2019年我国个人信息与隐私保护十大法治事件

发布时间：2020年01月22日

中国通信学会网络安全战略与法律委员会联合法制网、“中国数字经济安全与发展50人论坛”组委会、中国政法大学法商大数据研究中心、浙江大学当代中国话语研究中心、南京邮电大学信息产业发展战略研究院以及北京高通律师事务所通过对全年个人信息和隐私保护法治事件的跟踪、研究和评估,发布“2019年我国个人信息与隐私保护十大法治事件”。

2019年,我国网络与信息法治领域深入贯彻习近平主席关于“国家网络安全工作要坚持网络安全为人民、网络安全靠人民,保障个人信息安全,维护公民在网络空间的合法权益”的重要指示精神,落实党的十九届四中全会精神,重点整治广大网民反应强烈的侵犯个人信息和网络违法犯罪等突出问题,完善和出台相关立法和规定,取得了可喜成绩。

一、中央网信办等四部委联合开展App违法违规收集使用个人信息专项治理

近年来,移动互联网应用程序(App)得到广泛应用,在促进经济社会发展、服务民生等方面发挥了不可替代的作用;同时,App强制授权、过度索权、超范围收集个人信息的现象大量存在,违法违规使用个人信息的问题十分突出,广大网民对此反映强烈。为切实治理个人信息保护方面存在的乱象。2019年1月25日,中央网信办、工信部、公安部、市场监管总局等四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,决定自2019年1月至12月,在全国范围组织开展App违法违规收集使用个人信息专项治理。

四部委APP专项治理将重点从四个方面展开:一是组织相关专业机构,对用户数量大、与民众生活密切相关的App隐私政策和个人信息收集使用情况进行评估;二是加强对违法违规收集使用个人信息行为的监管和处罚,包括责令有关App运营者限期整改;逾期不改的,公开曝光;情节严重的,依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;三是公安机关开展打击整治网络侵犯公民个人信息违法犯罪专项工作,依法严厉打击针对和利用个人信息的违法犯罪行为;四是开展自愿性App个人信息安全认证,鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的App。

二、工信部开展对APP侵害用户权益的专项整治行动

为深化和巩固前期四部委开展APP违法违规收集使用个人信息专项治理行动的成果,工信部于2019年11月再次重拳出击开展对APP侵害用户权益的专项整治行动。工信部此次组织开展的APP侵害用户权益专项整治工作,坚持问题导向,聚焦人民群众反映强烈和社会高度关注的侵犯用户权益行为,重点对四个方面8类问题开展规范整治工作。

一是违规收集用户个人信息方面:1)“私自收集个人信息”。即APP未明确告知收集使用个人信息的目的、方式和范围并获得用户同意前,收集用户个人信息;2)“超范围收集个人信息”。即APP收集个人信息,非服务所必需或无合理应用场景,超范围或超频次收集个人信息,如通讯录、位置、身份证、人脸等。

二是违规使用用户个人信息方面:3)“私自共享给第三方”。即APP未经用户同意与其他应用共享、使用用户个人信息,如设备识别信息、商品浏览记录、搜索使用习惯、常用软件应用列表等;4)“强制用户使用定向推送功能”。即APP未向用户告知,或未以显著方式标示,将收集到的用户搜索、浏览记录、使用习惯等个人信息,用于定向推送或精准营销,且未提供关闭该功能的选项。

三是不合理索取用户权限方面:5)“不给权限不让用”。即APP安装和运行时,向用户索取与当前服务场景无关的权限,用户拒绝授权后,应用退出或关闭;6)“频繁申请权限”。即APP在用户明确拒绝权限申请后,频繁申请开启通讯录、定位、短信、录音、相机等与当前服务场景无关的权限,骚扰用户;7)“过度索取权限”。即APP在用户未使用相关功能或服务时,提前申请开启通讯录、定位、短信、录音、相机等权限,或超出其业务功能或服务外,申请通讯录、定位、短信、录音、相机等权限。

