导航

美高梅手机娱乐观点

四部门重拳出击App个人信息乱象,企业如何有效应对? 编辑:陈际红 韩璐 2019-02-27

 

 

前言

中央网信办、工业和信息化部、公安部、市场监管总局于1月25日联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》(以下简称“公告”),决定自2019年1月至12月,在全国范围组织开展App违法违规收集使用个人信息专项治理行动。此次专项治理将重点开展以下工作:

、组织相关专业机构,对用户数量大、与民众生活密切相关的App隐私政策和个人信息收集使用情况进行评估;

、加强对违法违规收集使用个人信息行为的监管和处罚;

、公安机关开展打击整治网络侵犯公民个人信息违法犯罪专项工作;

、开展自愿性App个人信息安全认证。

此举无疑向移动应用程序(APP)开发者、运营者及应用商店、社交平台和云服务企业等网络平台运营者敲响了遵守个人信息保护合规要求的警钟。

一、监管趋势

 

二、公告解读

本次公告主要列明了APP运营者的主要合规义务、App隐私政策和个人信息收集使用情况评估方式、APP运营者的法律责任及开展自愿性App个人信息安全认证等要点。

1.APP运营者的合规义务

 
 

公告指出,App运营者收集使用个人信息时应当严格履行《中华人民共和国网络安全法》(以下简称“《网络安全法》”)规定的责任义务,对获取的个人信息安全负责,采取有效措施加强个人信息保护。

《网络安全法》规定网络运营者应承担的个人信息保护合规义务主要包括:

  • 建立健全用户信息保护制度(第四十条

  • 建立个人信息的收集、使用规则及制度(第四十一条、第四十二条、第四十四条)

  • 建立个人信息泄露事件的报告制度(第四十二条)

  • 建立个人信息的删除和更正制度(第四十三条)

  • 建立对用户发布的信息管理制度(第四十七条)

  • 建立网络信息安全投诉、举报制度(第四十九条)

《网络安全法》规定网络运营者在收集个人信息时应满足“知情同意”原则(第四十一条)。公告强调App运营者应当获得个人信息主体的自主选择同意,即明示同意,同时要求App运营者不以默认、捆绑、停止安装使用等手段变相强迫用户授权(禁止强制授权),进一步提高了App运营者获得个人信息主体授权的合规要求。

《网络安全法》规定网络运营者在收集个人信息时应当向个人信息主体明示收集使用规则(第四十一条)。公告在此原则性规定的基础上,要求App运营者应当以通俗易懂、简单明了的方式向个人信息主体展示其个人信息收集使用规则,即以用户友好的角度来设计用户隐私政策,避免目前绝大多数用户难以理解晦涩难懂、长篇大段的隐私协议而草草点击同意授权的乱象。可以看出,各部委以行业良好实践规范作为本次专项治理的审查要求,旨在提高App市场上个人信息保护的合规标准。

同时,公告指出App运营者应当遵循合法、正当、必要的原则,不得收集与所提供服务无关的个人信息(禁止过度收集),不得违反法律法规和与用户的约定收集使用个人信息(禁止超范围收集),并倡导App运营者在定向推送资讯、时政、广告时,为用户提供拒绝接收定向推送的选项(禁止强制推送),进一步落实个人信息主体对于其个人信息的实际控制权。

2.App隐私政策和个人信息收集使用情况评估

 
 

公告指出,本次专项治理行动将由全国信息安全标准化技术委员会(以下简称“信安标委”)、中国消费者协会、中国互联网协会、中国网络空间安全协会,组织相关专业机构,对用户数量大、与民众生活密切相关的App隐私政策和个人信息收集使用情况进行评估,评估规模预计将达上千款App。上述专业机构也将编制大众化应用基本业务功能及必要信息规范、App违法违规收集使用个人信息治理评估要点,作为本次评估工作的主要依据。

