近日,国家四部委联合下发了《常见类型移动互联网应用程序必要个人信息范围规定》,对39类常见App在使用过程中,对必要个人信息的采集类型作出了具体规定。
当前,我国以网络安全法、民法典、刑法及其司法解释为核心的个人信息保护体系已经建立,《个人信息保护法(草案)》也开始向社会公开征求意见。不过,从相对抽象的立法条文,到具体落实在特定App应用尚存一定距离,新规通过类型化的方式,将具体应用与抽象规定相结合,对个人信息保护将起到重要抓手作用。
互联网实践中,利用App对消费者个人信息过度索权的情况非常普遍,主要包括三个方面:一是通过网民协议格式条款,甚至具有市场支配地位的平台通过霸王条款,强制消费者“同意”对个人信息的无限制索取。二是以技术手段、技术迭代、大数据幌子等方式,掩盖过度获取个人信息目的,消费者维权成本很高,违法成本较低。三是大量不法App通过过度索权,形成了个人信息黑产,导致个人信息被不法分子利用,精准诈骗、撞库窃取、人肉搜索等互联网犯罪行为屡见不鲜。
此外,个别App平台忽视本该承担的主体责任,在个人信息采集层面、使用层面、保护层面和处分层面都存在巨大安全隐患。以往执法实践更重视个人信息的使用、保护、处分和事后处罚,忽视了个人信息违法采集的前期责任。其实,从治理成本、执法效率角度看,在个人信息采集层面治理下的功夫越大,后续风险就会变得越小。因此,新规将执法前移,从采集个人信息范围角度加大治理力度,保护个人信息。
个人信息安全的治理工作不能过度依靠企业自律和事后执法处罚。平台自律应有法律法规作为基础,只有在足够具体、有效和针对性的规则面前,自律才会在个人信息保护中起到应有的效果。新规把实践中39类App对个人信息索权类别,以非常简练、具体、明确的方式作出了规定,旨在督促平台尽到依法、依约采集个人信息的责任,目的在于强化平台作为信息采集者的主体责任,切实保护消费者个人信息的安全。
各部门在对个人信息的保护监管工作中,很难逐款判断App采集个人信息范围的必要性、正当性和合法性具体边界。执法和司法都面临对个人信息采集类型、范围、边界判断困难的情况,这就导致对个人信息保护工作多集中在事后追责,缺乏技术监管的预判。新规出台的目的就是要进行“穿透式”监管,从个人信息采集源头抓起。这就需要App设计者、开发者、经营者、所有者与使用者都必须严格按照规定,落实采集类型和范围责任,明确采集的必要性、正当性,只有达到新规具体标准,才能符合合法性基本原则。换言之,如果平台没有履行新规相关标准,即便采集的信息事先“获得”了消费者同意,或没有对采集的个人信息进行滥用,也不能以此进行抗辩。
值得注意的是,新规不仅列明了各类App个人信息采集类别,而且还明确规定,任何组织和个人都有权利向相关部门进行举报,这就畅通了公众对个人信息安全监督的权利,也拓展了相关部门对保障个人信息安全的治理渠道,反过来,也更加夯实了互联网平台积极履行主体责任的必要性。
(作者:朱巍,系中国政法大学传播法研究中心副主任)