近日,OPPO攜手德勤聯(lián)合發(fā)布《移動(dòng)應(yīng)用(App)個(gè)人信息保護(hù)白皮書》。
白皮書分析認(rèn)為,平臺(tái)方將逐漸成為個(gè)人信息保護(hù)方面的執(zhí)法重點(diǎn),目前侵犯個(gè)人信息的高額罰款集中于金融行業(yè),未來可能向互聯(lián)網(wǎng)等行業(yè)擴(kuò)展。另外,個(gè)人信息保護(hù)法生效后,統(tǒng)籌協(xié)同制的個(gè)人信息保護(hù)監(jiān)管體系有利于法律落地,但對(duì)于企業(yè)而言,需要投入更多資源和成本以符合不同維度的要求。
文 / 孫朝
近日,OPPO攜手德勤聯(lián)合發(fā)布《移動(dòng)應(yīng)用(App)個(gè)人信息保護(hù)白皮書》(以下簡稱“白皮書”)。
白皮書分析認(rèn)為,平臺(tái)方將逐漸成為個(gè)人信息保護(hù)方面的執(zhí)法重點(diǎn),目前侵犯個(gè)人信息的高額罰款集中于金融行業(yè),未來可能向互聯(lián)網(wǎng)等行業(yè)擴(kuò)展。另外,個(gè)人信息保護(hù)法生效后,統(tǒng)籌協(xié)同制的個(gè)人信息保護(hù)監(jiān)管體系有利于法律落地,但對(duì)于企業(yè)而言,需要投入更多資源和成本以符合不同維度的要求。
圖片
App違規(guī)收集使用個(gè)人信息系主要問題
近年來,隨著大數(shù)據(jù)、云計(jì)算、人工智能等技術(shù)發(fā)展的同時(shí),用戶數(shù)據(jù)已成為企業(yè)發(fā)展的戰(zhàn)略性資產(chǎn)。與此同時(shí),公眾對(duì)保護(hù)個(gè)人信息的重視程度也逐漸加深,如何平衡好保護(hù)與發(fā)展也成為許多企業(yè)繞不開的話題。
白皮書梳理官方通報(bào)發(fā)現(xiàn),隨著近年來App治理強(qiáng)度增加,無隱私政策或隱私政策晦澀難懂情況得到較大改善,但App違規(guī)收集和使用個(gè)人信息依然是當(dāng)前App違規(guī)的主要問題。另外,App強(qiáng)制索權(quán)、頻繁索權(quán)以及過度索權(quán)的問題也是官方通報(bào)中第二大常見問題,開發(fā)者需在App開發(fā)過程中重點(diǎn)關(guān)注。
另外,第三方SDK竊取用戶個(gè)人信息的問題曾引發(fā)廣泛關(guān)注。白皮書分析認(rèn)為,由于第三方SDK一般不獨(dú)立面向用戶提供服務(wù),而依賴于App接入,即使第三方SDK直接收集個(gè)人信息,用戶在使用App過程中對(duì)其行為也處于無感知狀態(tài)或者弱感知狀態(tài)。另外,多數(shù)情況下第三 方SDK的個(gè)人信息處理活動(dòng)對(duì)于App開發(fā)者較不透明,對(duì)App開發(fā)者而言,很難進(jìn)行管控。雖然SDK 作為個(gè)人信息保護(hù)的關(guān)鍵一環(huán),但相關(guān)標(biāo)準(zhǔn)和行業(yè)實(shí)踐經(jīng)驗(yàn)都相對(duì)較少。
對(duì)此,白皮書建議,SDK提供者完善個(gè)人信息保護(hù)合規(guī)體系,吸取歷史經(jīng)驗(yàn),在提供服務(wù)的過程中采取必要安全措施以 保證用戶個(gè)人信息安全,并向App開發(fā)運(yùn)營者及最終用戶公開收集使用個(gè)人信息規(guī)則。
圖片
高額罰款集中于金融業(yè),未來可能向互聯(lián)網(wǎng)等行業(yè)擴(kuò)展
據(jù)白皮書不完全統(tǒng)計(jì)發(fā)現(xiàn),工信部、公安部、國家市場監(jiān)督管理總局以及國家互聯(lián)網(wǎng)信息辦公室及其省級(jí)單位在2019年至2021年8月份期間共通報(bào)整改2111款A(yù)pp,通報(bào)下架470款A(yù)pp。國家市場監(jiān)督管理總局在2019年的 “守護(hù)消費(fèi)”暨打擊侵害消費(fèi)者個(gè)人信息違法行為專項(xiàng)執(zhí)法行動(dòng)中罰款1946萬元。
對(duì)于個(gè)人信息保護(hù)方面的未來監(jiān)管趨勢,白皮書分析認(rèn)為,平臺(tái)方將逐漸成為執(zhí)法重點(diǎn),同時(shí),判罰依據(jù)由顯性的違規(guī)轉(zhuǎn)向非顯性違規(guī),呈現(xiàn)多樣化趨勢。企業(yè)應(yīng)更加關(guān)注合規(guī)工作中的更多細(xì)節(jié),例如非必要信息的收集和使用,綁定授權(quán)、一攬子授權(quán)、第三方信息濫用等問題。
白皮書梳理發(fā)現(xiàn),近年來,針對(duì)侵犯個(gè)人信息的事件,中央人民銀行曾開出三起超過400萬元的罰單。
