国家互联网信息办公室与工业和信息化部于12月30日联合发布《App违法违规收集使用个人信息行为认定方法》(简称《方法》)。《方法》规定哪些行为可被识别为“未披露的收集和使用规则”、“未能表达收集和使用个人信息的目的、方法和范围”、“未经用户同意收集和使用个人信息”、“违反必要原则、收集与所提供服务无关的个人信息”等。
《网络安全法》于2017年6月1日生效,《信息安全技术个人信息安全规范》于2018年5月1日生效,两者都为包括应用程序在内的网络运营商收集和使用个人信息设定了相应的标准,但实施并不理想。例如,几天前,应用特别治理工作组(App Special Governance Working Group)发布的通知显示,在最近的评估中,有57个应用项目在收集和使用个人信息方面存在问题,4个应用项目没有完成整改。公安部和工业和信息化部也披露了相关问题。
应用程序非法收集和使用个人信息,侵犯了用户的许多权益。为了规范应用行为,保护用户权益,必须在现有法律和国家标准的基础上进一步完善制度和措施。有关部门此次发布《方法》,是为了贯彻《网络安全法》等法律中的个人信息规定。首先,监管机构准确识别非法行为很方便。第二,敦促应用运营商自律;第三,引导公众舆论和用户监督应用。
以前,由于相关法律法规的规定过于宽泛,一些侵权应用有机会客观地利用。例如,法律规定"应遵循合法性、正当性和必要性原则",但发现违反这一原则缺乏详细的规则和安排。《方法》明确指出,六种行为违反了必要的原则,有望堵塞应用程序侵权和欺诈中的一些漏洞。另一个例子是法律规定了“公开收集和使用规则”。一些应用程序会使用法律用语模糊地玩“边界球”。《方法》明确指出,四种行为可以被视为“未发布的收集和使用规则”。
剩余全文
国家互联网信息办公室与工业和信息化部于12月30日联合发布《App违法违规收集使用个人信息行为认定方法》(简称《方法》)。《方法》规定哪些行为可被识别为“未披露的收集和使用规则”、“未能表达收集和使用个人信息的目的、方法和范围”、“未经用户同意收集和使用个人信息”、“违反必要原则、收集与所提供服务无关的个人信息”等。
《网络安全法》于2017年6月1日生效,《信息安全技术个人信息安全规范》于2018年5月1日生效,两者都为包括应用程序在内的网络运营商收集和使用个人信息设定了相应的标准,但实施并不理想。例如,几天前,应用特别治理工作组(App Special Governance Working Group)发布的通知显示,在最近的评估中,有57个应用项目在收集和使用个人信息方面存在问题,4个应用项目没有完成整改。公安部和工业和信息化部也披露了相关问题。
应用程序非法收集和使用个人信息,侵犯了用户的许多权益。为了规范应用行为,保护用户权益,必须在现有法律和国家标准的基础上进一步完善制度和措施。有关部门此次发布《方法》,是为了贯彻《网络安全法》等法律中的个人信息规定。首先,监管机构准确识别非法行为很方便。第二,敦促应用运营商自律;第三,引导公众舆论和用户监督应用。
以前,由于相关法律法规的规定过于宽泛,一些侵权应用有机会客观地利用。例如,法律规定"应遵循合法性、正当性和必要性原则",但发现违反这一原则缺乏详细的规则和安排。《方法》明确指出,六种行为违反了必要的原则,有望堵塞应用程序侵权和欺诈中的一些漏洞。另一个例子是法律规定了“公开收集和使用规则”。一些应用程序会使用法律用语模糊地玩“边界球”。《方法》明确指出,四种行为可以被视为“未发布的收集和使用规则”。
为了进一步堵塞应用程序侵权的漏洞,除了实施《方法》之外,还应考虑将《方法》从推荐国家标准升级到强制性国家标准。应用运营商可能会也可能不会实施推荐的国家标准。但是,由于个人信息安全涉及公共生活和财产安全,建议的国家标准升级为强制性国家标准,这有利于迫使运营商严格执行,进而最大限度地保护公民的个人信息安全。
从今年相关部委的专项整治来看,很多App在自查自纠阶段和监督检查阶段都没有主动整改,应该根据具体情况进行处罚,比如下架、罚款甚至刑事责任。归根结底,对于违反法律法规收集和使用个人信息的应用运营商,要依法从严惩处,以增强法律惩罚和威慑力量。我们应该让法律成为个人信息安全最强有力的“保护伞”,成为悬挂在应用运营商顶端的“达摩克利斯之剑”。
(编辑:东肖伟)
