昨日早间,网络安全审查办公室再发公告,提出对“运满满”、“货车帮”、“BOSS直聘”启动网络安全审查,对比滴滴出行相关公告内容,如出一辙:
(两次公告内容比对)
滴滴出行之后,网络安全审查案例再落三子,与滴滴一样,三家公司均于今年月完成了赴美上市,而喜马拉雅、七牛云、Soul等此前在月暂停了赴美上市的互联网公司,也被认为是受相关管理政策波及。网络讨论众说纷纭,暂且不论个中因由,回归业务本身,值得关注的细节也非常多。
从滴滴出行被实施网络安全审查的社会大众观点、评论来看,大家似乎模糊了“网络安全审查”与“App个人信息保护”之间的边界,认为“App个人信息保护”属于“网络安全审查”的内容,抑或是引发“网络安全审查”的导火索。因此,我们就App个人信息保护主题的da 核心问题亦进行了梳理。
( App个人信息保护问)
Q:App是什么?
App,又称移动互联网应用程序,根据年月日发布的《常见类型移动互联网应用程序必要个人信息范围规定》第二条的规定,包括“移动智能终端预置、下载安装的应用软件,基于应用软件开放平台接口开发的、用户无需安装即可使用的小程序”。
因此在个人信息保护领域,受到监管部门执法关注的并不限于预装的或通过应用市场下载安装的App,还包括无需安装即可使用的小程序。在部分地方开展App网络安全专项治理的过程中,进一步明确专项治理工作的对象包括App、小程序、公众号、网页工具、快应用、SDK等。
同时,在监管部门的执法过程中,我们也注意到小程序已经被纳入通报整改的对象,例如在工信部通信管理局年月日发布的《关于侵害用户权益行为的App通报(年第批 总第批)》中,“草料二维码”就已因违规收集个人信息被纳入通报整治的范围。
因此,在关注App个保问题时,不可忽视的也需要将视角延展到小程序、公众号、SDK等内容的合规。
Q:App谁来管?
年以前,监管主体对于App个人信息安全的关注,只能算是个别部门单独作战,且执法措施以约谈警告、责令整改为主,并未引起大范围的注意,以至于在年月网信办、公安部、工信部和市场监督管理总局(以下合称“四部门”)联合开展App违法违规收集使用个人信息专项治理前,被通报点名对于App运营主体而言如同隔靴搔痒,违法违规行为依旧存在;而监管主体对此类行为也持相对宽容态度,除非情节严重或构成犯罪,才会采取例如罚款、移送司法机关等较为严厉的措施。
年月日,四部门发布《关于开展App违法违规收集使用个人信息专项治理的公告》,正式揭开了App个人信息专项治理活动的帷幕。专项治理开展后,各项执法活动如火如荼地进行,用户投诉数量激增,各项通报批评见诸报端,越来越多的App运营主体意识到:行业整顿真的来了。
我们通过下图展示App个人信息保护监管机构,该总结既非出自某一部具体的法规,亦非出自《个人信息保护法(草案二次审议稿)》,而是团队基于众多法律规范与行业实操的总结,具体而言包括“+”类:“”是指最上位的中央国家安全领导机构(见《数据安全法》相关规定),“”分别指统筹管理部分(个)、专项监管机构、行业监管机构、各类技术工作组以及自律组织。
(App个人信息保护监管机构一览)
考虑到《个人信息保护法》尚未出台,而从目前《个人信息保护法(草案二审稿)》的内容来看,未见明显的监管体系条款,反倒是《数据安全法》中的相关条文值得借鉴和推敲。因“数据”属于“个人信息”的上位概念,在《个人信息保护法》未对监管体系进行明确规定的情形下,《数据安全法》中所规制的数据处理活动对其有很好的“补位”作用。故我们在此阐述对数据安全领域的监管架构设置,并认为其同样对个人信息保护领域具有重要意义和适用效力。
自上而下看,数据安全领域的监管架构设置可谓一以贯之的“高规格”与“全覆盖”,具体如下:
