屠春含
就个人信息保护而言,检察机关可以探索向行政监管部门或者App开发者等主体制发检察建议,维护公共利益;探索公益诉讼途径,妥善引入惩罚性赔偿制度等;开展以案释法工作,提高个人信息防范意识。
近年来,移动应用程序(下称App)被广泛使用。有数据显示,截至去年年底,我国第三方应用商店分发App累计数量超过1.57万亿次。App给中国网民带来巨大便利的同时,很多人也因此遭遇了个人信息泄露。当前,围绕个人信息的非法获取、出售、非法提供、非法利用,已形成了非法产业链。其中,侵犯个人信息的违法犯罪居于上游,中游、下游滋生出电信诈骗、金融诈骗、敲诈勒索、非法拘禁、绑架等犯罪,成为一个不容忽视的社会问题。保护公民个人信息,不仅有助于维护公民合法权益,对维护社会稳定、防控社会风险也具有重要作用。
2018年以来,上海市检察机关公益诉讼检察部门组成专案组集中办案,先后调查分析了注册地在沪的留学、教辅、育儿、网校、就业招聘、理财、网购等与民生密切相关的近30款App,总结出部分App存在以下问题:
一是以默认方式获取个人信息授权。部分App在用户安装、注册或首次开启时,未主动提醒用户阅读隐私政策;收集使用个人信息、个人敏感信息以默认方式获得授权,未经用户主动填写、点击、勾选等自主选择同意,有的甚至在不醒目之处标识“一经使用即同意授权”。
二是强制索权或过度索取个人信息。有的App,如果用户不开启部分敏感信息收集权限就无法使用;有的个人信息收集与业务功能无直接关系,收集必要性存疑。而作为个人,面临选择全盘接受或选择离开的困境。
三是未清晰说明收集信息的种类等问题。收集个人信息、个人敏感信息通常都是基于一定的业务功能,但很多App都是笼统表述,用“例如”“等”表述,收集个人信息的范围边界不清;对于个人身份证号码、银行账号、通信记录、行踪轨迹、交易信息等个人敏感信息没有进行显著标识(如字体加粗、标星号等);缺少个人信息存放地域、是否明文保存、存储期限等方面的说明;涉及个人信息出境情况的没有显著标识。
四是未清晰说明如何使用个人信息。很多个人信息的使用名义上都是为了让用户有更好的体验,但实际上很多App运营者将个人信息用于用户画像、个性化展示等,基于用户的特定行为推送特定的广告,影响用户体验。而隐私政策中没有明确共享、转让、公开披露个人信息的规则,也未说明是不是进行了脱敏处理,更没有说明其应用场景和可能对用户产生的影响。
五是用户个人信息缺乏删除、更正机制。有的App无法提供注销账号的途径,注销账号后是否及时删除个人信息不明确;查询、更正、删除个人信息途径不明;用户个人信息权利保障、申诉渠道未建立;隐私政策时效、更新后的告知不规范。
针对上述问题,建议通过以下几个方面进一步加强App所涉公众的个人信息保护工作:
一要进一步明确规则,探索公益诉讼,形成多维度保护合力。目前,我国刑法、民法总则、行政法等法律法规对公民个人信息从不同角度予以保护,初步建立了我国公民个人信息保护制度。如:民法总则规定自然人的个人信息受法律保护。侵权责任法规定网络服务提供者利用网络侵害他人民事权益的,应承担侵权责任。消费者权益保护法、网络安全法要求收集使用公民个人电子信息时遵循合法、正当、必要原则,明示收集使用信息的目的、方式和范围。这些制度在公众个人信息保护方面发挥了重要作用,但与大数据、AI等技术的迅猛发展态势相比,还需要进一步完善,及时修法予以规范,以形成多维度的保护合力。一是完善相应立法与行业规范。加快个人信息保护法的立法工作,明确个人信息权的内容和个人信息征集使用的原则,规范个人信息处理主体在信息收集、传输等方面的权利义务,并且对个人信息处理主体的法律责任作出明确规定。完善现行网络安全法规定,提高罚款额度,增加App运营方主要负责人的禁业限制条款。App运营者对所获得的用户个人信息的保护标准以及因用户个人信息泄露应当采取的补救措施等进行细化。二是探索公益诉讼途径。不仅要用好用足行政管理、刑事处罚等手段,也可尝试将其纳入公益诉讼探索的范围,既可以探索民事公益诉讼,也可以探索行政公益诉讼。对消费者保护组织等提起的消费公益诉讼,检察机关要积极予以支持起诉。对负有监管职责的行政机关违法行使职权或者不作为,致使国家利益或者社会公共利益受到侵害的情形,检察机关应启动监督程序。同时,要妥善引入惩罚性赔偿制度、举证责任倒置制度等符合个人信息保护工作需求的措施。
