良法善治深入推進(jìn)APP個(gè)人信息保護(hù)治理工作

作者：中國信息通信研究院副院長 王志勤

近年來，移動(dòng)互聯(lián)網(wǎng)快速發(fā)展不斷催生新業(yè)態(tài)、新模式，推動(dòng)各類移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（App）蓬勃興起，成為網(wǎng)絡(luò)應(yīng)用的主要載體。當(dāng)前，我國App在架數(shù)量和用戶規(guī)模持續(xù)擴(kuò)大，覆蓋經(jīng)濟(jì)社會(huì)生產(chǎn)生活各個(gè)方面，已經(jīng)成為個(gè)人信息保護(hù)的關(guān)鍵領(lǐng)域。為持續(xù)強(qiáng)化App個(gè)人信息保護(hù)，規(guī)范App個(gè)人信息處理活動(dòng)，在國家互聯(lián)網(wǎng)信息辦公室統(tǒng)籌指導(dǎo)下，工業(yè)和信息化部會(huì)同公安部、市場監(jiān)管總局聯(lián)合起草制定《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序個(gè)人信息保護(hù)管理暫行規(guī)定（征求意見稿）》（以下簡稱《規(guī)定》），并于4月26日向社會(huì)公開征求意見。《規(guī)定》共計(jì)二十條，立足我國App個(gè)人信息保護(hù)管理實(shí)踐，將人民群眾反映強(qiáng)烈的重點(diǎn)焦點(diǎn)問題納入規(guī)制范圍，堅(jiān)持依法治理、技術(shù)治理、綜合治理，提升了個(gè)人信息保護(hù)力度、強(qiáng)化了個(gè)人信息保護(hù)硬度、完善了個(gè)人信息保護(hù)維度，實(shí)現(xiàn)了App個(gè)人信息保護(hù)的法治化、技術(shù)化和體系化，為切實(shí)保護(hù)用戶權(quán)益、持續(xù)深入推動(dòng)App治理工作提供了堅(jiān)實(shí)的制度保障。

一、堅(jiān)持依法治理，提升個(gè)人信息保護(hù)力度

“求木之長著，必固其根本”，法治是治國理政的基本方式，是互聯(lián)網(wǎng)治理特別是個(gè)人信息保護(hù)工作不可或缺的重要手段。十九大指出要以良法促進(jìn)發(fā)展、保障善治，十九屆五中全會(huì)明確提出，維護(hù)人民根本利益，保障國家數(shù)據(jù)安全，加強(qiáng)個(gè)人信息保護(hù)。在我國互聯(lián)網(wǎng)產(chǎn)業(yè)高速發(fā)展的同時(shí)，國家和工信部等有關(guān)部門高度重視個(gè)人信息保護(hù)工作，逐步完善相關(guān)法律法規(guī)。《規(guī)定》在我國現(xiàn)有個(gè)人信息保護(hù)管理要求的基礎(chǔ)上，聚焦App領(lǐng)域突出問題，進(jìn)一步提升了用戶個(gè)人信息保護(hù)力度。

（一）及時(shí)有效回應(yīng)個(gè)人信息保護(hù)迫切需求。雖然近年來我國個(gè)人信息保護(hù)力度不斷加大，但在現(xiàn)實(shí)生活中，由于用戶個(gè)人信息收集使用規(guī)則、目的、方式和范圍仍存在不明確的地方，個(gè)人信息保護(hù)仍然面臨諸多問題和挑戰(zhàn)，尤其是App侵犯個(gè)人信息問題突出。截至2020年底，我國國內(nèi)市場上監(jiān)測到的App數(shù)量為345萬款，根據(jù)工信部近期通報(bào)情況顯示，部分App隨意收集、違法獲取、過度使用個(gè)人信息情況還比較嚴(yán)重。違法違規(guī)處理用戶個(gè)人信息不僅侵害了人民群眾的切身利益，也嚴(yán)重?cái)_亂了數(shù)字經(jīng)濟(jì)市場秩序。研究制定《規(guī)定》恰逢其時(shí)，為App個(gè)人信息處理活動(dòng)畫出底線、明確紅線，既有利于監(jiān)管部門明確職責(zé)，按照法定權(quán)限和程序行使權(quán)力；也有利于降低各類市場主體合規(guī)成本，穩(wěn)定市場預(yù)期，促進(jìn)我國數(shù)字經(jīng)濟(jì)發(fā)展行穩(wěn)致遠(yuǎn)。

