大数据时代,个人信息获取也成“双刃剑”:海量数据加持之下,行业发展进入快车道,但同时个人信息屡被泄露,霸王条款层出不穷,个人信息保护立法保护亟待跟进。4月26日提请全国人大常委会二次审议的个人信息保护法草案已经将矛头对准了超大互联网平台,拒绝个人数据在超级平台前“裸奔”。
独立机构进行监督
超大型互联网企业个人信息获取的监管方式有了新思路。具体而言,草案二审稿明确,提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督;对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;定期发布个人信息保护社会责任报告,接受社会监督。
此外,针对个人信息收集、使用规则不透明及过度收集、使用等热点问题,草案二审稿进一步明确,不得通过“胁迫”方式处理个人信息;处理个人信息应当公开个人信息处理规则,明示处理目的、方式和范围,保证个人信息的质量等。
随着近些年的发展,个人信息保护立法呼声也越来越强。浙江晓德律师事务所主任陈文明在接受北京商报记者采访时表示,该法规的实施对规范移动互联网应用程序个人信息处理活动,促进个人信息合理利用起到作用,同时切实保障用户同意权、知情权、选择权和个人信息安全。
聚焦敏感个人信息
民众受益于超大型互联网平台带来的生活便利的同时,也经常能够感觉到自己的信息被不当收集,乃至泄露。最典型的例子莫过于超大型互联网平台利用获取的用户信息,实现了对商品、内容等的针对性推送,莫名其妙的骚扰电话更让人不胜其烦。用户在享受便利的同时,也被超大型互联网平台的信息索取所“绑架”。而这些互联网平台在获取了大量个人信息的同时,也在一定程度上完成了助长其垄断的可能性,信息索取,垄断,环环相扣。
2020年10月,个人信息保护法草案首次提请全国人大常委会审议。相比一审稿,个人信息保护法草案二审稿作出多处修改。
近日,全国人大常委会法工委发言人臧铁伟表示:“根据各方面意见,草案二次审议稿针对当前个人信息过度收集使用等突出问题,完善个人信息处理应遵循的原则;完善、充实合法处理个人信息的情形、撤回同意、自动化决策、跨境提供个人信息等方面的规则;增加死者个人信息保护的规定;明确国家网信部门统筹推进个人信息保护工作的有关职责;与民法典有关规定相衔接,完善侵害个人信息权益的民事法律责任。”
针对当前个人信息保护领域存在的突出问题,臧铁伟表示,个人信息保护法草案拟设专节对处理敏感个人信息作出更严格的限制,只有在具有特定目的和充分必要性的情形下,方可处理敏感个人信息,并应取得个人的单独同意或书面同意。
App信息索取戴紧箍
值得注意的是,存在过度索取个人信息的还不只是超大型互联网平台。想要下载某个App,先得授权大量个人信息,否则就无法使用,读书App也要索取电话权限,闲聊中提到某商品,不久竟收到精准推送的广告……当下,App已然成为个人信息泄露的重灾区。为此,4月26日下午,工信部网站发布消息称,工信部会同公安部、市场监管总局起草《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》,并向社会公开征求意见。
其中提到,App开发运营者应当履行个人信息保护义务,例如基于个人信息向用户提供商品或者服务搜索结果的,应当保证结果公平合理。使用第三方服务的,应当制定管理规则。App开发运营者未尽到监督义务,应当依法与第三方服务提供者承担连带责任等。除此之外,App开发运营者同样需要履行国家规定的其他个人信息保护义务。
陈文明表示,目前App对个人信息的非法采集和使用不规范,存在强制、欺骗、误导等方式处理个人信息,严重侵犯了用户同意权、知情权、选择权和个人信息安全;并存在私自收集个人信息、不给权限不让用、过度索取权限、私自共享给第三方等问题。
事实上,监管已经不止一次对App的信息索取问题出手。不久前,国家网信办、工信部、公安部等便联合发布《常见类型移动互联网应用程序必要个人信息范围规定》,明确规范App收集个人信息活动。明确App运营者不得因用户不同意提供非必要个人信息而拒绝用户使用App基本功能服务,同时地图导航、即时通信、网络购物等39类常见类型App的必要个人信息范围也被划定。《规定》将自今年5月1日起施行。
此外,工信部网站也多次发布《关于侵害用户权益行为的App通报》,督促问题企业进行整改,逾期不整改的,工信部将依法依规组织开展相关处置工作。在4月23日发布的通报中,仍有93款App未完成整改。其中,由广州千骐动漫有限公司开发的《侠隐风云》(版本1.7)涉及App强制、频繁、过度索取权限问题未完成整改。