协会通知:
 
《关于开展App违法违规收集使用个人信息专项治理的公告》解读
2019-02-22 11:56

NIS研究院

关注NIS,共享情报。

 

2019年1月25日,中央网信办、工信部、公安部、市场监管总局正式发布《关于开展App违法违规收集使用个人信息专项治理的公告》(以下简称《公告》),并于2019年1月至12月期间依据《公告》在全国范围内开展专项治理。互联网领域的专项治理本身并不算罕见,但为期一年的时间跨度足见个人信息领域的违法违规问题已非常突出,到了监管机构需要“重拳出击”的程度。据中央网信办网络安全协调局巡视员兼副局长杨春艳在新闻发布会上披露,此次治理需要在2019年底前完成针对千款左右用户数量大、社会关注度高的App的评估工作,这意味着几乎所有主要互联网公司都将受到影响。而公安部的参与,说明这次专项治理不止涉及民事和行政责任,在专项治理结束时,很可能有一批企业或个人因个人信息领域的网络犯罪行为而被追究刑事责任。

《公告》正文字数不多,只有不到1000字,其中多项要求也都曾出现在之前的立法中(尤其是《网络安全法》及其配套法律法规、规范性文件中),但《公告》本身所包含的信息量极大,对互联网企业及其他高科技公司在2019年的数据合规将产生非常大的影响。以下我们将根据了解的情况,对《公告》发布的背景、监管的架构和重点内容进行解读。

 

一、专项治理的大背景

 

剖析中国科技领域的立法和监管政策,首先需要从监管的动力出发,通常有两个角度:推动产业发展、风险预防和治理。而这次专项治理的重点无疑在于风险预防和治理。因此我们首先需要了解监管机构眼中个人信息违法违规使用带来了哪些重大风险。需要说明的是,尽管《公告》标题中用的是“使用”,但正文提到的行为涉及从收集、使用、处理、共享到删除的整个数据生命周期,所以不能狭义理解“使用”。

(一)过度收集、超范围使用个人信息问题严重

《公告》的开头部分,即提及“App强制授权、过度索权、超范围收集个人信息的现象大量存在”。全国人大常委会执法检查组曾于2017年8月至10月对《中华人民共和国网络安全法》和《全国人民代表大会常务委员会关于加强网络信息保护的决定》的实施情况进行了检查,检查组专门委托中国青年报社社会调查中心就与公众关系密切的问题,在全国31个省(区、市)进行了民意调查。调查分析报告显示,有49.6%的受访者曾遇到过度收集用户信息现象,其中18.3%的受访者经常遇到过度采集用户信息现象;有61.2%的人遇到过有关企业利用自己的优势地位强制收集、使用用户信息,如果不接受就不能使用该产品或接受服务的“霸王条款”。而南都个人信息保护研究中心2019年1月17日发布的《2018个人信息保护年度报告》对购物、金融、交通、社交等十个行业共1000款App的隐私政策进行了测评,发现逾七成App不合格,即无法做到清晰和全面地描述企业是如何收集、使用、存储和保护个人信息。除此以外,在多起被媒体报道的风险事件中,App过度收集数据或索要权限几乎都是标配。

(二)个人信息泄露问题严重
在四部门《公告》发布的同日,由最高人民检察院、公安部、中国消费者协会、中华全国律师协会和中央广播电视总台共同评选的“2018年十大消费侵权事件”也在北京揭晓,“个人信息被兜售,互联网用户在裸奔”位列其中:2018年,个人信息泄露事件接二连三发生,网站、酒店、快递公司等都成为信息泄露的源头。2018年6月13日,视频网站AcFun对外宣称900万条用户数据外泄;6月16日,招聘网站前程无忧的195万条用户求职简历泄露;6月19日,圆通快递10亿条快递数据被售卖;8月28日,5亿条华住旗下酒店客户开房数据被出售。这些泄露的用户数据不仅数量很大,而且包含了用户私密信息,如:姓名、手机、身份证、账户信息、社交账号及密码等。

当前在一些地方,利用网络非法采集、窃取、贩卖和利用用户信息已形成黑色产业链。因用户信息泄露引发的“精准诈骗”案件等违法犯罪行为增多,直接威胁公众的安全。与此同时,不少知名的互联网平台又被发现在用户不知情的情况下使用收集的个人信息开展“精准营销”,或疑似进行“大数据杀熟”,尽管这些行为的定性比较复杂,不能简单认定为违法违规,但确实给广大互联网用户带来了一定的困扰。