（二）堅(jiān)持法律繼承與制度創(chuàng)新并重�！兑�(guī)定》立足各行業(yè)主管部門管理職責(zé)，以《網(wǎng)絡(luò)安全法》等法律法規(guī)為依據(jù)，針對App個(gè)人信息保護(hù)工作的特點(diǎn)建章立制，即有對現(xiàn)行法律制度的繼承和補(bǔ)充，也有隨著信息通信技術(shù)發(fā)展同步推進(jìn)的制度創(chuàng)新和細(xì)化。一方面，《規(guī)定》明確了App個(gè)人信息處理活動(dòng)的總體要求，應(yīng)當(dāng)采用合法、正當(dāng)?shù)姆绞�，遵循誠信原則，不得通過欺騙、誤導(dǎo)等方式處理個(gè)人信息；另一方面，結(jié)合App專項(xiàng)治理工作實(shí)踐，按照上位法的基本規(guī)定，在具體應(yīng)用場景中細(xì)化了“知情同意”“最小必要化”的認(rèn)定標(biāo)準(zhǔn)，創(chuàng)造性提出了“六項(xiàng)不得”要求和“六項(xiàng)應(yīng)當(dāng)”義務(wù)，有效解決了實(shí)踐中用戶個(gè)人信息收集使用規(guī)則、目的、方式和范圍不明確的問題。

（三）持續(xù)完善行業(yè)監(jiān)管執(zhí)法建設(shè)。長期以來，我國個(gè)人信息保護(hù)工作都面臨著法律實(shí)施的難題，造成雖然有法律規(guī)定但常常束之高閣的情況。一方面，個(gè)人信息保護(hù)涉及多個(gè)行業(yè)監(jiān)管部門，部門之間職責(zé)劃分不清，重復(fù)執(zhí)法和執(zhí)法空白同時(shí)存在；另一方面，監(jiān)管手段和執(zhí)法力量有限，難以有效實(shí)現(xiàn)個(gè)人信息保護(hù)的立法目的。《規(guī)定》以App個(gè)人信息保護(hù)領(lǐng)域?yàn)橥黄瓶�，�?qiáng)化行業(yè)監(jiān)管職責(zé)，有效解決了上述問題。一是明確了App個(gè)人信息保護(hù)的聯(lián)合工作機(jī)制，即國家互聯(lián)網(wǎng)信息辦公室負(fù)責(zé)統(tǒng)籌協(xié)調(diào)App個(gè)人信息保護(hù)工作和相關(guān)監(jiān)督管理工作，會(huì)同工業(yè)和信息化部、公安部、市場監(jiān)管總局建立健全App個(gè)人信息保護(hù)監(jiān)督管理聯(lián)合工作機(jī)制，統(tǒng)籌推進(jìn)政策標(biāo)準(zhǔn)規(guī)范等等相關(guān)工作，加強(qiáng)信息共享及對App個(gè)人信息保護(hù)工作的指導(dǎo)。各部門在各自職責(zé)范圍內(nèi)負(fù)責(zé)App個(gè)人信息保護(hù)和監(jiān)督管理工作。二是規(guī)定了監(jiān)督管理制度，根據(jù)公眾投訴舉報(bào)情況和監(jiān)管中發(fā)現(xiàn)的問題，監(jiān)督管理部門可以對存在問題和風(fēng)險(xiǎn)的App實(shí)施個(gè)人信息保護(hù)檢查，并要求從事App個(gè)人信息處理活動(dòng)的相關(guān)主體應(yīng)當(dāng)對監(jiān)督管理部門依法實(shí)施的監(jiān)督檢查予以配合。三是細(xì)化了違規(guī)處置流程和具體措施，例如明確了App下架處置和恢復(fù)上架的要求，提升了監(jiān)管的規(guī)范性和透明度。

