【2020.01.04】收集信息(标注版).docx

PAGE PAGE 1 明确“认定方法”能否堵上 App侵权漏洞 国家互联网信息办公室、 工信部等四部门 12 月 30 日联合印发《App 违法违规收集使用个人信息行为认定方法》 （简称《方法》）。《方法》明确了哪些行为分别可被认定为“未公开收集使用规则” “未明示收集使用个人信息的目的、方式和范围” “未经用户同意收集使用个人信息” “违反必要原则，收集与其提供的服务无关的个人信息”等。 2017 年 6 月 1 日起施行的《网络安全法》和 2018 年 5 月 1 日起施行的国家标准《信息安全技术个人信息安全规范》 ，都对包括 App在内的网络运营者收集、 使用个人信息做出了相应规范， 但从落实情况看不太理想。比如几天前， App 专项治理工作组发布的通告显示，在近期评估中发现 57 款 App 存在收集使用个人信息问题， 4 款 App未完成整改。公安部、工信部也披露了相关问题。 App违法违规收集使用个人信息行为， 侵害了用户多种权益。 要规范 App 行为、保障用户权益， 必须在现有法律和国家标准的基础上， 进 一步完善制度措施 。有关部门此次发布《方法》 ，旨在落实《网络安全法》等法律中有关个人信息条款： 其一，便于监管者准确认定违法行为； 其二，督促 App 运营者自律；其三，引导舆论和用户监督 App。 此前，由于相关法律法规规定过于宽泛， 客观上让一些侵权 App 有了可乘之机 。比如法律规定“应当遵循合法、正当、必要的原则” ，但认定违反该原则缺乏细则安排。 《方法》明确 6 种行为违反必要原则， 有望堵上某些 App侵权、狡辩的漏洞。再如法律规定“公开收集、使用 规则”，某些 App 会利用法律表述模糊打“擦边球” ，《方法》明确 4 种行为可被认定为“未公开收集使用规则” 。 也就是说， 针对 App运营者利用法律原则性规定打 “擦边球” 的各种行为，《方法》及时堵上了漏洞。尤其是多处涉及细节的制度设计值 得肯定， 如有关收集使用规则的内容晦涩难懂、 冗长繁琐， 用户难以理解，可被认定为“未明示收集使用个人信息的目的、方式和范围” 。这是人性化考虑， 既便于用户准确理解， 又能防止运营商利用专业术语利己。 《方法》压缩了 App违法违规收集使用个人信息的空间， 便于监管者执法，也便于用户监督 。不过，由于互联网发展迅速，一些环节情况 复杂，某些 App运营商为了私利，不排除会针对《方法》拿出对策。只 有让《方法》始终能跟上 App违法违规收集使用个人信息行为发展， 才能对违规者形成有效约束。 为进一步堵上 App违法侵权漏洞，除了落实《方法》外，还 应考虑把《信息安全技术个人信息安全规范》 从推荐性国标升级为强制性国标。对于推荐性国标， App 运营商可以执行，也可以不执行，而由于个人信息安全涉及公众生命和财产安全， 推荐性国标升级为强制性国标， 有利于倒逼运营商严格执行，继而最大化保护公民个人信息安全。 从今年有关部委专项整治情况看， 不少 App 在自查自纠阶段、 监督检查阶段并不主动整改， 应视具体情况， 依法处以下架、 罚款乃至追究刑责。归根到底，要严格依法处罚违法违规收集使用个人信息的 App 运 营商，以提升法律惩戒力、 威慑力；要让法律成为个人信息安全最强大 “保护伞”，成为悬在 App 运营商头顶的“达摩克利斯之剑” 。（via 人民网） 个人信息收集使用须“最小够用” 日前，网信办、工信部等 4 部门联合印发了《 App违法违规收集使用个人信息行为认定方法》 ，界定了 App 违法违规收集使用个人信息行为的六大类方法。 这为移动互联网时代的个人信息收集、 使用明确划出了红线，是个人信息保护发展历程中的关键一步 。 为何这么说呢？此前， 对于网络平台收集用户个人信息的边界， 法 律不缺乏原则性要求 。去年实施的《信息安全技术个人信息安全规范》明确规定， 个人信息控制者开展个人信息处理活动时， 应遵循最少够用原则； 2017 年 6 月正式生效的《网络安全法》也规定：网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则。 但在实践过程 中，什么是“最少够用” ，什么是“正当必要”，存在一定模糊性，导致对信息收集者的实际约束力不足 。 这样的例子比比皆是。 一些 App 虽然出具了隐私条款， 但是文字过 小过密、颜色过淡、模糊不清，让人“一揽子”打包同意，其实就有侵 权之嫌；还有一些 App，用户不交出个人信息就无法使用，实际上构成 了对用户信息的“勒索” ；还有，市面上大部分 App没有注销选项，消费者想删除个人信息却无从下手； 至于被收集的个人信息有多少用作精准营销，有多少被暗中贩卖，更无从得知了。种种情况说明， “最小够用”的原则性要求被架空了。