一方面,个人信息被过度收集、超范围使用,另一方面,境内外数据泄露事件频发,这就使得风险不再是潜在的,而是变成了现实的威胁。而在欧盟GDPR实施后,国际上也有强化个人信息保护立法的趋势,新的规定不断出台,很多国际知名互联网巨头则纷纷遭遇个人信息合规问题甚至出现重大风险事件。中国的监管部门当然也深刻认识到:在大数据背景下,个人信息既关乎个人权利,也涉及到国家安全,决不能等闲视之。

本次四部门联合开展的“App违法违规收集使用个人信息专项治理”行动就是监管部门总结之前的执法经验,旨在通过多部门的一致行动、综合治理,来集中消除重大风险,并通过评估和认证建立长效机制。

 

二、 专项治理的监管部门

 

本次专项治理涉及四个监管机构:中央网信办、工信部、公安部和市场监管总局。如果不是长期关注个人信息保护的人,可能不太了解为何是这四部门。实际上,这四家机构都长期参与个人信息保护的立法、监管和治理工作,经验非常丰富。

(一)中央网信办
中央网信办的全称为“中共中央网络安全和信息化委员会办公室”(“中央网信办”),与“国家互联网信息办公室”(“国家网信办”)属于一个机构两块牌子,两块牌子的特征说明其身份具有二重性。

政府层面的国家网信办属于国务院的办事机构,成立于2011年。2014年,国务院发布《关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》,宣布授权“重新组建的国家互联网信息办公室负责全国互联网信息内容管理工作,并负责监督管理执法”。自此,国家网信办获得了行政执法权,成为《网络安全法》等规范性文件中所称的“国家网信部门”。根据国务院的授权,国家网信办主要负责的是“互联网信息内容管理”。但“内容管理”应从广义理解,不仅指对创作者在网络上发布的信息进行内容审查,也包括对内容的传播形式乃至网络传播平台进行管理。近年来国家网信办发布的一系列规范性文件就把信息搜索、论坛社区、跟帖评论、群组信息、用户公众账号、微博客、互联网直播节目等平台服务的提供者也都列为监管对象。对于服务提供者,主要监管要求之一就是落实对用户个人信息的保护。针对App管理,国家网信办更是出台了国内首部App专项监管法规《移动互联网应用程序信息服务管理规定》。

2018年的《深化党和国家机构改革方案》宣布将中央网络安全和信息化领导小组改为“中央网络安全和信息化委员会”,负责该领域重大工作的顶层设计、总体布局、统筹协调、整体推进、督促落实。这个委员会的办事机构即“中共中央网络安全和信息化委员会办公室”。国家网信办在加挂了“中共中央网络安全和信息化委员会办公室”后正式列入了中共中央直属机构序列,其统筹协调网络安全与信息化工作的地位得到进一步强化。

从上述两重身份来看,由中央网信办牵头协调其他部门开展本次专项治理,是非常自然的。

需要提示的是,《公告》正文第二条提到的中国网络空间安全协会和全国信息安全标准化技术委员会的业务指导部门也是中央网信办。

(二)工业和信息化部
工业和信息化部,简称为工信部,为国务院主管工业和信息产业的组成部门,是在2008年的国务院机构改革中在原信息产业部、国防科工委和国务院信息化工作办公室的基础上组建的。工信部作为目前电信和互联网行业的主管部门,对互联网的管理是从“行业”管理入手,对互联网接入环节的监管具有优势,目前主要根据《电信条例》《互联网信息服务管理办法》等规范性文件,负责电信业务经营许可、电信设备进网许可、互联网信息服务的登记和备案等工作。工信部对个人信息保护问题的关注也很早,在2013年就曾出台《电信和互联网用户个人信息保护规定》,对电信业务经营者、互联网信息服务提供者收集用户信息行为提出许多原则和要求,并规定了行政处罚措施。应该讲,工信部作为行业直接主管部门,是本次参与专项治理的四部门中对互联网行业最熟悉的。

在《公告》的新闻发布会上,工信部网络安全管理局副局长张新介绍,在本次整治中,一是强化监督检查,严肃查处各类违法违规行为;二是强化行业自律,指导行业组织加快制定行业规范;三是持续完善政策标准,细化企业责任义务,加大先进技术产品推广应用。

