APP违法违规草案,直击隐私保护痛点

近日,由中央网信办、工信部、公安部和国家市场监督管理总局指导下的APP专项治理工作组在个人信息安全评估基础上,起草了《APP违法违规搜集使用个人信息行为认定方法(征求意见稿)》。()

shoujiAPPxiaotubiao_5911144.jpg


近日,由中央网信办、工信部、公安部和国家市场监督管理总局指导下的APP专项治理工作组在个人信息安全评估基础上,起草了《APP违法违规搜集使用个人信息行为认定方法(征求意见稿)》(以下简称草案),开始向社会公开征求意见。草案将APP违法违规搜集使用个人信息的行为归纳成七大类别等三十多种具体表现形式,这在世界范围内都是首次将APP个人信息保护违法违规行为类型化的立法尝试。  


草案起草的大背景应该有三个:其一,在国际立法层面,欧盟GDPR(《通用数据保护条例》)已经开始正式实施,欧盟之外的澳大利亚、新加坡、印度等国也陆续全面出台了专门对个人信息保护的立法,个人信息保护立法趋严已成大势所趋。  


其二,我国网络安全法已经实施一年有余,具体落实情况喜忧参半,尽管与网安法配套的相关规章立法不断出台,但实际效果并不理想,与个人信息有关的社会焦点事件仍层出不穷。虽然民法总则将个人信息从隐私权正式剥离,有望在未来民法典人格权法编中成为独立人格权,但民法典立法思维仍受到传统工业时代民法理论的影响,缺乏对互联网发展的及时回应。将个人信息权规定的过于抽象,很难有效回应个人信息有效保护的痛点。  


其三,移动互联网时代已经到来,以数据为基础的大数据经济演化出来了算法科学、人工智能技术、云计算应用、人脸识别等新形态开始不断冲击老旧法律保护体系。互联网发展到下半场,负面效果早已显现,包括精准诈骗、数据霸权、数据掠夺、网络攻击、数据安全等问题日益严重。在互联网下半场中,个人信息保护的侧重性保护成为维护网络安全和网民合法权益的重要抓手。  


草案用列举的方式归纳三十多种APP违法违规搜集使用个人信息的类型,基本涵盖了目前APP个人信息保护的各个死角。必须指出的是,草案的性质并非是传统意义上的单独立法,而是将其作为衔接APP个人信息保护违法违规类型与网络安全法、消费者权益保护法、广告法、电子商务法、民法典、刑法修正案等相关法律法规的桥梁。换句话说,利用APP违法违规搜集个人信息的情形具体由草案解决,至于违法违规或侵权者需要承担何种民事责任、行政责任或刑事责任的类型则由其他法律法规解决。  


草案规定的七大违法违规类别,总体上由以下几大块组成。  


第一,强调搜集和使用个人信息的伦理责任。将伦理责任纳入到个人信息保护法律归责体系,早在2012年末全国人大常委会出台《关于加强网络信息保护的决定》中就已经提及,但该决定规定较为抽象,缺乏类型化实操可行性。草案用了三分之一的篇幅,将个人信息保护伦理责任结合网络实践,首次夯实在法律标准判断之中。从隐私政策的充分告知,到搜集信息类别、权限、目的、方式、范围的充分说明义务,从敏感信息的特殊说明保护,到隐私条款的文义简明要求等。这些非常具体的合法性判断标准,不仅能够成为合法性判断标准,而且也会成为APP行业隐私保护的行业标准。  


相比饱受争议的欧盟GDPR一刀切式的“休克疗法”,我国隐私保护步骤更加温和,在《个人信息保护法》出台前,先以较为柔和的判断标准进行针对性的保护,这将很大程度避免未来的强制法对互联网产业造成寒冬式创伤。  


第二,具体解释了“合法性、正当性和必要性”个人信息搜集使用的基本原则。2012年全国人大常委会出台《关于加强网络信息保护的决定》提出了个人信息合理使用的三大原则,在此之后的网络安全法、消费者权益保护法、电子商务法等法律法规出台和修法,都将这三大原则作为个人信息保护的基本原则。不过,后续立法中都没有对着三大原则进行可操作性的解释。这主要有两个原因,一是,相关立法都在静候我国未来《个人信息保护法》作出最终的解释;二是,互联网技术发展太快,这些原则很难通过某一部单独立法作出四海皆准的标准,与其写的详细,不如仅规定原则,具体案件具体分析似乎更好。  


若从技术发展速度角度看,在互联网领域的立法确实需要一种“战略性模糊”的立法思路,立法如果过于具体,可能会偏离初衷,阻碍产业发展,或者当时技术已经过时,立法随之过时。所以,这就需要特殊性立法针对特定问题作出特定的回答。草案针对APP这类移动互联网发展现状,以三大原则为基础,做出了类型化具体判断标准。  