最高规格的顶层设计。《数据安全法》第条中的“总体国家安全观”、第条中的“中央国家安全领导机构”和“国家数据安全工作协调机制”等措辞表达的使用,均属首次,在《网络安全法》《个人信息保护法(草案二次审议稿)》中未有涉及,亦无类似表述。如此高规格的顶层设置,实为罕见,亦是“数据主权”问题重要性的直观体现。
广泛而坚实的中层力量。《数据安全法》第条通过款内容列明了从中央到地方的数据安全监管部门。从中央部委看,有与顶层设计衔接的国家安全机关,有传统的“四轮驱动”(网信、工信、公安机、市监),还有涵盖各行各业的主管部门(交通、金融、教育等);从地区管辖看,既包括地方政府,也包括前述各部委在地方的分支机构。纵横交错,各有分工,构织出广泛、严密而坚实的监管网络。
支持促进“软法”活动。扩张来看,“软法”活动可包括全国范围内的数据安全知识宣传普及(第条)、行业自律组织自律行动(第条)、畅通且保密的投诉举报通道(第条)、各类标准的制定修订(第条)、配套检测认证活动(第条),纳入其中的主体包括国家、有关部门、行业组织、科研机构、企业、个人,基本做到了全覆盖。
当然,“全覆盖”的监管体系必然可能涉及“多头监管”问题,九龙治水对监管主体和被监管对象而言都非易事。各部门、各地区在执法尺度及标准上的差异,一定程度上影响了执法的稳定和可预期性,加大了监管主体之间的沟通成本。此外,各主体下发各类文件,涵盖法律法规、部门规章、规范性文件、标准指南或其他文件,或具有强制性效力,或仅具有指导性意义,但在实务中却均可成为监管主体治理活动的意见来源,导致被监管对象合规和创新成本的提升。庞大的监管机器如何启动、如何协调,进而引导数据安全领域监管进入常规化、有序化,仍有待观察与实践优化。
Q:App怎么管?
在弄明白App谁来管之后,问题就来到了App怎么管。
我们整理了一张个人信息保护相关专项活动及执法案例的汇总图(统计至年月底,其中大量包含App监管和执法活动),便于大家直观感受执法密度:
(公众号后台回复「个人信息保护执法案例」可下载高清原图)
总览过后难免感慨,各部门争相作为。接下来,我们细说一下,App怎么管?
各部门怎么管
一:统筹管理部门怎么管
. 中央部门怎么管
. 地方部门怎么管
二:专项监管机构怎么管
三:行业监管机构怎么管
如何理解“怎么管”?
从中央监管部门看,其中,国家网信办和工信部系核心监管部门,其监管步骤如下:
. 国家网信办的监管步骤
网信办的监管遵循“组织App检测-公开通报-个工作日内完成整改-逾期未完成依法处置”步骤,图示如下:
( 网信办App监管步骤示意图)
. 工信部的监管步骤
(工信部侵害用户权益通报流程图解)
二:地方监管部门监管的新趋势
进入年以来,地方监管部门监管的一个明显趋势为,在中央有关部门的统一领导和部署下,天津、浙江、北京等部分省市仿照中央监管体系的分工,在地方网信办的统筹协调下,联合开展个人信息相关监管行动,地方监管体系不断完善,地方监管行动不断加码。从业机构在关注中央部门监管行动的同时,切不可忽视地方监管行动。
三:监管步骤立法的新动态
看完上述实操的App监管步骤外,我们再来看一下年月日发布的《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》第十六条对App监管步骤的规定,其规定的步骤为:
(移动互联网应用程序征求意见稿监管步骤示意图)
可以说,其基本系将前述实操监管步骤的成熟实践上升为规定。
Q:带来什么信号?
行文至此,熟悉《通报》内容的小伙伴,想必已然发现,滴滴出行App被下架,和Q提到的国家网信办的监管步骤咋有点不一样呢?怎么一步到位,直接就下架了呢?