《公告》第二条提到的中国互联网协会的业务主管单位为工信部。

(三)公安部
公安部作为全国公共安全的主管部门,和网信办、工信部共同组成我国互联网监管的“三架马车”。公安部主要从保障网络安全的角度切入,负责防范和打击互联网上的违法犯罪活动,包括根据《刑法》《网络安全法》《计算机信息网络国际联网安全保护管理办法》等的规定负责信息网络的安全保护管理工作,以及根据《刑法》等的规定对侵犯公民个人信息的犯罪行为进行立案侦查等。

本次联合治理尤其强调了公安部门的参与,首先是因为在我国侵犯个人信息是可能触犯刑法的。2009年颁布的《刑法修正案(七)》首次将出售、非法提供公民个人信息罪和非法获取公民个人信息罪纳入刑法。2015年颁布的《刑法修正案(九)》将出售、非法提供公民个人信息罪和非法获取公民个人信息罪整合为侵犯公民个人信息罪,将出售或者提供个人信息的责任主体范围扩大至一般主体,同时将“履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人”的情形修订为从重处罚的情节。另外,使用非法获取的公民个人信息,实施电信网络诈骗犯罪行为,还可能构成数罪并罚。公安部也曾与两高联合发布《最高人民法院、最高人民检察院、公安部关于依法惩处侵害公民个人信息犯罪活动的通知》,要求各级公安机关充分认识此类犯罪的严重危害,依法惩处侵害公民个人信息犯罪活动。

近年来,由于侵犯用户个人信息的犯罪呈高发态势,公安部对个人信息保护的重视程度越来越高。2017年1月,公安部公布的《中华人民共和国治安管理处罚法(修订公开征求意见稿)》中新加入的第五十七条就规定了对“非法获取、持有、使用、出售、提供、传播公民个人信息”的处罚。2017年3月,公安部部署开展专项打击行动,在31个省(区、市)和新疆生产建设兵团公安机关建立了反诈骗中心,统筹协调打击利用公民个人信息实施的电信网络诈骗犯罪,该行动提出“追源头、摧平台、断链条”的要求,截至2017年12月,共侦破侵犯个人信息犯罪相关案件3700余起,抓获犯罪嫌疑人11000余名。2018年6月公安部公布的《网络安全等级保护条例(征求意见稿)》将个人信息保护列为网络运营者应当依法履行的一般安全保护义务之一。2018年11月,公安部发布了《互联网个人信息安全保护指引(征求意见稿)》,旨在指导互联网企业建立健全公民个人信息安全保护管理制度和技术措施,有效防范侵犯公民个人信息违法行为。

在这次专项治理的新闻发布会上,公安部十一局副局长钟忠提到,公安机关将会同各部门形成联动机制,持续开展互联网安全监督检查,督促指导相关企业堵塞隐患,提高对网络犯罪的防范能力。

(四)市场监管总局
国家市场监督管理总局,简称市场监管总局,是在2018年国务院机构改革中整合了国家工商行政管理总局的职责,国家质量监督检验检疫总局的职责,国家发展和改革委员会的价格监督检查与反垄断执法职责等部门职责的基础上重新组建的,目前属于国务院直属机构。市场监管总局并非互联网行业的直接主管机关,但近年来一直从“规范市场秩序”的角度出发,在部门规章立法、完善网络监管体系方面积极作为,监管影响力日益增强,如出台了《互联网广告管理暂行办法》并开展专项整治工作,配合交通部等部门出台《网络预约出租汽车经营服务管理暂行办法》等。在个人信息保护方面,市场监管总局的执法依据主要有《网络安全法》《消费者权益保护法》《电子商务法》及《侵害消费者权益行为处罚办法》的部分内容。

值得一提的是,市场监管总局承担着“统一管理标准化工作”,对外加挂“国家标准化管理委员会”,参与本次治理的全国信息安全标准化技术委员会是经其批准设立并接受其领导。此外市场监管总局还承担着“统一管理、监督和综合协调全国认证认可工作”等职责,主管中国认证认可协会,本次治理行动倡导的App个人信息安全认证制度的落地预计也需要市场监管总局的密切配合。另外,市场监管总局还是中国消费者协会的业务主管单位。

