侵犯用戶權利、過度索取權限如何加強App個人信息保護？

105款應用程序被告知非法收集和使用個人信息，以及如何加強應用程序的個人信息保護。我們的記者趙晨曦喜歡聽音樂會，人們對大麥應用程序並不陌生。近日，這款“票務專家”已被下架。原因是其侵犯用戶權益，非法收集個人信息，app強制、頻繁、過度征求許可。5月21日，國家互聯網信息辦公室通報了105款app違規收集使用個人信息問題。根據通報要求，相關APP運營者應自本通報發布之日起15個工作日內完成整改。為加強移動互聯網應用程序（App）個人信息保護，規範App個人信息處理活動，在國家互聯網信息辦公室統籌指導下，工業和信息化部、公安部、市場監管總局起草了《移動互聯網應用程序個人信息保護管理暫行規定（征求意見稿）》公開征求意見。征求意見稿共20條，明確了適用範圍和監督主體；確立了“知情同意”和“最低限度必要性”兩項重要原則；細化app開發運營商、分發平臺、第三方服務商、終端廠商、網絡接入服務商五個主體的責任和義務；其中提出了投訴舉報、監督檢查、處置措施和風險提示四項規範性要求。網經社電子商務研究中心特約研究員趙占領在接受《法治日報》記者采訪時表示，關於App收集個人信息的問題已經是老生常談了，與此內容相關的法律規範有很多。本次征求意見稿專門針對App處理個人信息的特別規定，將近年來成熟的經驗和管理措施轉化為制度性規範性文件，從全鏈條、全主體、全流程的角度全面加強App個人信息保護管理。澄清“知情同意”和“最低必要性”原則是否允許授權打開相冊、通訊錄和定位。如今，在使用App時，人們似乎已經習慣了“默認”平臺的這些授權要求。畢竟，如果妳點擊關閉或拒絕，妳可能會面臨服務無法正常使用的情況，甚至App會直接閃退。有些app“貼心”地為用戶自動選擇默認勾選，在看似方便的情況下輕松獲取用戶的各類個人信息。在德恒律師事務所合夥人張韜看來，用戶的無奈默許恰恰說明在處理用戶個人信息方面存在諸多問題。App為了向用戶提供相關服務，在告知並征得用戶同意的合法前提下收集必要的個人信息是合理的，但目前部分App運營者存在“過度索取”“超範圍索取”以及未經用戶同意“非法獲取”甚至“非法出售”用戶個人信息的問題。趙占領被曝出多起App非法收集用戶個人信息的案件。他發現，常見的違規方式有兩種:壹是收集用戶個人信息與擬提供的業務沒有必然關聯，即超範圍收集用戶個人信息；第二，如果用戶不同意App收集用戶個人信息的要求，App將不會向用戶提供相關產品或服務，從而迫使用戶同意App收集個人信息。為解決這些問題，本次征求意見稿明確，從事App個人信息處理活動的，應當遵循“知情同意”和“最小必要”兩項重要原則。同時，《征求意見稿》特別指出，應當通過非默認勾選方式取得用戶同意。“知情同意”要求從事App的個人信息處理活動的，應當以明確、通俗易懂的語言告知用戶個人信息處理規則，用戶應當在充分知情的前提下作出自願、明確的意思表示；“最小必要”要求從事App個人信息處理活動者應當具有明確合理的目的並遵循最小必要原則，不得從事超出用戶同意範圍或與服務場景無關的個人信息處理活動。範圍廣，處罰重。這份征求意見稿給趙占領的第壹印象是範圍廣、處罰嚴。“廣”體現在全方位明確和細化App參與各方的主體責任和義務。這意味著，包括App開發運營商、分發平臺、第三方服務提供商、移動智能終端制造商、網絡接入服務提供商在內的各方均被納入個人信息保護責任人範疇。“嚴”體現在對違規處理流程和具體措施的細化上，明確從事個人信息處理活動的相關主體違反要求，將按照通知整改、社會公告、下架處置、斷聯、信用管理等程序依次處置，並明確具體時限要求。征求意見稿特別提出，未按要求完成整改或問題反復、采取技術對策的app將直接下架；且下架後的App在40個工作日內不得通過任何渠道再次上架。在中央財經大學中國互聯網經濟研究院副院長歐陽日輝看來，壹些App平臺之所以“肆無忌憚”，是因為違法違規的成本太低，特別是對於壹些尚未形成聲譽的中小平臺來說，規範對它們的約束力會更小。在征求意見稿中，“相應違規者可納入信用管理並聯合懲戒”的規定引起了歐陽日輝的註意。他認為這壹規定將對違法者起到極大的震懾作用。將違規者納入信用管理後，對其進行聯合懲戒，同時考慮采取禁止市場準入的方式，可以對違規者起到很大的震懾作用。針對“累犯”，征求意見稿給出了可以禁止的最高處罰。《征求意見稿》第十七條規定，監督管理部門可以指導組織App分發平臺、移動智能終端廠商在集成、分發、預置、安裝等方面進行風險提示，情節嚴重的可以采取禁入措施。嚴格規範App泄露個人信息是詐騙成功實施的關鍵因素，而個人信息泄露的壹大源頭就是App。張韜指出，《征求意見稿》不僅規範了App對個人信息的使用，還嚴格規範了App對個人信息的提供。征求意見稿第六條規定，需要向本App以外的第三方提供個人信息的，應當告知用戶其身份信息、聯系方式、處理目的、處理方式以及個人信息的種類，並征得用戶同意。與現有法律法規相比，尚未明確要求App告知用戶第三方的身份信息和聯系方式。例如，《網絡安全法》第42條規定，網絡運營者未經被收集人同意，不得向他人提供個人信息。“征求意見稿對此作出了較為詳細的規定，充分保障了用戶的知情權。”張韜說。然而，中倫律師事務所合夥人劉新宇表示，這壹規定的可行性仍有待探討。在實踐中，許多app向外界提供的個人信息涉及許多第三方主體，而這些第三方主體並不是壹成不變的，有些會頻繁變化。這些因素都加劇了第三方身份信息和聯系方式的告知難度。與《個人信息保護法》相銜接無論是《網絡安全法》還是《電子商務法》，近年來，我國保護互聯網個人信息的力度不斷加強。個人信息僅針對App收集和使用，過去兩年已發布了多項規範。此外，與個人信息保護更直接相關的個人信息保護法草案也正在審議中。張韜指出，征求意見稿中的許多條款與個人信息保護法草案相呼應。例如，“敏感個人信息”壹詞首次出現在個人信息保護法草案第二十九條。征求意見稿第六條第六項要求，遵循個人信息保護法草案的規定，對敏感個人信息應當單獨告知和約定，對敏感個人信息的列舉也是壹致的。此外，《征求意見稿》的相關內容在立法精神和原則上與個人信息保護法草案基本壹致，包括“告知-同意”原則和最小必要原則。在張韜看來，《征求意見稿》第二條規定“法律、行政法規對個人信息處理活動另有規定的，依照其規定”，這為《征求意見稿》與《個人信息保護法》的未來銜接預留了充分必要的空間。