.步骤拆解
根据《通报》内容,我们来拆解滴滴出行App被下架的步骤。
( 滴滴出行App下架步骤示意图)
步骤拆解以后,可以清晰看出,区别主要在于步骤四,没有经过公开通报和限期整改,而是直接下架,再要求整改。新惑再起,一步到位下架App有没有法律依据呢?
.一步到位下架App的法律依据
先说答案:有法律依据。
《网络安全法》第六十四条规定“网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的……情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。”
我们来分解一下,为什么是这条法律依据?
其一,适用条件——侵害个人信息依法得到保护的权利的且情节严重。
《通报》指出,“滴滴出行App存在严重违法违规收集使用个人信息问题”。满足了“侵害个人信息依法得到保护的权利”的条件;而“情节严重”,虽然这里“严重问题”的具体情形是什么,我们暂时不得而知,我们也不妄加揣测,但可以肯定的是,“严重问题”是存在的,是经过检测核实的。那么,“情节严重”基本就不言而喻了。
其二,行政措施——关闭网站。
前述规定中,处罚措施包括“关闭网站”。是直接关闭,不留整改期的关闭。
《网络安全法》第七十六条第一项对“网络”进行了定义,其指出“网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统”。在App语境下,我们理解,“关闭网站”就指向了App下架。相对应的,在情节严重的情况下,《网络安全法》亦没有设置整改期,而是可以直接下架App。
综上,一步到位下架滴滴出行App,是有法律依据的,而且是严格对照法律规定开展的监管行动。
.带来的信号
国家网信办、工信部原有的监管步骤,为大家留下了“知错就改”的空间,但也留下了都会有“知错就改”空间的不完整甚至有些“麻痹”的认知。
一步到位下架滴滴出行App,敲响了警钟。“知错就改还是好孩子”,但“当你足够不好时”,你定当先切实吞下错误的苦果。
而且,别抱有侥幸心理。吞下苦果不是一了百了,还需要尽快改错,不然,更苦的果,就不远了。
Q:App下架后续的影响有哪些?
继年月日网络安全审查办公室通报对“滴滴出行”实施网络安全审查,审查期间“滴滴出行”停止新用户注册后,网传“滴滴不能开具发票”。年月日,国家互联网信息办公室加班加点对“滴滴出行”进行检测,并直接通报并通知应用商店下架App,又引发“是否可以继续使用滴滴”等讨论。
那么App下架究竟会带来哪些影响?
.目前不影响现有用户的正常使用
无论是“滴滴出行”,还是刚公告被实施网络安全审查的“运满满”“货车帮”“BOSS直聘”,网络安全审查办公室的要求均是“停止新用户注册”,并不包含停止App运营的内容。
此外,应用商店系App的分发平台,并不影响已经安装App的用户继续打开、使用App,也不影响通过官网下载等其他途径安装App,因此仅就“下架”而言,亦不影响现有用户的正常使用。
除了新用户注册、新App安装等将受到限制外,App下架并不影响现有用户的正常使用。虽然如此,但出于对个人信息保护方面的担忧,从实际情况而言很可能产生用户主观上拒绝使用App的现实后果,影响企业的业务运营。
.在完成审查整改后,App仍可再次上线
对“滴滴出行”App作出下架决定的是国家互联网信息办公室,对于已下架的App,通常可通过“问题整改”、“邮寄报告”、“技术检测”、“恢复上架”四个流程完成App的重新上架。
在通报下架App的过程中,监管部门通常会告知企业涉及侵害用户权益的具体情形,企业可根据整改通知上所载的相关要求,在自行整改或委托第三方协助整改后,向监管部门邮寄整改报告以启动相应的再次检测流程,并在检测通过后重新通知应用商店恢复App的上架。
需要注意的是,“滴滴出行”的App下架过程非常特殊,系由网信办直接通报下架,并未经过常见的通知整改、申请复测、公开通报、再次复测等常规的App专项整治流程。虽然网络安全审查程序并不包含App下架的内容,但事实上此次下架却更像网络安全审查的后续措施。考虑到App侵害用户权益问题的合规要求繁多、监管部门也会对个保合规的相关要求提出解释口径上的不同意见,“滴滴出行”何时能完成符合监管部门要求的整改工作并重新上架,仍存在很强的不确定性。
Q:关于App个保合规有哪些规定?