此次信安标委将联合各专业机构针对App如何区别基本功能与附加功能、如何鉴别所收集信息为必要信息、以及违法违规收集使用个人信息的评估要点出台更为细致的合规指引,不难看出本次制定的相关评估规范也将对企业合规工作产生重要影响。

3.APP运营者的法律责任

 
 

公告指出,有关主管部门将在此次专项治理行动中加强对违法违规收集使用个人信息行为的监管和处罚,包括责令App运营者限期整改;逾期不改的,公开曝光;情节严重的,依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。根据《网络安全法》的规定,单位违法违规收集使用个人信息的,还将对直接负责的主管人员和其他直接责任人员进行处罚。涉及犯罪的,还应当根据《刑法修正案(九)》及两高相关司法说明的规定承担相应的刑事责任。公安机关也将在本次专项治理行动中开展打击整治网络侵犯公民个人信息违法犯罪专项工作,依法严厉打击针对和利用个人信息的违法犯罪行为。

结合目前我国个人信息保护相关立法框架,违法违规收集使用个人信息的处罚规定具体如下:

违法违规行为

执法依据

处罚规定

提供的应用App,设置恶意程序,或者含有法律、行政法规禁止发布或者传输的信息。

《网络安全法》第六十条

由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。

强制、过度收集个人信息 

《网络安全法》第六十四条

《中华人民共和国消费者权益保护法》第二十九条

由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

处罚机关应当记入信用档案,向社会公布。

未经消费者同意、违反法律法规规定和双方约定收集、使用个人信息

《网络安全法》第六十四条

《中华人民共和国消费者权益保护法》第二十九条

由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

处罚机关应当记入信用档案,向社会公布。

未采取措施删除或者更正违反法律法规规定收集、使用的个人信息

《网络安全法》第六十四条

《中华人民共和国消费者权益保护法》第二十九条

由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

处罚机关应当记入信用档案,向社会公布。

泄露、篡改、毁损收集的个人信息

《网络安全法》第六十四条

《中华人民共和国消费者权益保护法》第二十九条

由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

处罚机关应当记入信用档案,向社会公布。

发生或可能发生个人信息泄露、毁损、丢失的情况时,未马上采取补救措施,未及时告知用户并向有关主管部门报告

《网络安全法》第六十四条

《中华人民共和国消费者权益保护法》第二十九条

由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

处罚机关应当记入信用档案,向社会公布。

非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的行为

《网络安全法》第六十四条

由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。

非法方式获取、非法出售或者非法向他人提供个人信息,情节严重构成犯罪的行为

《刑法修正案(九)》

处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。单位犯罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员判处相应处罚。

对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录

《网络安全法》第六十八条

由有关主管部门责令改正,给予警告,没收违法所得;拒不改正或者情节严重的,处十万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

应用App下载服务提供者不履行安全管理义务

《网络安全法》第六十八条

由有关主管部门责令改正,给予警告,没收违法所得;拒不改正或者情节严重的,处十万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息,采取停止传输、消除等处置措施

《网络安全法》第六十九条

由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员,处一万元以上十万元以下罚款。

拒绝、阻碍有关部门依法实施的监督检查

《网络安全法》第六十九条

由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员,处一万元以上十万元以下罚款。

拒不向公安机关、国家安全机关提供技术支撑和协助

《网络安全法》第六十九条

由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员,处一万元以上十万元以下罚款。

拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成了严重后果

《刑法修正案(九)》、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的说明》

处三年以下有期徒刑、拘役或者管制,并处或者单处罚金;单位犯罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员依照前款的规定处罚。

除此之外,为加强APP的规范管理,国家网信办于去年先后出台《移动互联网应用程序信息服务管理规定》《互联网直播服务管理规定》《互联网群组信息服务管理规定》等相关法规,明确移动应用程序开发者、运营者及接入者各自应当承担的企业主体责任。企业还应当遵守各行业主管部门对本行业的特殊监管政策。

4.开展自愿性App个人信息安全认证

 
 