四是为用户账号注销设置障碍方面:8)“账号注销难”。即APP未向用户提供账号注销服务,或为注销服务设置不合理的障碍。

广东省通信管理局是全国最早开展对APP侵害用户权益治理的监管单位,2019年“3·15”前夕广东省通管局就抽查了辖区内各大应用商店,重点排查收集用户信息的违规行为。广东省通信管理局还广州、深圳市等十五家企业及个人的应用商店(平台)合计138款App下发了责令整改通知书。北京市通信管理局严格落实工信部相关工作要求,12月11日就APP数据安全问题集中约谈了百度、360手机卫士、猎豹安全大师、爱奇艺、搜狗输入法、知乎、36氪、去哪儿、春雨医生、新东方在线等17家App企业,对企业违规收集使用用户信息、强制授权等问题提出书面整改要求,要求限期整改。

三、App专项治理工作组发布《App违法违规收集使用个人信息行为认定方法(征求意见稿)》

为了落实《关于开展App违法违规收集使用个人信息专项治理的公告》,App专项治理工作组在中央网信办、工信部、公安部、市场监管总局指导下,开展了App违法违规收集使用个人信息安全评估,发现一些App存在强制授权、过度索权、超范围收集个人信息等问题。为了明确界定App收集使用个人信息方面的违法违规行为,为App运营者自查自纠提供指引,为App评估和处置提供参考,App专项治理工作组于2019年5月5日起草了《App违法违规收集使用个人信息行为认定方法(征求意见稿)》(以下称:《认定方法》),并向社会公开征求意见。

《认定方法》对App违法违规收集使用个人信息行为的七大情形做出了认定,一是对没有公开收集使用规则的情形;二是没有明示收集使用个人信息的目的、方式和范围的情形;三是未经同意收集使用个人信息的情形;四是违反必要性原则,收集与其提供的服务无关的个人信息的情形;五是未经同意向他人提供个人信息的情形;六是未按法律规定提供删除或更正个人信息功能的情形;七是侵犯未成年人在网络空间合法权益的情形。

四、《信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)》公布

为落实《网络安全法》对个人信息保护的相关要求,全国信息安全标准化技术委员会秘书处于2019年8月8日发布《信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)》向社会征求意见。

《草案》明确要求,App不得收集与所提供的服务无关的个人信息。对外共享、转让个人信息前,App应事先征得用户明示同意。App应对其使用的第三方代码、插件的个人信息收集行为负责。《草案》规定了21种常用APP类型可收集的最少信息,其中明确可收集的最少信息中包含个人身份信息的的APP类型有网络约车、网络支付、交通票务、金融借贷、房屋租售、二手车交易等;即时通讯、博客论坛、新闻资讯、短视频等类别仅对公众账号信息发布服务使用者收集个人身份信息,求职招聘类仅对招聘者用户收集个人身份信息,问诊挂号类则仅对患者收集身份信息。根据《草案》,“最少信息”是指保障某一服务类型正常运行所必需的个人信息,包括与服务类型直接相关,一旦缺少将导致该类型服务无法实现或无法正常运行的个人信息,以及法律法规等规范性文件要求必须收集的个人信息。

《草案》还要求,地图导航、网上购物、快递配送、餐饮外卖、婚恋相亲、运动健身类等APP如要收集个人身份信息,需要征得用户明示同意。浏览器、输入法、安全管理这三类APP可收集的最少信息只有网络日志一项。《草案》明确,当用户同意App收集某服务类型的最少信息时,App不得因用户拒绝提供最少信息之外的个人信息而拒绝提供该类型服务。当收集个人信息超出服务类型的最少信息时,超出部分的个人信息,App应逐项征得用户明示同意等。

