|
近日�����,國家四部委聯合下發了《常見類型移動互聯網應用程序必要個人信息范圍規定》����,對39類常見App在使用過程中�,對必要個人信息的采集類型作出了具體規定�����。 當前���,我國以網絡安全法�����、民法典�����、刑法及其司法解釋為核心的個人信息保護體系已經建立����,《個人信息保護法(草案)》也開始向社會公開征求意見�����。不過����,從相對抽象的立法條文�����,到具體落實在特定App應用尚存一定距離���,新規通過類型化的方式�����,將具體應用與抽象規定相結合�����,對個人信息保護將起到重要抓手作用�。 互聯網實踐中�����,利用App對消費者個人信息過度索權的情況非常普遍�����,主要包括三個方面:一是通過網民協議格式條款�,甚至具有市場支配地位的平臺通過霸王條款�����,強制消費者“同意”對個人信息的無限制索取���。二是以技術手段����、技術迭代�����、大數據幌子等方式�,掩蓋過度獲取個人信息目的�,消費者維權成本很高�,違法成本較低�。三是大量不法App通過過度索權����,形成了個人信息黑產���,導致個人信息被不法分子利用���,精準詐騙���、撞庫竊取����、人肉搜索等互聯網犯罪行為屢見不鮮�。 此外�,個別App平臺忽視本該承擔的主體責任�����,在個人信息采集層面����、使用層面�、保護層面和處分層面都存在巨大安全隱患�。以往執法實踐更重視個人信息的使用����、保護�、處分和事后處罰�,忽視了個人信息違法采集的前期責任����。其實�����,從治理成本�、執法效率角度看�����,在個人信息采集層面治理下的功夫越大�,后續風險就會變得越小���。因此����,新規將執法前移���,從采集個人信息范圍角度加大治理力度���,保護個人信息�。 個人信息安全的治理工作不能過度依靠企業自律和事后執法處罰����。平臺自律應有法律法規作為基礎���,只有在足夠具體����、有效和針對性的規則面前�����,自律才會在個人信息保護中起到應有的效果���。新規把實踐中39類App對個人信息索權類別����,以非常簡練�����、具體�����、明確的方式作出了規定���,旨在督促平臺盡到依法����、依約采集個人信息的責任���,目的在于強化平臺作為信息采集者的主體責任����,切實保護消費者個人信息的安全����。 各部門在對個人信息的保護監管工作中�����,很難逐款判斷App采集個人信息范圍的必要性�����、正當性和合法性具體邊界���。執法和司法都面臨對個人信息采集類型����、范圍�、邊界判斷困難的情況����,這就導致對個人信息保護工作多集中在事后追責�,缺乏技術監管的預判���。新規出臺的目的就是要進行“穿透式”監管����,從個人信息采集源頭抓起�。這就需要App設計者�、開發者����、經營者�、所有者與使用者都必須嚴格按照規定�����,落實采集類型和范圍責任�����,明確采集的必要性�����、正當性�����,只有達到新規具體標準�����,才能符合合法性基本原則�。換言之�����,如果平臺沒有履行新規相關標準�,即便采集的信息事先“獲得”了消費者同意�,或沒有對采集的個人信息進行濫用�����,也不能以此進行抗辯���。 值得注意的是�����,新規不僅列明了各類App個人信息采集類別�,而且還明確規定����,任何組織和個人都有權利向相關部門進行舉報����,這就暢通了公眾對個人信息安全監督的權利�����,也拓展了相關部門對保障個人信息安全的治理渠道����,反過來���,也更加夯實了互聯網平臺積極履行主體責任的必要性�����。 ?。ㄗ髡撸褐煳?���,系中國政法大學傳播法研究中心副主任)
|
