App侵犯个人隐私屡禁不止,专家建议大幅提高罚款金额

文 | 《财经》E法 李星郡 编辑 | 鲁伟  

2020年06月19日 19:17  

本文2709字,约4分钟

在“数据为王”的时代,很多企业都把数据当做其最重要的战略资源,其中个人信息的价值尤其可贵,因此很多企业不惜触碰红线,“跑马圈地”。

移动互联网应用程序(App)侵害个人信息问题屡禁不止。近日,针对有媒体曝光手机APP侵害用户权益的问题,工信部对相关企业进行了集中约谈,并要求完成整改,逾期不整改的,将依法依规组织开展相关处置工作。

近年来,App侵害用户权益的问题较为突出。5月26日,APP专项治理工作组发布的《APP违法违规收集使用个人信息专项治理报告(2019)》(下称《APP违法违规报告》)显示,工信部在2019年对236款APP运营者下发整改通知书,公开通报56款APP、下架3款APP;公安部方面则整改2090款APP,查处1121款APP,集中曝光100款存在违法违规收集使用个人信息行为的APP。

上海交通大学数据法律研究中心执行主任何渊向《财经》E法指出,专项治理工作成效显著,但还是有很多APP存在问题。

2300余款APP被举报,涉及五大典型问题

《APP违法违规报告》显示,截至2019年底,微信公众号“APP个人信息举报”共收到网民举报信息12125条,涉及2300余款APP。从举报量来看,前五大典型问题分别为:超范围收集与功能无关个人信息、强制或频繁索要无关权限、存在不合理免责条款、无法注销账号、默认捆绑功能并一揽子同意。

APP专项治理工作组发现违法违规收集使用个人信息问题共计6976 个,向256款APP的运营者通报问题,督促其完成1267个重点问题的整改工作,建议有关监管部门下架未落实整改要求APP共11款。

APP专项治理工作组还表示,督促有关APP运营者整改的工作还在持续进行。

在目前已经通报过的侵害用户权益行为的APP中,腾讯QQ、QQ阅读、新浪体育、小米金融、光大银行、房天下、微店、考拉海购等多个知名软件在列,人人视频、春雨计步器、微唱-原创音乐等APP还曾因未按要求完成整改被下架过。

与此同时,各部门也印发了《互联网个人信息安全保护指南》《APP违法违规收集使用个人信息行为认定方法》《信息安全技术个人信息安全规范》等,对App违法收集个人信息行为进行认定和治理。

此外,一系列的草案、征求意见稿也相继发布,包括《移动互联网应用程序(APP)收集个人信息基本规范(草案)》《数据安全管理办法(征求意见稿)》《个人信息告知同意指南(征求意见稿)》《网络安全标准实践指南—移动互联网应用程序(APP)收集使用个人信息自评估指南(征求意见稿)》等。

屡禁不止源于违法成本太低?

在诸多法律法规以及专项治理之下,为何APP 侵害用户权益的行为仍时有发生?

一位互联网行业人士向《财经》E法指出,一般企业收集信息不会明目张胆地把信息卖出去,但是可以通过数据分析的方式给用户画像,从而推送精准广告以及进行销售转化。

另一位广告从业者对《财经》E法介绍,APP收集信息后会对用户行为贴标签,所以APP的界面是千人千面,比如收集地理位置信息就会有地域标签,成为推送逻辑中的一部分。

事实上,精准广告是很多企业,尤其是互联网企业极为看重的。不过,隐私政策正对其构成威胁。

2020年1月,Facebook首席执行官扎克伯格坦言,数据保护和隐私监管制度对公司的广告定点投放造成了一定的影响,也对公司整体的营收起到了负面作用。

中国人民公安大学信息网络安全学院讲师袁得嵛对《财经》E法分析,在“数据为王”的时代,很多企业都把数据当做其最重要的战略资源,其中个人信息的价值尤其可贵,因此很多企业不惜触碰红线,“跑马圈地”。

何渊补充表示,当前APP个人信息保护相关法律还不健全,比如,刑法还没法对APP个人信息非法收集进行规制,立法层面能作为依据的只有《网络安全法》,但处罚力度又比较小;目前有不少部门规范性文件,但没有罚则,这也就意味着没有锋利的牙齿震慑这一类行为。

《网络安全法》规定:窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得1倍以上10倍以下罚款,没有违法所得的,处100万元以下罚款。

对此,何渊指出,上述条款对APP非法收集问题适用不足,比如违法所得无法判断,即便没有违法所得按照最高100万处罚,收益也远大于违规成本,而且实际上一般罚款只有十几万元,监管机构也不会顶格处罚。

2020年4月,江苏省宿迁市公安局对一家健身中心进行现场监督检查发现,这家健身中心有5家门店,共收集存储了2万多名会员的姓名、手机号码、人脸照片、指纹等个人信息。随后,健身中心被责令限期整改,并处警告,但没有罚款。

专家建议大幅提高罚款金额

面对APP违法违规收集使用个人信息的乱象,如何进行规范?

袁得嵛建议:一是尽快完善隐私保护的法律体系,可以借鉴欧盟《通用数据保护条例》(GDPR)中对何谓有效的“个人同意”严格要求,明晰过度采集行为的责任范围;二是建立全链条的个人信息保护机制,用户侧提高安全意识、终端侧增强设备信息防护能力、应用分发服务商完善应用审核和上架机制、移动应用产业落实主体责任、执法部门加强对违规APP和新应用的监管。

袁得嵛解释,在“个人同意”的认定上,欧盟的法规做了非常严格的规定,个人沉默、预先勾选和静止状态均不足以认定个人表达了“同意”;而中国之前的法律法规包括意见规范不够明晰。

何渊强调,最终解决方式还是要通过高额罚款,既让企业有痛感,又不至于影响根基,期待未来《个人信息保护法》和《数据安全法》有一些突破,尤其是大幅提高罚款。只要处罚金额上去,监管机构内部会随之细化裁量基准,做出相应处罚。

GDPR对数据控制者或数据处理者的行政罚款分为轻重两类。较轻的一类,处罚上限也高达1000万欧元或全球营收的2%之中的高者(针对不需要识别的处理规定,以及一般性义务等);较重的一类是2000万欧元或全球营收的4%之中的高者(针对违反处理个人信息的原则,数据主体权利等)。

而美国联邦贸易委员会(FTC)此前与Facebook达成了50亿美元的罚款协议,终结FTC对Facebook致8700万用户信息泄露事件的调查等。

巨额罚款之后,扎克伯格表示2020年将把隐私问题作为一个工作重点。

何渊认为,中国没有集体诉讼制度,但检察院可以针对涉及面广的重大数据泄漏案件,提起行政公益诉讼或者民事公益诉讼。

2019年6月,上海市检察机关曾向10家APP运营商发出检察建议书,要求其加强用户个人信息保护;同时,检察机关向应用商店也发出检察建议书,督促其履行监督管理责任,并视情节对违反规定的APP采取警示、暂停发布、下架等措施予以督促整改。