依法治理APP过度索权是强化个人信息安全的基础

2021-03-29 来源: 光明日报

    近日,国家四部委联合下发了《常见类型移动互联网应用程序必要个人信息范围的规定》,对39款常见应用程序(APP)在使用过程中,对必要个人信息采集类型做出了具体规定。

    当前,我国以《网络安全法》《民法典》《刑法》及其司法解释为核心的个人信息保护体系已经建立,《个人信息保护法(草案)》也开始向社会公开征求意见。不过,立法条文的相对抽象,距具体落实在特定APP应用尚存一定距离,新规通过类型化的方式,将具体应用与抽象规定相结合,对未来个人信息保护将起到重要抓手作用。

    互联网实践中,利用APP对消费者个人信息过度索权的情况非常普遍,主要包括三个方面:

    ■ 一是,通过网民协议格式条款,甚至具有市场支配地位的平台通过霸王条款,强制消费者“同意”对自己个人信息的无限制索取。

    ■ 二是,通过技术手段、技术迭代、大数据幌子等方式,掩盖过度获取个人信息目的,消费者维权成本很高,违法成本较低。

    ■ 三是,大量不法APP通过过度索权,形成了个人信息黑产,导致个人信息被不法分子利用,精准诈骗、撞库窃取、人肉搜索等互联网犯罪行为屡见不鲜。

    此外,个别APP平台忽视承担起主体责任,“谁采集,谁负责”的法律责任体系没有被好好落实,个人信息在采集层面、使用层面、保护层面和处分层面都存在巨大安全隐患。以往执法实践更重视个人信息的使用、保护、处分和事后处罚,忽视了个人信息违法采集的前期责任。其实,从治理成本、执法效率角度看,在个人信息采集层面治理下的功夫越大,后续风险就会变得越小。因此,新规将执法层面前移,从采集个人信息范围角度加大治理力度,保护个人信息。

    个人信息安全的治理工作不能过度依靠企业自律和事后执法处罚。平台自律应有法律法规作为基础,只有在足够具体、有效和针对性的规则面前,自律才会在个人信息保护中起到应有的效果。新规把实践中39款APP对个人信息索权类别,以非常简练、具体、明确的方式作出了规定,旨在督促平台尽到依法、依约采集个人信息的责任,目的在于强化平台作为信息采集者的主体责任,切实保护消费者个人信息的安全。

    各部门在对个人信息保护监管工作中,很难判断某款APP采集个人信息范围的必要性、正当性和合法性具体边界。执法和司法都面临对个人信息采集类型、范围、边界判断困难的情况,这就导致对个人信息保护工作多集中在事后追责,缺乏技术监管的预判。

    新规出台目的就是要进行“穿透式”监管,从个人信息采集源头抓起。这就需要APP设计者、开发者、经营者、所有者与使用者都必须严格按照规定,落实采集类型和范围责任,明确采集的必要性、正当性,只有达到新规具体标准,才能符合合法性基本原则。换言之,如果平台没有履行新规相关标准,即便采集的信息事先“获取”了消费者同意,或没有对采集的个人信息进行滥用,也不能以此进行抗辩。

    值得注意的是,新规不仅列明了各款APP个人信息采集类别,而且还明确规定,任何组织和个人都有权利向相关部门进行举报,这就畅通了公众对个人信息安全监督的权利,也拓展了相关部门对保障个人信息安全的治理渠道,反过来,也更加夯实了互联网平台积极履行主体责任的必要性。

责任编辑:原红利

Copyright © 2015 支持单位:西藏自治区互联网违法和不良信息举报中心 All Rights Reserved
本网站的所有内容未经允许不得转载 藏ICP备15000136号-1