在这次专项治理的新闻发布会上,市场监管总局认证监管司副司长薄昱民表示,将就App个人信息建立安全认证制度,对符合标准的产品颁发认证证书,获得认证后通过在线监测等手段保障产品满足要求,“通过市场选择的压力,促进运营者提升个人信息安全保护意识和能力。”

 

三、关于此次App专项治理活动有关措施的解读

 

(一) 编制有关规范和评估要点

根据《公告》,全国信息安全标准化技术委员会(“信安标委”)、中国消费者协会(“消协”)、中国互联网协会(“互联网协会”)和中国网络空间安全协会(以下统称“四协会”)被授权编制以下两个文件:

 · 大众化应用基本业务功能及必要信息规范;
 · App违法违规收集使用个人信息治理评估要点。

根据我们的了解,四协会在《公告》发布之前,已依据各自的工作职责针对个人信息的收集、使用规范开展了一定的工作。其中:

信安标委作为在信息安全技术专业领域内从事信息安全标准化工作的技术工作组织,其编制的《信息安全技术 个人信息安全规范》为该领域的重要标准,同时《个人信息安全影响评估指南》目前也正处于征求意见稿阶段。2018年12月5至6日,信安标委秘书处在北京组织召开了2018年隐私条款专项工作的专家集中评审会,会议上专家依托隐私条款专项评审工具对40款网络产品和服务的隐私条款进行了评审,其中涉及“2017年隐私条款专项工作”中的微信、新浪微博、淘宝、京东商城、支付宝、高德地图、百度地图、滴滴、航旅纵横、携程网等10款产品,以及“2018年隐私条款专项工作”中出行旅游、生活服务、影视娱乐、工具资讯和网络支付5大类30款产品。

消协对于App违法违规使用个人信息的情况也一直保持着高度的关注,2018年8-10月消协开展了App个人信息保护情况测评活动,发布了《100款App个人信息收集与隐私政策测评报告》,报告中指出超9成App存在过度收集用户个人信息的现象。

迄今为止,互联网协会已经针对手机App收集使用用户个人信息情况开展了两次评议会,第一次评议会后被通报的14款App中12款已经整改完成,2款将于近期完成整改,在2019年1月11日开展的第二次评议会中,与会各方针对技术检测发现12款App疑似存在的过度收集“短信”“通讯录”“位置”“录音”等用户敏感信息问题进行了讨论。

中国网络空间安全协会虽然目前尚未有具体的评估、评议行动,但其组织签署的《维护网络信息安全倡议书》《网络空间安全行业自律公约》中均含有保障用户信息安全的内容。

我们认为,虽然四协会此前已进行了一些相关的测评、报告、评议工作,但目前均局限在各自职能范围内,难以对个人信息的收集、使用情况进行较为完整的评估。如消协进行的测评以消费者保护为视角,重在检测消费者的知情同意情况,互联网协会由于其行业协会的性质,多以行业自律为视角,进行的测评亦会考量内部管理和产品设计等技术性因素,但上述两者均未明显涉及信息存储、保护等网络安全领域,此次四协会将中国网络空间安全协会纳入其中,极有可能在评估中加强对信息安全的测评,从而实现消费者保护、个人信息收集使用、网络安全保障等的多维度推进,促使评估走向严格化及全面化。

(二) 组织专业机构进行评审
借鉴以往的工作经验,此处专项治理活动将授权四协会委托组织相关专业机构,对用户数量大、与民众生活密切相关的App隐私政策和个人信息收集使用情况进行评估。

目前我国在个人信息领域已经进行了一些实际监管,但这些监管多以具体的事件为背景,往往就事论事。如网信办针对支付宝年度账单事件进行的约谈,工信部对同程艺龙进行的约谈均只针对其默认开通协议的行为。2018年7月,工信部网络安全管理局对多家涉及网络数据和用户个人信息安全突出情况的企业开展问询调查,但仅针对媒体公开报道和用户投诉较为集中的“部分应用随意调取手机摄像头权限、用户订单信息泄露引发诈骗案件、用户信息过度收集和滥用”等网络数据和用户个人信息安全突出情况。2017年7月,中央网信办、工信部、公安部、国家标准委等四部门也曾对隐私政策进行调查。可上述行动均有较为具体的指向性,未能全面涵盖运营者应承担的义务,尤其在信息安全方面监管空白更为明显。