公告提出,四部委将开展App个人信息安全认证工作,鼓励App运营者自愿通过App个人信息安全认证,鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的App。据了解[1],市场监管总局将会同网信办等部门建立App个人信息安全认证制度,按照App运营商自愿申请的原则,由具备资质的认证机构依据相关国家标准对App收集、存储、传输、处理、使用个人信息等活动进行评价,符合要求后颁发安全认证证书并允许认证标识。此举旨在通过鼓励搜索引擎和应用商店优先推荐获证App等方式,引导消费者选用安全的App产品,透过市场选择机制的引领作用进一步规范App运营商的研发和推广行为、提升个人信息保护意识和能力,形成解决App违法违规使用个人信息问题的长效治理机制。

三、合规建议及应对策略

本次专项治理行动规模之大、范围之广、执法力度之强,或创下近年之最。四部门联合执法,四协会全面评估,公安部门严厉打击,市场监督部门安全认证,持续时间长达一年的综合治理,加强处罚违法违规行为的同时匹配规范性引导和政策性鼓励,这一系列的组合拳重击势必解决目前App强制授权、过度授权、超范围收集个人信息等突出问题,达到规范App市场的预期监管效果。

对于App开发者、运营者而言,着手调整产品设计环节的隐私保护,规范个人信息收集和使用规则,严格落实信息安全管理责任是目前亟待处理的问题。同时,应用商店、网盘、论坛贴吧等社交平台及云服务企业等网络平台运营者应当切实落实主体责任,针对平台接入的App及其发布信息进行真实性、安全性、合法性等审核,建立信用管理制度;督促应用程序提供者保护用户信息;发布合法信息内容,建立健全安全审核机制;发布合法应用程序,敬重和保护应用程序提供者的常识产权。并通过服务协议,明确双方的权利义务,规避合规风险。App运营者及网络平台运营者应当配合有关部门依法进行的监督检查,设置便捷的投诉举报入口,及时处理公众投诉举报。电信运营商、云服务提供商、域名管理机构亦有义务配合实施网信办等主管部门对相关违法违规APP的关停处罚。

除上述个人信息保护制度外,企业还应当重视《网络安全法》及其配套法律法规构建的系统性的网络安全和数据保护义务,主要包括:

  • 落实网络安全等级保护制度;

  • 网络传播内容的管理;

  • 履行网络运营者网络安全保护义务;

  • 关键信息基础设施认定和网络安全保护义务的履行;

  • 个人信息和重要数据的保护;

  • 数据本地化存储和跨境数据传输的安全评估;

  • 网络产品和服务提供者的网络安全义务;

  • 落实网络安全审查制度;

  • 落实《网络关键设备和网络安全专用产品目录》及安全认证检测制度;

建议企业尽快着手实施网络安全与数据保护的整体合规工作,对企业目前的合规现状进行摸底评估,有效识别相应法律风险,并针对合规漏洞建立健全整体的合规体系。对于企业而言,有效的系统合规梳理工作包括合规现状尽职调查与差距分析、风险识别及合规建议、合规方案的实施和优化三个阶段,做到组织、流程、制度和培训各环节环环相扣,同时应当与企业所在行业、产品及服务的特性有针对性的落实相关合规义务。

为帮助企业更好的理解中国复杂的执法监管环境,更有效的降低法律风险,大家将结合在网络安全与数据保护领域的广泛实践经验,持续推出系列文章,对立法及政策走向及时进行解读,希翼对企业的合规工作有所帮助。

注:

[1]来源于国家认监委http://www.cnca.cn/xxgk/tpxw/201901/t20190125_57029.shtml

 

特别声明:

以上所刊登的文章仅代表编辑本人观点,不代表北京市美高梅手机娱乐律师事务所或其律师出具的任何形式之法律意见或建议。

 

如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“美高梅手机娱乐视界”及编辑姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等试听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。

 

XML 地图 | Sitemap 地图