二、堅(jiān)持技術(shù)治理，強(qiáng)化個(gè)人信息保護(hù)硬度

“技術(shù)前進(jìn)一小步，管理難度增加一大步”，新一代信息通信技術(shù)的快速發(fā)展對個(gè)人信息保護(hù)工作提出了更高的要求。硬科技需要更硬的法律和監(jiān)管制度，只有著眼于技術(shù)發(fā)展規(guī)律，有前瞻性地為App發(fā)展把好方向、提供適宜的法律制度環(huán)境，才能夠充分發(fā)揮立法維護(hù)公民權(quán)益、規(guī)范產(chǎn)業(yè)發(fā)展、促進(jìn)技術(shù)進(jìn)步的作用�！兑�(guī)定》針對App技術(shù)特點(diǎn)和發(fā)展規(guī)律，堅(jiān)持技術(shù)治理，進(jìn)一步強(qiáng)化了個(gè)人信息保護(hù)的硬度。

（一）以技術(shù)產(chǎn)業(yè)創(chuàng)新主體為重點(diǎn)壓實(shí)監(jiān)管責(zé)任。網(wǎng)絡(luò)社會(huì)的誕生本身就是技術(shù)的一種反映，對任何新技術(shù)形式的治理往往都要從技術(shù)本身出發(fā)來進(jìn)行審視。《規(guī)定》從技術(shù)研究、應(yīng)用角度出發(fā)，以App開發(fā)運(yùn)營者、App分發(fā)平臺(tái)、App第三方服務(wù)提供者、移動(dòng)智能終端生產(chǎn)企業(yè)和網(wǎng)絡(luò)接入服務(wù)提供者五類技術(shù)產(chǎn)業(yè)主體作為重點(diǎn)監(jiān)管對象，既規(guī)定了五類主體應(yīng)當(dāng)共同遵循的個(gè)人信息保護(hù)總體要求，也分別規(guī)定了不同主體在App個(gè)人信息保護(hù)方面應(yīng)當(dāng)承擔(dān)的具體義務(wù)，進(jìn)一步明確和細(xì)化了主體責(zé)任。例如，針對第三方SDK違規(guī)收集個(gè)人信息管理不到位的突出問題，明確將第三方SDK納入監(jiān)管范圍，細(xì)化了第三方SDK收集使用個(gè)人信息要求，并規(guī)定了針對第三方SDK的處置措施。

（二）以技術(shù)檢測平臺(tái)為依托提升監(jiān)管能力。目前，App在架數(shù)量大，且保持平均兩周一次的頻繁迭代更新，對App個(gè)人信息保護(hù)工作提出了新要求。現(xiàn)有技術(shù)監(jiān)管手段由于自動(dòng)化檢測能力低、覆蓋范圍受限，很難實(shí)現(xiàn)全面均衡監(jiān)管。為解決此問題，監(jiān)管部門指導(dǎo)中國信息通信研究院聯(lián)合部分互聯(lián)網(wǎng)企業(yè)共同建設(shè)了“全國App技術(shù)檢測平臺(tái)”，組織行業(yè)優(yōu)勢力量，運(yùn)用人工智能、大數(shù)據(jù)等技術(shù)手段持續(xù)優(yōu)化平臺(tái)能力，大幅提升監(jiān)管自動(dòng)化、智能化、標(biāo)準(zhǔn)化。這種行之有效的技術(shù)檢測做法為監(jiān)管部門進(jìn)行App個(gè)人信息保護(hù)檢查工作提供了有力的支撐。

（三）以技術(shù)標(biāo)準(zhǔn)為核心強(qiáng)化監(jiān)管要求。標(biāo)準(zhǔn)本質(zhì)上是一種技術(shù)制度，為應(yīng)對風(fēng)險(xiǎn)社會(huì)挑戰(zhàn)，標(biāo)準(zhǔn)化越來越強(qiáng)調(diào)“事前引領(lǐng)”的功能，制定好的標(biāo)準(zhǔn)能夠有效實(shí)現(xiàn)支撐法律實(shí)施的目的。例如，在前期App個(gè)人信息保護(hù)專項(xiàng)治理行動(dòng)中，工信部指導(dǎo)相關(guān)組織制定了《App用戶權(quán)益保護(hù)測評規(guī)范》10項(xiàng)標(biāo)準(zhǔn)，對于“最小必要化”等收集使用用戶個(gè)人信息原則，制定了《App收集使用個(gè)人信息最小必要評估規(guī)范》26項(xiàng)系列標(biāo)準(zhǔn)，并通過電信終端產(chǎn)業(yè)協(xié)會(huì)以團(tuán)標(biāo)形式發(fā)布，取得了良好的社會(huì)效果�！兑�(guī)定》將這種做法也固化為制度，規(guī)定相關(guān)行業(yè)組織和專業(yè)機(jī)構(gòu)按照有關(guān)法律法規(guī)、標(biāo)準(zhǔn)，開展App個(gè)人信息保護(hù)能力評估、認(rèn)證。