根据我们对“个人信息保护”及其相关概念的法规检索与梳理,自年以来,截至年月日,共收集到个通用型(即不涉及具体行业)的法律规范 。纵观以年《网络安全法》实施为界,从分散式立法到体系性立法的阶段性转变,再到目前的专项治理阶段,App个保领域的合规法律体系已经逐渐成型。
App个保合规的专项治理体系,自年月起开始建立,其标志性事件就是四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,决定自年月起至月,在全国范围组织开展App违法违规收集使用个人信息专项治理。
其后,针对App违法违规收集使用个人信息专项治理问题,各部门陆续发布了众多规范、指南,虽然不乏在征求意见阶段就夭折的文件,但其中对个人信息保护提出的合规要求,却或多或少代表着监管对这一问题的主流态度。这些规范、指南包括但不限于:
. 年月,App专项治理工作组制定《App违法违规收集使用个人信息自评估指南》;
. 年月,全国信息安全标准化技术委员会发布《网络安全实践指南-移动互联网应用基本业务功能必要信息规范》;
. 年月,国家市场监督管理总局、中国国家标准化管理委员会发布《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范(草案)》;
. 年月,工业和信息化部发布《关于开展App侵害用户权益专项整治工作的通知》;
. 年月,四部门在《关于开展App违法违规收集使用个人信息专项治理的公告》的基础上,发布《App违法违规收集使用个人信息行为认定方法》;
. 年月,国家市场监督管理总局、中国国家标准化管理委员会发布GB/T -《信息安全技术 个人信息安全规范》;
. 年月,全国信息安全标准化技术委员会发布《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》;
. 年 月,全国信息安全标准化技术委员会发布《网络安全标准实践指南—移动互联网应用程序(App)系统权限申请使用指南》;
. 年月,四部门基于《网络安全法》的规定,发布《常见类型移动互联网应用程序必要个人信息范围规定》;
. 年月,工业和信息化部信息通信管理局就《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》公开征求意见。
除了以上所列的主流专项规范外,不同行业、团体还可能存在相关的行业、团体标准,例如电信终端产业协会曾陆续发布T/TAF -《App收集使用个人信息最小必要评估规范》、T/TAF -《App用户权益保护测评规范》等系列团标,中国人民银行曾于年月发布JR/T -《个人金融信息保护技术规范》行业标准,类似的行业、团体规范也在一定程度上构成App的个保合规义务来源。
此外,即将于年月生效的《数据安全法》,以及正在制定中的《个人信息保护法》等法律,虽然并未直接针对App主题,但也同样对App个保合规问题产生高法律位阶的约束力。
Q:App个保合规的具体指引有哪些?