五、民法典人格权编(草案)》强化对个人隐私权和个人信息保护的力度

2019年8月22日,第十三届全国人民代表大会常务委员会召开第十二次会议,《民法典人格权编(草案)》(三次审议稿)(以下简称“草案三审稿”)提请审议。草案三审稿中对“隐私权和个人信息保护”章节进行了部分改动,进一步升级了对隐私权和个人信息保护,比如:除法律另有规定或者权利人同意外,任何组织或者个人不得搜查、进入、窥视、拍摄他人的住宅、宾馆房间等私密空间;将自然人的“电子邮箱地址”和“行踪信息”纳入个人信息的范围等。

“草案三次审议稿”第八百一十四条规定:收集、处理自然人个人信息的,应当遵循合法、正当、必要原则,并应当符合下列条件:(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;(二)公开收集、处理信息的规则;(三)明示收集、处理信息的目的、方式和范围;(四)不违反法律、行政法规的规定和双方的约定。

“草案三次审议稿”确定了自然人“更正权和删除权”的保障义务,第八百一十五条规定:“自然人可以向信息控制者依法查阅、抄录或者复制其个人信息;发现信息有错误的,有权提出异议并要求及时采取更正等必要措施。自然人发现信息控制者违反法律、行政法规的规定或者双方的约定收集、处理其个人信息的,有权要求信息控制者及时删除其个人信息。”

六、个人信息出境安全评估办法(征求意见稿)》发布

2019年6月,国家互联网信息办公室发布《个人信息出境安全评估办法(征求意见稿)》(以下简称《办法》),《办法》界定了个人信息出境的行为,明确了网络运营者和个人信息接收者的职责,细化了个人信息出境安全评估的内容。《办法》全文共二十二条,明确了个人信息出境申报评估要求、申报材料、重点评估内容、个人信息出境记录、出境合同内容及权利义务要求、安全风险及安全保障措施分析报告内容要求等要求。

《办法》明确了个人信息出境安全评估重点评估的内容包括,1.是否符合国家有关法律法规和政策规定;2.合同条款是否能够充分保障个人信息主体合法权益;3.合同能否得到有效执行;4.网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件;5.网络运营者获得个人信息是否合法、正当;6其他应当评估的内容。随着《办法》的出台,将对保障个人信息安全、规范个人信息出境依法有序的流动,具有重大的指导意义。

七、国家网信办公布《数据安全管理办法(征求意见稿)》

2019年5月28日,国家网信办公布《数据安全管理办法(征求意见稿)》(以下称:《办法》),《办法》突出的亮点是,让个人数据保护有章可循。《办法》特别强调了用户的选择权,明确要求“制定并公开个人信息收集使用规则”,强调“如果收集使用规则包含在隐私政策中,应相对集中,明显提示,以方便阅读”,突出信息使用规则的重要性,以便个人信息主体享有充分选择权。

《办法》对个人信息收集和使用的规则提出了十二字原则:“明确具体、简单通俗、易于访问”,具体突出以下内容,一是网络运营者基本信息;二是网络运营者主要负责人、数据安全责任人的姓名及联系方式;三是收集使用个人信息的目的、种类、数量、频度、方式、范围等;四是个人信息保存地点、期限及到期后的处理方式;五是向他人提供个人信息的规则,如果向他人提供的;六是个人信息安全保护策略等相关信息;七是个人信息主体撤销同意,以及查询、更正、删除个人信息的途径和方法;七是投诉、举报渠道和方法等。

八、我国首部《儿童个人信息网络保护规定》正式实施

2019年8月22日,国家互联网信息办公室发布了《儿童个人信息网络保护规定》(以下简称《规定》),并于2019年10月1日起实施,这是我国首部专门针对儿童个人信息网络保护的立法。

