App合规监管的背后:监管者的分工与责任.
数字经济时代,移动互联网应用(App)得到广泛应用,在促进经济社会发展、服务民生方面发挥了不可替代的作用。与此同时,App诱导下载、强制授权、超范围收集个人信息等现象大量存在,涉及的网络安全和数据合规问题也受到监管机构的高度重视。
当下,开发使用App的不仅是互联网企业,消费、金融、地产、医疗等诸多行业都将App作为推动主营业务的工具之一。随着个人信息保护监管力度加强,App合规治理受到不同机构的多方监管。《网络安全法》第八条规定,我国网信部门负责统筹协调网络安全工作和相关监督管理工作,国务院电信主管部门、公安部门和其他有关机关在各自职责范围内负责网络安全保护和监督管理工作。
一、国家互联网信息办公室
在职权划分方面,首先需要明确的是,网信办属于网络个人信息保护的统筹和协调机关。2017年实施的《网络安全法》明确规定由网信部门负责统筹协调网络安全工作和相关监督管理工作。个人信息保护属于网络信息安全的一部分,也是网络安全的重要议题之一。因此,各机构在这一领域的监管工作同样由网信办负责统筹。[1]
其次,网信办主要针对“互联网信息内容”实施监管。2012年,在网信办成立之初,国务院新闻办公室就官宣其主要职责是“落实互联网信息传播方针政策,指导协调和督促有关部门加强互联网信息内容管理”。[2]2014年国务院正式发文授权网信办负责全国互联网信息内容的管理和执法监督工作。[3]
二、工业和信息化部
工业和信息化部(“工信部”)属于国务院部委,下设的信息通信管理局(“信管局”)为电信管理机构,负责具体监管电信和互联网市场的用户个人信息保护。[6]各行政区域分设有地方信管局。
在互联网个人信息保护方面,法律法规赋予了工信部信管局更为明确的监管职权。不同于网信办对网络信息安全的统筹协调职能,《网络安全法》和《电信条例》明确信管局作为电信管理机构,具体负责电信与互联网领域的网络信息安全保护与监管。《电信和互联网用户个人信息保护规定》第三条也明确指定信管局依法对电信与互联网用户个人信息保护工作实施监督管理。
首先,信管局借助用户举报、专家评议、App专项治理工作组和App监管平台等渠道,持续监督检查互联网企业的个人信息安全违规问题。
其次,对首次检查发现问题的企业,信管局通常会下发整改通知书,责令企业限期整改。对于整改不彻底的企业,信管局将进行通报曝光,再次督促整改。截至2021年3月12日[9],工信部已经发布12批违规App通报。
三、公安机关
网络用户个人信息安全属于公安机关网络安全保卫部门的监管范围。从2019到2020年,公安部连续两年开展“净网”专项行动,2020年侦办的侵犯公民个人信息类案件达到6524起。[10]
在行政处罚方面,公安机关主要针对未履行个人信息保护义务导致信息泄露,以及非法出售或向他人提供个人信息的情形,由公安机关没收违法所得、并处罚款。除此之外,公安机关有权依法对涉嫌犯罪的企业与工作人员进行刑事侦查。
四、市场监督管理局
2021年5月1日即将生效实施的《网络交易监督管理办法》进一步明确了网络交易经营者对消费者个人信息的保护义务。在网络交易活动中提供网络经营场所、交易撮合、信息发布等服务的企业,都属于网络交易经营者的范围。
在监管内容方面,市场监督管理局着重审查与消费者知情权、自主选择权、公平交易权相关的内容。比如,交易经营者是否通过“一次概括授权、默认授权、与其他授权捆绑和停止安装使用等方式强迫或者变相强迫消费者同意收集、使用与经营活动无直接关系的信息”。同时,交易经营者“收集、使用个人生物特征、医疗健康、金融账户、个人行踪等敏感信息也应当逐项取得消费者同意”。
市场监督管理局的监管措施主要包括约谈、责令限期改正、行政罚款,以及组织与其他部门联合执法。2019年,市场监管总局组织开展“守护消费”暨打击侵害消费者个人信息违法行为专项执法行动,全年共立案查处各类侵害消费者个人信息案件1474件,查获涉案信息369万余条,罚没款1946万余元;组织执法联动4225次,开展行政约谈3536次。
五、APP专项治理工作组
App专项治理工作组是受四部门委托成立的非政府机构,不具有行政职权,但其有权制定个人信息保护的技术规范和标准文本,所提出的意见为监管部门监测网络违规行为、界定违法收集情形提供了重要参考。
2019年1月,中央网信办、工信部、公安部、市场监管总局四部门联合发布了《关于开展App违法违规收集使用个人信息专项治理的公告》。受四部门委托,全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会联合成立App专项治理工作组,负责对用户数量大、与民众生活密切相关的App隐私政策和个人信息收集使用情况进行评估。
实务中,App专项治理工作组通过设立“App个人信息举报”微信公众号和举报专用邮箱(pip@tc260.org.cn),搜集并受理公众举报信息,同时组织专业机构,对App收集使用个人信息情况进行专业评估。
因此,App专项治理工作组可以被理解为四部门在App个人信息治理领域的“民间幕僚”,通过评估现状、搜集线索、提供建议,辅助行政机构对App合规治理和个人信息保护进行有效监管。
