探索公益诉讼多维度保护App所涉个人信息(3)
屠春含
就个人信息保护而言,检察机关可以探索向行政监管部门或者App开发者等主体制发检察建议,维护公共利益;探索公益诉讼途径,妥善引入惩罚性赔偿制度等;开展以案释法工作,提高个人信息防范意识。
近年来,移动应用程序(下称App)被广泛使用。有数据显示,截至去年年底,我国第三方应用商店分发App累计数量超过1.57万亿次。App给中国网民带来巨大便利的同时,很多人也因此遭遇了个人信息泄露。当前,围绕个人信息的非法获取、出售、非法提供、非法利用,已形成了非法产业链。其中,侵犯个人信息的违法犯罪居于上游,中游、下游滋生出电信诈骗、金融诈骗、敲诈勒索、非法拘禁、绑架等犯罪,成为一个不容忽视的社会问题。保护公民个人信息,不仅有助于维护公民合法权益,对维护社会稳定、防控社会风险也具有重要作用。
2018年以来,上海市检察机关公益诉讼检察部门组成专案组集中办案,先后调查分析了注册地在沪的留学、教辅、育儿、网校、就业招聘、理财、网购等与民生密切相关的近30款App,总结出部分App存在以下问题:
一是以默认方式获取个人信息授权。部分App在用户安装、注册或首次开启时,未主动提醒用户阅读隐私政策;收集使用个人信息、个人敏感信息以默认方式获得授权,未经用户主动填写、点击、勾选等自主选择同意,有的甚至在不醒目之处标识“一经使用即同意授权”。
二是强制索权或过度索取个人信息。有的App,如果用户不开启部分敏感信息收集权限就无法使用;有的个人信息收集与业务功能无直接关系,收集必要性存疑。而作为个人,面临选择全盘接受或选择离开的困境。
三是未清晰说明收集信息的种类等问题。收集个人信息、个人敏感信息通常都是基于一定的业务功能,但很多App都是笼统表述,用“例如”“等”表述,收集个人信息的范围边界不清;对于个人身份证号码、银行账号、通信记录、行踪轨迹、交易信息等个人敏感信息没有进行显著标识(如字体加粗、标星号等);缺少个人信息存放地域、是否明文保存、存储期限等方面的说明;涉及个人信息出境情况的没有显著标识。
四是未清晰说明如何使用个人信息。很多个人信息的使用名义上都是为了让用户有更好的体验,但实际上很多App运营者将个人信息用于用户画像、个性化展示等,基于用户的特定行为推送特定的广告,影响用户体验。而隐私政策中没有明确共享、转让、公开披露个人信息的规则,也未说明是不是进行了脱敏处理,更没有说明其应用场景和可能对用户产生的影响。
五是用户个人信息缺乏删除、更正机制。有的App无法提供注销账号的途径,注销账号后是否及时删除个人信息不明确;查询、更正、删除个人信息途径不明;用户个人信息权利保障、申诉渠道未建立;隐私政策时效、更新后的告知不规范。
针对上述问题,建议通过以下几个方面进一步加强App所涉公众的个人信息保护工作:
一要进一步明确规则,探索公益诉讼,形成多维度保护合力。目前,我国刑法、民法总则、行政法等法律法规对公民个人信息从不同角度予以保护,初步建立了我国公民个人信息保护制度。如:民法总则规定自然人的个人信息受法律保护。侵权责任法规定网络服务提供者利用网络侵害他人民事权益的,应承担侵权责任。消费者权益保护法、网络安全法要求收集使用公民个人电子信息时遵循合法、正当、必要原则,明示收集使用信息的目的、方式和范围。这些制度在公众个人信息保护方面发挥了重要作用,但与大数据、AI等技术的迅猛发展态势相比,还需要进一步完善,及时修法予以规范,以形成多维度的保护合力。一是完善相应立法与行业规范。加快个人信息保护法的立法工作,明确个人信息权的内容和个人信息征集使用的原则,规范个人信息处理主体在信息收集、传输等方面的权利义务,并且对个人信息处理主体的法律责任作出明确规定。完善现行网络安全法规定,提高罚款额度,增加App运营方主要负责人的禁业限制条款。App运营者对所获得的用户个人信息的保护标准以及因用户个人信息泄露应当采取的补救措施等进行细化。二是探索公益诉讼途径。不仅要用好用足行政管理、刑事处罚等手段,也可尝试将其纳入公益诉讼探索的范围,既可以探索民事公益诉讼,也可以探索行政公益诉讼。对消费者保护组织等提起的消费公益诉讼,检察机关要积极予以支持起诉。对负有监管职责的行政机关违法行使职权或者不作为,致使国家利益或者社会公共利益受到侵害的情形,检察机关应启动监督程序。同时,要妥善引入惩罚性赔偿制度、举证责任倒置制度等符合个人信息保护工作需求的措施。
法务网咨询平台(长按图片识别小程序)