一步明确互联网平台的主体责任,明确要求需要建立健全个人信息保护合规制度体系。各大平台后续应更有动力和规范对于上架的APP产品提出全面的合规要求。
二、“护身符”
如果未能有效落实APP个人信息保护的要求,APP运营者可能承担以下后果:
01 刑事责任
自2015年起,个人信息保护已经纳入刑法。《刑法》第253条之一规定, “违反国家有关规定, 向他人出售或者提供公民个人信息, 情节严重的, 处三年以下有期徒刑或者拘役, 并处或单处罚金; 情节特别严重的, 处三年以上七年以下有期徒刑, 并处罚金”, 同时规定, “窃取或者以其他方式非法获取公民个人信息的”, 依照前款的规定处罚。
同时,违反《个人信息保护法》的行为,构成犯罪的,将依法追究刑事责任。
02 民事责任
2021年1月1日生效的《民法典》将个人信息权利纳入,明确规定个人信息受法律保护。
如果App运营者未经用户同意而收集、使用、处理个人信息,用户可以主张侵权责任。此外,如果App运营者违反用户协议或隐私政策规定收集用户个人信息,用户有权主张违约责任。
另外,基于传统的救济路径对自然人而言存在举证难、维权难、收益低等障碍,最高人民检察院已经明确个人信息保护为公益诉讼办案重点,将大量个人信息被侵害的案件事实认定为侵害“社会公共利益”,从而获得起诉资格。
在《个人信息保护法》生效后,如个人信息处理者违法处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织均可以依法向人民法院提起诉讼。
03 行政责任
违反个人信息保护的相关规定,可能导致系列责任。以《个人信息保护法》的规定为例,可以简述为:
产品角度
对违法处理个人信息的应用程序,责令暂停或者终止提供服务。
APP运营者角度
违法处理个人信息,或未履行个人信息保护义务:责令改正,给予警告,没收违法所得;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
情节严重的,可能涉及以下处罚:
(1)针对违法行为违法所得:责令改正,没收违法所得,并处大额罚款(五千万元以下或者上一年度营业额百分之五以下)。
(2)针对公司业务和主体资格:可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。
(3)针对直接负责的主管人员和其他直接责任人员:处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
信用角度
依照有关法律、行政法规的规定记入信用档案,并予以公示。
一般而言,常见的监管部门主要包括:中央网信办、工业和信息化部、公安部、市场监管总局(排名不分先后)以及各自下属机构,地方网信办、地方通管局、公安厅(局)、市监局等。各部门执法各有侧重,共同形成全面的个人信息保护机制。针对特定行业,如金融行业、教育行业等,各主管部门也具有相应的信息保护监督管理职能,在此不做赘述。
一、监管常态化
以工信部和中央网信办的通报频次为例,可以看出监管的核查范围大、APP品类广等特点:
01 工信部
2020年全年通报7个批次,合计444款APP;截至2021年11月3日,工信部已发布本年度第11批《关于侵害用户权益行为的APP通报》(2021年第11批,总第20批),合计通报1549款(含各地通管局通报数量),已超过2020全年通报数量的3倍。
02 网信办
在2020年度未有单独执法的情况,2021年至今,已通报351款App存在违法违规收集使用个人信息的问题,并且各地网信办也积极开展执法活动。另外,7月4日,网信办发布关于下架“滴滴出行”App的通报。7月9日,发布关于下架“滴滴企业版”等25款App的通报,通报了上述App存在严重违法违规收集使用个人信息问题,并要求相关运营者认真整改存在问题。
二、应用来源广泛化
从历次通报中披露的应用来源信息可以看出在常规的各大应用市场以外,还包括抖音、快手等媒体渠道以及企业官网等。
应用来源的广泛性也体现出,监管机构对于应用市场以外的推广渠道开始关注并且切实开始纳入监管范围,部分企业可能存在侥幸心理,在不同渠道发布不同版本的做法已经行不通;另一方面也体现出目前的检测能力大幅提升,覆盖面更广泛。根据工信部信息,目前平台具备每个月检测量达到15万款的能力,年底前将检测覆盖达到180万款APP/月。
三、整治力度加强
在2021年上半年工业和信息化发展情况发布会上,工信部新闻发言人、信息通信管理局局长赵志国指出,下一步,工信部会对前期整治出现的问题开展“回头看”,对于整改不到位、落实效果不好的,工信部将在整治基础上纳入信用管理。
2021年7月、8月,工信部针对关于APP开屏弹窗信息骚扰用户问题、APP违规调用通信录、位置信息以及开屏弹窗骚扰用户分别发布了2批“回头看”的通报,指出某些App存在问题整改不彻底、将整改过的问题改回原样、技术手段对抗、同一问题在不同地域整改不一致等问题,并再次督促整改或下架。2021年11月,针对用户反映强烈的APP超范围、高频次索取权限,非服务场景所必需收集用户个人信息,欺骗误导用户下载等违规行为,再次发布“回头看”通报,要求限期整改,逾期不整改或整改不到位的,将依法依规进行处置并予以行政处罚。
结 语
我们可以看出,监管部门对APP个人信息保护的关注已经由表及里,从基础的隐私政策审核已经深入到技术和商业层面,这也会是后续的长期关注方向。各APP的运营者也需要紧跟监管趋势,充分理解、落实监管要求,依据法律法规的要求对自身合规水平进行自查自纠,在实现商业目的的同时不断提升合规水平,健康、有序地发展。