首先,草案将违法违规搜集使用个人信息合法与非法标准做出了直截了当的规定,符合这些类型的就是非法行为,这就解决了合法性原则在APP个人信息中的问题。  


其次,草案规定的第三大类别“未经同意搜集使用”情形,实际就是将正当性标准在APP个人信息搜集使用中的具体化,值得注意的是,草案将算法也纳入到法律规制范围,这也是算法首次被写入关于个人信息的立法标准中。  


最后,饱受争议的必要性原则在草案中最终得以明确。草案第四大类八条的规定,基本涵盖了APP超越必要性原则违法违规行为的所有类别,包括游客模式、技术迭代问题、一揽子授权、采集频率等APP个人信息领域的几乎所有“老大难”问题,都在草案中有明确回应。从这个角度看,这个草案起草者确实对技术是行家里手,对必要性原则与技术结合的拿捏非常到位。  


第三,区分了大数据与个人信息的本质差别。目前学界的通说是,大数据是知识产权范畴,个人信息是隐私法保护范畴,二者性质不同,稍有混淆,就可能导致产业发展与个人隐私保护的南辕北辙。  


早在民法总则草案颁布时,笔者就多次撰文指出,数据信息不能作为知识产权的客体,数据信息概念太大,既包括大数据,也包括个人信息,前者性质是知识产权无疑,但后者属于隐私法律体系。从网络平台采集的数据看,直接或间接不能识别到个人身份的信息属于大数据,所有权性质应为数据处理者——即网络平台。对于那些直接或间接可以识别到个人身份的信息属于个人信息,所有权人只能是用户。  


目前我国法律并没有对大数据范围作出具体描述,但《网络安全法》第76条对个人信息的界定已经非常明确,就此引申一下,除了个人信息之外的不能识别到自然人身份的数据,其中很大部分应属于大数据,即知识产权性质,这部分数据的所有权归属应纳入到另一个法律框架。  


草案的第五大部分,以是否进行数据“匿名化”处理,即所谓“脱敏”处理作为判断数据处分合规的重要标准之一,这样的规定是符合大数据时代发展方向的。当然,数据脱敏的相关标准国家也有具体文件,这块行业行规落实情况标准情况也不尽相同,实践中存在数据匿名化的“可逆性”技术,这就需要立法进一步进行规范。  


话又说回来,难道匿名化的数据使用就与用户无关了么?答案也是否定的。按照最近市场监督管理总局正在向社会征求意见的《网络交易管理办法》修法征求意见稿,以及《电子商务法》的相关规定,网络经营者利用大数据向消费者发送的精准推送,也需要尊重消费者的自由选择权,必须同时以显著方式标记不针对个人特征的选项。可见,即便是明确了大数据产权问题,但大数据合理使用边界也是有的。  


第四,确立了用户对个人信息的绝对控制权。用户对自己个人信息的绝对控制权体现在几个方面,一是,确立被遗忘权。欧盟通过判例和GDPR立法的两种方式加固了被遗忘权的适用。草案进一步明确了全国人大常委会对“一法一决定”的考察调研结论,要求网络经营者必须尊重用户注销账号的权利,尊重用户更改、删除个人信息的权利。关于“沉睡的账号”个人信息泄露问题屡见报端,赋予用户注销权无疑是治理个人信息的重中之重。  


二是,明确了开放平台模式中用户对自我个人信息的控制权。当年“新浪诉脉脉案”法院确立的用户两次同意原则,已经成为开放平台个人信息流转的唯一合法途径,在草案中再次加以明确,未经用户再次同意,平台不能用一揽子等协议蒙混过关。  


三是,凸显了用户对个人信息的自我决定权。包括充分告知的伦理责任、处分权限、二次同意模式、账号注销、信息更正等权限在内,草案通篇都在构建用户对自己信息的自我决定的权利。从这个角度讲,未来民法典人格权法编中的个人信息权确立,其范围至少在APP领域已经得到充分的扩张,法律基础与技术发展都融合到草案之中。  


第五,彰显对未成年人数据权益的保护。按照欧盟GDPR的相关规定,网络平台在处理16周岁以下孩子数据时,需要事先征求其监护人同意或授权。当然,GDPR规定的16周岁确实与互联网时代发展不太一致,其实,完全民事权利和数据权监护必要性并非一回事,过分提高年龄限制很可能导致年青一代权利受到损害。所以,GDPR又赋予成员国根据国情调整年龄的权利,不过底线非常明确为13周岁。从这个角度看,草案将14周岁作为监护人授权的门槛,也没有超过欧盟立法门槛,又比较符合我国互联网发展实践和国情,还是比较恰当的。

转载文章:文章版权归作者所有。