二要强化企业主体责任,督促履行管理职责,促进App产业健康发展。近年来,行政监管部门在个人信息保护方面做了大量工作,但执法工作仍存在一些实际困难,难以跟上大数据时代发展的新形势。个人信息保护工作在加强行政监管的同时,应进一步强化企业的主体责任。尤其是作为分发数量巨大的应用商店,应履行一定的管理责任,严格把控准入门槛,加强技术监测,督促应用程序提供者保护用户信息,完整提供应用程序获取和使用用户信息的说明,并向用户呈现;对于店内的App,如果存在隐私政策文本不规范不完整、违法违规收集使用个人信息、保护用户个人信息权利机制缺失等情形,可以视情采取警示、暂停发布、下架应用程序等措施予以督促整改。同时,要积极引导行业自律,促进形成健康的App产业生态。比如,App运营企业中的工作人员要分类分权限管理,形成内部制约监督机制;还可加强警示教育,提升从业人员法律意识。结合检察工作而言,就公众的个人信息保护,各级检察机关可以依据《人民检察院检察建议工作规定》向行政监管部门或者App开发者、运营者等主体制发检察建议,保障法律的正确实施,维护公共利益。
三要提升技术规范要求,完善信息保护策略,指引App合规正当运用。
App开发者、运营者等要尊重用户选择权,落实知情同意原则。借鉴“从设计着手隐私理念”,将预防工作放在App设计之时。用户在安装、注册或首次开启App时,App要以弹窗等方式主动提醒用户阅读隐私政策;App需要收集使用个人敏感信息的,要经用户主动填写、点击、勾选等自主选择同意。隐私政策要围绕App业务功能说明收集个人信息、个人敏感信息的必要性。App在索取个人信息时要遵循合法、合理、最小化使用和利益平衡原则。用户仅使用部分功能的,不得强制用户给予其他授权。App隐私政策更新后应主动告知用户并重新获取授权。经营者未经用户同意或者请求,或者用户明确表示拒绝的,不得向其发送商业性信息等不良信息。要明确收集个人信息的范围。应根据个人信息和隐私、人格尊严的关联程度,区分敏感信息和非敏感信息,对于前者严格保护,对于后者支持便捷利用。能够识别特定自然人身份或者反映特定自然人活动情况的信息均为个人敏感信息,主要包括个人肖像、身份证号码、手机号码、其他通讯联系方式、住址、账号密码、家庭状况、工作履历、财务状况、犯罪记录、基因、指纹、健康信息、行踪轨迹等。对于敏感信息要告知用户其存放地域、保密措施及保存期限等相关信息。互联网企业要加强内部控制和风险管理,完善数据加密和匿名化等网络安全技术,防止发生内部“监守自盗”泄露个人信息的事件。对于从敏感信息进行了脱敏处理的信息,是否事前也要告知可能会用于用户画像推送特定广告,也要在用户同意的前提下,才可向其推送广告,需要法律法规进一步予以明确。比如,个人信息既要防止过度收集,也要防止个人信息排他享有,应区分个人敏感信息和非敏感信息,采取不同的保护策略。要完善个人信息的保护机制。用户有权更正、删除自己的个人信息,注销App账号后有权要求及时删除个人信息或进行匿名化处理;甚至通过“到期日设计”,规定App获取公民个人信息的周期,保护公民正当的被遗忘权。App运营者还应建立个人信息申诉渠道,方便用户投诉。检察机关公益诉讼检察部门可不定期巡视检察App使用情况,通过依法公证、技术咨询等形式进行调查核实,对侵犯公众个人信息的App进行刑事打击或依法提起公益诉讼。