原标题:《中国金融》|屠光绍:加强App用户个人信息与数据权利保护
作者:屠光绍
党的十九届四中全会首次将“数据”列为生产要素,标志着我国进入以数据为关键生产要素的数字经济时代。当前,我国统一的“个人信息保护法”尚未出台,现行的《网络安全法》《电子商务法》等法律法规虽然在一定程度上加强和明确了个人信息保护方面的要求,但是缺乏具体的执行细则。其他的若干行业管理规定,存在制度层次低、操作性和协调性不足的短板。同时,从国内市场表现来看,移动互联网应用市场行业自律不够,少数企业经营缺乏道德底线,侵害个人信息行为和数据泄露事件频出。移动互联网应用程序(App)强制授权、过度索权、超范围收集个人信息的问题现象依旧十分突出。
2019年以来,国家网信办、工信部、公安部、市场监管总局四部门联合开展了App违法违规收集使用个人数据专项治理行动,并印发了《App违法违规收集使用个人信息行为认定方法》,在形式上为行业发展设立了一条合法与违规的红线,但还未形成长效的执法机制,且缺乏配套的市场指引来加强个人信息与数据权利的保护。
为更好地保护个人信息与数据权利,具体建议如下。
第一,规定数据收集范畴,实现分类分级监管。监管部门根据App及运营主体所在的行业属性、应用场景、影响范围和可能产生的危害程度按照“最小必要”原则明确数据收集和使用的范畴,对不同行业领域的个人信息收集与使用实施分类分级的数据监管。可以考虑按照行业属性,建立App数据收集使用报备制度,例如,对于利用来自手机App的个人数据从事金融业务的企业,应向金融监管部门进行数据使用情况的定期报备。严格限定以个人生物特征信息(人脸、指纹、虹膜等)为代表的个人敏感信息采集权限、使用范围和应用条件。
第二,规范隐私政策条款,统一信息披露标准。制定App“隐私政策”披露标准与格式。App“隐私政策”需要详细解释该App如何收集、使用、存储和保护个人信息,包括用户健康、购买、财务、位置、联系、浏览内容、搜索记录、标识符、使用数据等信息。App“隐私政策”信息披露标准需要跨手机应用市场、行业、地区、运营主体,形成统一的披露框架和披露格式。相比于苹果手机应用市场,国内安卓(Android)生态系统应用市场由不同手机制造商管理,缺乏统一的产品标准,其App的隐私政策条款不完整、内容不合理、文本盗用等问题更为严重。App“隐私政策”信息披露标准的制定要充分研究国内各安卓应用市场存在的问题,以解决各类安卓手机App在用户个人信息与数据保护方面的问题为首要抓手。
第三,要求App开发企业以清晰易懂的方式披露及公布隐私政策。监管部门应要求App开发企业以易于访问、易于阅读的方式披露“隐私政策”,规范隐私政策披露语句形式,使用户更易于理解。在披露渠道和方式上,要求App开发企业在应用市场下载页面、App安装时以及App首次运行时,以表格化、图表化的方式向使用者展示隐私政策,解释各类数据被收集、存储、使用的方式。对于年龄较大的App使用者,要求采用大字体及彩色字体的展示。在披露频次上,要求App开发者定期及在每次版本更新时向使用者披露隐私政策。由有关部门牵头,建立全国统一的手机应用App隐私政策信息披露平台,要求App开发者在各大应用市场上线及更新App时,将隐私政策备份上传至该平台,方便监管部门和用户随时查阅,监督App开发者更加规范地更新隐私政策。