白皮書分析認(rèn)為,銀行業(yè)之所以成為大額罰單的首要重災(zāi)區(qū),一方面在于銀行具有龐大的用戶群體,掌握了大量的用戶數(shù)據(jù);另一方面,金融數(shù)據(jù)是消費(fèi)者普遍關(guān)心的最具敏感性的數(shù)據(jù)類型之一,其泄露及濫用往往會(huì)造成極大的經(jīng)濟(jì)損失;特別是,針對(duì)銀行業(yè)的強(qiáng)監(jiān)管環(huán)境,從銀行業(yè)開始下重拳整頓,能達(dá)到降低主要風(fēng)險(xiǎn),實(shí)現(xiàn)高執(zhí)法效率的目的。
白皮書稱,可以預(yù)見,其他行業(yè)如醫(yī)療、互聯(lián)網(wǎng)等,都存在用戶數(shù)據(jù)觸達(dá)點(diǎn)多、掌握數(shù)據(jù)量大的特點(diǎn),那么參考銀行業(yè)的監(jiān)管思路,大額判罰的案例有可能也出現(xiàn)在其它行業(yè)。
圖片
企業(yè)或需投入更多以符合不同維度監(jiān)管要求
在法律法規(guī)層面上,作為首部個(gè)人信息保護(hù)領(lǐng)域的專門性立法——個(gè)人信息保護(hù)法將于11月1日起正式實(shí)施。
個(gè)人信息保護(hù)法規(guī)定,國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)個(gè)人信息保護(hù)工作和相關(guān)監(jiān)督管理工作;國務(wù)院有關(guān)部門依照本法和有關(guān)法律、行政法規(guī)的規(guī)定,在各自職責(zé)范圍內(nèi)負(fù)責(zé)個(gè)人信息保護(hù)和監(jiān)督管理工作。
白皮書分析認(rèn)為,國家網(wǎng)信部門作為總統(tǒng)籌方,國務(wù)院有關(guān)部門在各自職責(zé)范圍內(nèi)負(fù)責(zé)個(gè)人信息保護(hù)和監(jiān)管管理工作,兼顧了行業(yè)差異性。在地方層面,縣級(jí)以上地方人民政府有關(guān)部門作為具體實(shí)施監(jiān)督方,履行個(gè)人信息保護(hù)和監(jiān)督管理職責(zé),兼顧了地區(qū)差異性。
由此形成了行業(yè)監(jiān)管為橫軸、地方監(jiān)管為縱軸的網(wǎng)狀監(jiān)督體系,這將有利于個(gè)人保護(hù)法的落地,但是對(duì)于作為個(gè)人信息處理者的企業(yè)而言,需要投入更多資源和成本以符合不同維度的要求。
白皮書認(rèn)為,基于最高人民檢察院下發(fā)的《關(guān)于貫徹執(zhí)行個(gè)人信息保護(hù)法推進(jìn)個(gè)人信息保護(hù)公益訴訟檢察工作的通知》 要求和和專項(xiàng)行動(dòng)開展,未來也將出現(xiàn)更多個(gè)人信息保護(hù)領(lǐng)域的典型公益訴訟案例。民事訴訟、公益訴訟成為個(gè)人信息處理者在個(gè)人信息保護(hù)方面的新考驗(yàn)、新挑戰(zhàn)。
此外,對(duì)于保護(hù)個(gè)人信息,消費(fèi)者本人能做些什么?白皮書稱,消費(fèi)者養(yǎng)成安全使用習(xí)慣,不僅有助于避免風(fēng)險(xiǎn)事件,也能夠反哺監(jiān)管要求的落實(shí)及更新,促進(jìn)行業(yè)各主體的自律及主動(dòng)合規(guī)。
因此,白皮書建議,在日?;ヂ?lián)網(wǎng)產(chǎn)品的使用中,消費(fèi)者可以保持以下良好習(xí)慣:
1. 在正規(guī)應(yīng)用商店或者App產(chǎn)品提供者官網(wǎng)下載App,不點(diǎn)擊來源不明的鏈接進(jìn)行下載安裝;
2. 使用App及相關(guān)服務(wù)前,仔細(xì)閱讀個(gè)人信息保護(hù)政策,充分了解App收集和使用個(gè)人信息的類型、 目的和方式,以及如何行使用戶權(quán)利方式等內(nèi)容;
3. 謹(jǐn)慎授予App使用敏感權(quán)限(如位置、相機(jī)、麥克風(fēng)、通訊錄等),可以在使用App特定功能或服 務(wù)時(shí)打開相關(guān)敏感權(quán)限,不使用時(shí)關(guān)閉;
4. 多使用App提供的隱私功能或隱私設(shè)置,主動(dòng)、合理行使自己的對(duì)于個(gè)人信息的權(quán)利;
5. 發(fā)現(xiàn)安全隱患時(shí),及時(shí)聯(lián)系A(chǔ)PP產(chǎn)品提供方,可以有效減少安全事件帶來的不利影響;
6. 遇到侵犯用戶個(gè)人信息情況時(shí),及時(shí)聯(lián)系產(chǎn)品提供者或向有關(guān)機(jī)構(gòu)進(jìn)行投訴。