我们认为,本次专项治理活动仍会聚焦App超范围收集个人信息、过度索权、强制捆绑授权和违法违规使用个人信息等情况,但与之前的专项行动相比,此次评估将会更加严格、全面。同时,专业测试机构的介入将会使测评更加科学化、技术化,企业在提供书面文件的同时可能还要接受一定的技术检测,大大减少了“明修栈道、暗度陈仓”的可能。

(三) 关注对违规行为的长效监管
本次专项治理时长达到一年,涉及到多个部门、协会,且将会对千款用户数量大、社会关注度高的App进行评估。我们认为,这在体现“治理”之决心的同时也体现了“普法”之决心。此次专项行动虽名为治理,但其进行以来受到的极大社会关注,很大程度上也起到了普法的作用,侧面印证了我国通过执法来普法这一法律实施的重要特点。故可以预见,国家对于个人信息安全的规范可能会逐步趋于严格。

对此,我们认为,此次专项行动最终成果无疑对于以后的个人信息保护立法和执法具有重要的参考价值,企业一方面应当积极配合有关部门、协会的行动,另一方面也应当尽可能地通过正当机制表达自身的诉求。虽然消费者普遍对目前的个人信息保护情况多有怨言,但部分情形中所争议的行为可能是行业惯例,或者在技术、经营上具有一定的正当性,部分企业对四协会的编制规范工作应主动献言献策,积极沟通,最后达成一个能被各方所接受的标准,实现行业发展与个人信息保护之间的平衡。

(四) 奖罚并举
首先,监管部门将严格执法,依法对于违法违规行为予以限期整改、公开曝光、依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等处罚;公安机关也将依法严厉打击针对和利用个人信息的违法犯罪行为。对此工信部相关负责人员表示,此次整治将强化监督检查,严肃查处各类违法违规行为;公安部相关负责人员表示,公安机关将会同各部门形成联动机制,持续开展互联网安全监督检查。由此可见,各企业在此次专项治理活动中可能将面临四部门严厉的联合执法。

但是,打击和处罚,并非此次专项治理活动的唯一举措。根据《公告》,市场监管总局会同网信办等部门建立App个人信息安全认证制度,同时将通过鼓励搜索引擎和应用商店优先推荐获认证App等方式,引导消费者选用安全的App产品。从这个角度来讲,监管机构也为互联网公司加大个人信息保护的投入给出了相应的正面激励措施。

 

四、关于企业如何应对专项治理活动的初步建议

 

可以预见,在接下来的一年里,应对不同监管部门的评估检查会成为越来越多互联网企业的必修课,在这一大背景下,我们认为,面对本次《公告》背后的监管趋势以及接下来的专项治理行动,企业需要从四个维度做好风控工作:

标准,即明确个人信息收集、使用的合规红线,并依此建立合规标准;
机制,即依靠设立哪些风控落地机制,能够让合规标准真正切实落地;
流程,即分配企业内部有关数据保护工作的职责,企业法务工作如何在业务各个流程环节中实现对流程的控制和管理;
系统,即在搭建好标准、机制、流程之后,将个人信息的风控工作真正实现系统化。

具体而言,我们建议企业根据商业实践及产品场景,先从如下几个方面来开展上述四个维度的工作:

 · 启动应对本次治理活动的专项项目组,自行或聘请专业机构根据监管部门的核查方向开展自查自纠行动,从而更有针对性地开展个人信息保护合规工作。
 · 按照《网络安全法》等法律法规的要求和信息安全保护相关国家标准,不断提高隐私政策的透明度、合规性,完善个人信息保护水平。
 · 加强平台对企业可能收集、处理的个人信息的范围、使用场景、个性化推荐服务等重点监管内容的排查。
 · 全面评估企业收集和处理个人信息的种类、处理的目的、范围、方式的合法性。
 · 对企业可能与之分享用户个人信息的第三方或供应商进行严格的管理,审查上下游数据来源的合法性,以避免企业为合作伙伴在个人信息保护方面的问题承担法律责任。
 · 提高个人信息安全保护能力,落实必要的技术手段,制定个人信息安全事件应急预案,定期组织相关人员进行应急响应培训和应急演练。

 
 

→ 关注 NIS研究院,共享每日情报