《规定》确定了网络运营者收集、存储、使用、转移、披露儿童个人信息的“五大原则”,即正当必要、知情同意、目的明确、安全保障、依法利用。《规定》要求,对儿童个人信息的收集和使用等,应当以显著、清晰的方式告知儿童监护人,并征得儿童监护人的同意。针对网络运营者信息访问权限设定和内部管理制度以及委托第三方处理、向第三方转让、披露儿童个人信息等涉及儿童个人信息处理全链条的相关行为,《规定》作出了全面而细致的义务性规定。《规定》还要求网络运营者应当在内部设立专门针对儿童的个人信息保护规则,对外应当制定专门的用户协议,网络运营者内部还应当设有专人负责儿童个人信息网络保护事宜。

《规定》特别规定,网络运营者发现儿童个人信息发生或者可能发生泄露、毁损、丢失的,应当立即启动应急预案,采取补救措施;造成或者可能造成严重后果的,应当立即向有关主管部门报告,并将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的儿童及其监护人,难以逐一告知的,应当采取合理、有效的方式发布相关警示信息。

九、浙江省台州市中级人民法院裁定一起中国电信用户信息倒卖大案

2019年9月19日,浙江省台州市中级人民法院二审裁定一起中国电信用户信息倒卖大案。经法院二审审理查明:2013年至2016年9月27日,被告人陈亚华从号百信息服务有限公司(为中国电信股份有限公司的全资子公司)数据库获取区分不同行业、地区的手机号码信息提供给陈德武,被告人陈德武以人民币0.01元/条至0.2元/条不等的价格在网络上出售,获利金额累计达人民币2000余万元,涉及公民个人信息2亿余条。

法院一审法院判定,依照《中华人民共和国刑法》第二百五十三条之一、第二十五条第一款、第二十六条第一、四款、第二十七条、第六十七条第三款、第六十四条、第七十二条第一、三款、第七十三条第二、三款及《最高人民法院、最高人民检察院〈关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释〉》第四条、第五条第一款第(五)项、第(八)项、第二款第(三)项之规定,以侵犯公民个人信息罪,分别判处被告人陈德武有期徒刑四年六个月,并处罚金人民币一百万元;判处被告人陈亚华有期徒刑四年三个月,并处罚金人民币一百万元;判处被告人姜福乾有期徒刑三年二个月,并处罚金人民币三十万元;判处被告人杨奚有期徒刑三年,并处罚金人民币十万元;判处被告人王玉有期徒刑二年四个月,缓刑三年,并处罚金人民币十万元;被告人陈德武、陈亚华犯罪所得人民币2000万元,被告人姜福乾犯罪所得人民币14508.6元,被告人杨奚犯罪所得人民币30万元,依法予以追缴,上交国库。已扣押的作案工具电脑主机、笔记本电脑、手机等,依法予以没收。二审驳回上诉,维持原判。

十、2019网剑行动加大对个人信息保护力度

2019年6月至11月,市场监管总局、发展改革委、工业和信息化部等8部门联合开展2019网络市场监管专项行动(网剑行动),“网剑行动”的宗旨是:保护消费者和经营者合法权益,提升网络商品和服务质量,促进电子商务持续健康发展。

“网剑行动”要求,依法打击其他各类网络交易违法行为,有效净化网络市场环境。落实《电子商务法》、《网络安全法》、《消费者权益保护法》、《价格法》、《网络购买商品七日无理由退货暂行办法》等相关规定,畅通消费投诉举报渠道,保护消费者知情权和选择权,加大对不正当价格行为、不公平格式条款、不依法履行七日无理由退货义务等侵害消费者权益行为的打击力度。

今年,“网剑行动”全方位多渠道加大对个人信息保护力度,规范涉及个人信息的合同格式条款;严肃查处未经同意收集、使用、过度收集或泄露、非法出售、非法向他人提供个人信息行为,依法查处不履行个人信息保护义务、为网络违法犯罪提供支持帮助的网络平台;严厉打击侵犯公民个人信息犯罪,切实防范大数据技术对个人信息的滥用。

(执笔人:中国通信学会网络安全战略与法律委员会副主任 王春晖教授)