三、堅(jiān)持綜合治理，完善個(gè)人信息保護(hù)維度

App個(gè)人信息保護(hù)治理工作情況多變復(fù)雜、涉及人數(shù)眾多，是一項(xiàng)非常艱巨的系統(tǒng)工程，需要提升綜合治理能力。《規(guī)定》堅(jiān)持體系化共治思維，堅(jiān)持政府、企業(yè)、行業(yè)共同參與，多維度系統(tǒng)推動(dòng)解決App個(gè)人信息保護(hù)治理問題。

（一）構(gòu)建多層次的App個(gè)人信息保護(hù)規(guī)范體系。App個(gè)人信息保護(hù)問題不是一部法律或者一個(gè)規(guī)定能夠單獨(dú)解決的。《規(guī)定》繼承了《網(wǎng)絡(luò)安全法》《電信條例》《互聯(lián)網(wǎng)信息服務(wù)管理辦法》《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》等法律法規(guī)核心內(nèi)容，系統(tǒng)總結(jié)了《關(guān)于開展App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理的公告》《關(guān)于開展App侵害用戶權(quán)益專項(xiàng)整治工作的通知》《關(guān)于縱深推進(jìn)App侵害用戶權(quán)益專項(xiàng)整治行動(dòng)的通知》等實(shí)踐中已經(jīng)成熟的經(jīng)驗(yàn)做法和管理措施并進(jìn)行制度化。隨著《規(guī)定》的制定，將推動(dòng)形成一個(gè)涵蓋法律、行政法規(guī)、部門規(guī)章、規(guī)范性文件在內(nèi)多層級(jí)的App個(gè)人信息保護(hù)規(guī)范體系，為用戶個(gè)人信息保護(hù)提供更加全面的法律制度保障。

（二）構(gòu)建多主體的個(gè)人信息保護(hù)責(zé)任體系。App個(gè)人信息保護(hù)工作是國家、社會(huì)、企業(yè)的共同責(zé)任，需要政府、行業(yè)、企業(yè)等不同主體的積極參與，從不同的角度發(fā)揮各自重要作用。一是積極推進(jìn)政府的監(jiān)管創(chuàng)新。App個(gè)人信息保護(hù)治理工作需要公權(quán)力發(fā)揮主導(dǎo)作用，政府部門監(jiān)管是最主要的推動(dòng)力量。為切實(shí)提升監(jiān)管效率，需要?jiǎng)?chuàng)新監(jiān)管手段、完善監(jiān)管措施，《規(guī)定》在長期實(shí)踐基礎(chǔ)上，規(guī)定了社會(huì)公告、直接下架處理、斷開接入等諸多監(jiān)管處置措施，實(shí)現(xiàn)監(jiān)管創(chuàng)新和技術(shù)創(chuàng)新同步發(fā)展。二是持續(xù)強(qiáng)化行業(yè)自律和社會(huì)監(jiān)督。行業(yè)自律和社會(huì)監(jiān)督 雖然沒有政府管理的強(qiáng)制力，但它可以通過制造輿論來影響個(gè)人信息保護(hù)的發(fā)展。為此，《規(guī)定》要求被下架的App完成整改并作出企業(yè)自律承諾后，可申請恢復(fù)上架。三是大力提升企業(yè)的履責(zé)水平。企業(yè)是最主要的市場主體，也是用戶權(quán)益保護(hù)的重要實(shí)踐者與行動(dòng)者，其履責(zé)水平的高低直接關(guān)系到個(gè)人信息保護(hù)工作的水平�！兑�(guī)定》堅(jiān)持強(qiáng)化主體責(zé)任，明確了App開發(fā)運(yùn)營者等五類主體在App個(gè)人信息處理活動(dòng)中的具體義務(wù)要求，有助于企業(yè)完善內(nèi)部治理，厘清自身產(chǎn)品的服務(wù)功能及場景合理性需求，確保商業(yè)模式創(chuàng)新和技術(shù)發(fā)展演進(jìn)以充分保障用戶合法權(quán)益為前提，提升履責(zé)水平。