结合《关于下架“滴滴出行”App的通报》内容来看,两个要点值得关注:
. 主管机关对滴滴出行App进行了检测;
. 下架主要原因为“存在严重违法违规收集使用个人信息问题”。
从网信部门以往通报来看,以今年月日涉及款App违规通报为典型,个人信息保护属于App合规的“重灾区”,且多与《隐私政策》强相关,具体包括(不完整列举):
. 违反必要原则,收集与其提供的服务无关的个人信息。
. 违反必要原则和《常见类型移动互联网应用程序必要个人信息范围规定》,收集与其提供的服务无关的个人信息。
. 未经用户同意收集使用个人信息。
. 未公开收集使用规则。
. 未按法律规定提供删除或更正个人信息功能。
. 未提供删除更正功能和投诉举报渠道。
. 未明示收集使用个人信息的目的、方式和范围等。
可以看到,以上问题多与个人信息收集使用、个人信息主体权利保障、个人信息收集适用规则公示等相关,而该等关键词均反应于App们的《隐私政策》(或称《个人信息保护政策》)之中。另一方面,网信办所称“组织对……部分App的个人信息收集使用情况进行检测”,主要检测要点亦无外乎《隐私政策》文本内容、呈现形式、App与用户交互形式、App实际收集使用个人信息情况等。可见,一份合规的《隐私政策》及其适当的呈现方式,成为了App们应对检测的重中之重。
基于此,App个保合规工作,在法规研学和技术加固之外,很大一部分的内容都围绕《隐私政策》开展,包括隐私政策的制订与更新,隐私政策所载内容在业务运营过程中的实际执行,大白话说来就是“我告诉你我会怎么做”和“我实际上有没有按照我告诉你的去做”。以下我们将尝试从两个视角(App隐私政策文本制作与展示呈现视角,以及App违法违规收集使用个人信息自查视角)来呈现我们的App个保合规指引。
. App隐私政策文本制作与展示呈现视角
隐私政策,是App运营主体如何收集、使用、储存、共享和转让用户个人信息的说明。规范业务收集和使用用户信息是隐私政策的重要使命。隐私政策是连接企业与用户个人信息保护的桥梁,其声明了企业与用户间关于个人信息的基本权利义务。从用户的角度来看,用户可以通过阅读隐私政策来了解企业所收集的信息类型、使用信息的用途以及共享转让方式等内容。而从企业的角度来看,企业对于用户个人信息的保护不仅是履行法律义务和社会责任,同样也是对企业数据使用权利的保护。一份隐私政策的制作与呈现要点,可图解如下:
( App隐私政策文本制作与展示呈现合规要点)
. App违法违规收集使用个人信息自查视角
《关于下架“滴滴出行”App的通报》及网信办的历次通报均提及了“App检测”,其他监管主体(包括工信部、App专项治理工作组等)的App违规通报亦基于“App检测”。此处我们列明App违法违规收集使用个人信息的自评估要点,可作为企业进行App个保合规自查的参考:
(App违法违规收集使用个人信息自评估要点)
特别提示的是,“检测”工作并不依赖于App运营主体的行为配合,检测机构从应用市场下载特定版本的App后即可进行检测,检测覆盖内容除了隐私政策相关合规要点外,还可进一步包括App权限、SDK管理、App应用行为等,且检测/评估依据往往同时包括法律法规、推荐性国标、指南指引乃至各类相关征求意见稿,并将根据个保领域的新规出台而实时调整。
Q:App被点名下架了怎么办?
最后一个问题,也是大家非常关心的一个问题。万一因为App个人信息合规安排不到位,被点名、甚至被下架了,怎么办?
第一步:快速响应
不论是被监管通报存在违法违规收集使用个人信息的情形,还是因情节严重被直接下架,快速响应都是必备的第一步。
及时与监管部门沟通,了解存在的具体问题,结合对App的自查,快速制定整改方案和计划。对于被直接下架的情形,应第一时间公告对此予以回复,回应社会关切,表明整改态度。
第二步:切实整改
在快速响应的基础上,应根据《网络安全法》等法律、《App违法违规收集使用个人信息行为认定方法》《工业和信息化部关于开展纵深推进App侵害用户权益专项整治行动的通知》等规定,结合自身违法违规的具体情节,切实、有效、迅速开展整改。
第三步:积极复测
整改完了,别忘了积极申请复测。毕竟,正常运行不被下架/尽快恢复上架才是最终目的。特别是被下架的App,自己不主动申请,难道等监管部门主动将你上架吗?
无论如何,数据安全和APP的个人信息保护已经成为下一轮监管的重中之重,可以预见,对滴滴出行、运满满、货车帮、BOSS直聘的网络安全审查开启了一轮新的整顿大幕,对各个互联网公司而言,尽早向监管期待的合规方向靠拢才是明智之举。
