中国信息通信研究院

针对App个人信息保护的现实需求，应该加快出台专门的保护规则

随着2021年9月1日《数据安全法》和11月1日《个人信息保护法》先后正式生效施行，对App个人信息保护治理工作提出了新的要求。站在建党百年和“十四五”开局之年的历史交汇点，应坚持以人民为中心的发展原则，落实相关法律法规要求，补齐制度短板，完善治理机制，推动形成政府、企业、相关社会组织、公众共同参与App个人信息保护的良好环境，为经济社会高质量发展提供有力支撑。

随着《数据安全法》《个人信息保护法》出台施行，我国个人信息保护法律体系基本形成。但相比其他行业和领域，移动互联网领域有创新能力强、迭代周期短、形态变化多样等特征，小程序、快应用、H5页面等新应用形态不断出现，SDK、加固壳等新对象不断增加，麦克风窃听、通信录窃取、相册非授权读写等新问题不断曝出，行业持续快速发展带来了监管问题和监管对象的动态性变化，而立法调整本身具有滞后性，这种动态变化使得App个人信息保护治理工作中的监管依据及时性问题进一步凸显，增加了专项治理的难度。与此同时，无论是《网络安全法》《数据安全法》还是《个人信息保护法》，作为国家层面的法律，规定相对比较原则，对以App为主要形式的移动互联网创新应用监管针对性不足。

《个人信息保护法》规定，履行个人信息保护职责的部门组织对应用程序等个人信息保护情况进行测评，并公布测评结果。《数据安全法》规定，国家统筹发展和安全，坚持以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展。可以预见的是，在《个人信息保护法》《数据安全法》实施以后，推动相关制度要求的细化落地将是未来一项重要工作。为落实上位法的制度要求，对于此前出台施行的《电信和互联网用户个人信息保护规定》《儿童个人信息网络保护规定》等部门规章以及相关管理规定，需要做相应的修改和调整，尤其是将《个人信息保护法》的法律要求转化为本行业本领域具体规则。

与此同时，顺应移动互联网技术演进和产业发展趋势，针对App个人信息保护的现实需求，需要加快出台专门的保护规则。此前，工业和信息化部牵头起草《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》并向社会公开征求了意见，提出了“知情同意”和“最小必要”两项App个人信息保护基本原则，强化了App开发运营者等五类主体义务，规定了责令整改、社会公告等四项处置措施，细化了处置流程。《暂行规定》划清了底线，明确了监管边界，社会各界高度评价，呼吁早日出台施行。

此外，随着App个人信息保护治理工作的深入推进，也将推动相关标准体系的持续完善。只有标准化，才能实现监管检测的自动化、智能化。目前来看，已经发布的标准主要以团体标准为主，为进一步发挥标准的引领支撑作用，需要及时修订完善和升级。一方面，推动将《App用户权益保护测评规范》系列标准和《App收集使用个人信息最小必要评估规范》系列标准上升为行业标准，在完成前期《电信和互联网服务用户个人信息保护技术要求第1部分定义及分类分级》国家标准基础上，进一步细化不同类型、级别信息的保护要求。另一方面，为适应各类新型互联网服务的快速发展，逐步完善《电信和互联网服务用户个人信息保护》系列行业标准，明确各类个人信息在实际业务场景中的收集、使用等要求。同时，终端、SDK、分发平台等有关权限管控、集成接口、上架明示等配套标准目前还处于空白，未來也有待补充，与现有App个人信息保护相关标准进行有效衔接。

开展App个人信息保护治理是各有关主管部门履行用户权益保护以及行业监管等职责的应有之义，涉及网信、电信、公安等多方面的监管工作。《个人信息保护法》第六章规定了履行个人信息保护职责的部门，明确国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作;国务院有关部门依照《个人信息保护法》和有关法律、行政法规的规定，在各自职责范围内负责个人信息保护和监督管理工作;县级以上地方人民政府有关部门的个人信息保护和监督管理职责，按照国家有关规定确定。此外，《个人信息保护法》进一步规定了履行个人信息保护职责的部门应当履行的个人信息保护职责，包括开展个人信息保护宣传教育、指导监督个人信息保护工作、接受处理相关投诉举报、组织对应用程序进行测评、调查处理违法个人信息处理活动等。

2021年11月1日起，《个人信息保护法》正式生效施行。对履行个人信息保护职责的部门而言，在App个人信息保护治理方面，需要进一步加强部门协调，完善治理机制：一是各主管部门间的协调治理机制。按照《个人信息保护法》相关规定，在履行个人信息保护职责的部门中，既有统筹协调部门，如国家网信部门;也有行业主管部门，如国务院电信、公安、市场监管等部门。由于我国目前还没有独立的个人信息保护专门机构，未来国家层面仍需要各履行个人信息保护职责的部门之间的协同治理，根据各部门三定方案和法律法规的授权，在各自职责范围内做好个人信息保护和监督管理工作。二是中央和地方之间建立部省联动治理机制。App个人信息保护治理工作数量大且类型复杂多变，仅靠国家层面监管力量有限，《个人信息保护法》也规定了县级以上地方人民政府有关部门的个人信息保护和监督管理职责。因此，落实属地管理责任，形成统一发声、统一监管的合力，破解工作难题，建立从全国到地区的整体监管体系，是未来App个人信息保护治理的必然趋势。三是专项治理加长效治理相结合的治理机制。从我国App个人信息保护治理趋势来看，短期内，专项治理工作还将存在，特别是针对App行业发展面临的突出问题、薄弱环节，例如私自收集个人信息、不给权限不让用、SDK违规处理用户个人信息、欺骗误导用户等社会广泛反映的典型问题，开展专项治理确有必要，有利于对症下药、精准发力，切实解决问题。但长远来看，坚持系统谋划，“专项整治和长效治理相结合”的监管模式才是长久之计，从“局部监管、突出问题”转为“全流程、全链条、全主体”监管，以有效提升个人信息保护监管水平。

我国《个人信息保护法》规定，国家建立健全个人信息保护制度，预防和惩治侵害个人信息权益的行为，加强个人信息保护宣传教育，推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。App个人信息保护治理工作是国家、社会、企业以及用户的共同责任，需要政府、行业、企业等多元主体共治、齐抓共管、群策群力、良性互动，从不同的角度发挥各自重要作用，共同营造良好发展环境，推动行业发展行稳致远。

随着《个人信息保护法》进入施行阶段，各相关主体也将围绕App个人信息保护治理工作履行各自的角色职责。一是政府部门积极履行个人信息保护和监督管理职责，推进治理创新。App个人信息保护治理工作需要公权力发挥主导作用，政府监管是最主要的推动力量。目前监管部门正在进一步创新监管手段、完善监管措施，实现监管创新和技术创新同步发展。例如，在前期App专项治理工作中建设的全国App技术检测平台。二是充分发挥社会监督的重要作用。社会监督虽然没有政府管理的强制力，但它可以影响个人信息保护的发展。目前，在电信和互联网领域，已经建成了互联网信息服务投诉平台和中国互联网协会网络不良与垃圾信息举报受理中心两大投诉渠道，在App个人信息保护治理工作中发挥了积极作用。下一步，通过加大宣传引导力度，进一步及时处理相关举报案件，推动举报投诉工作标准化、规范化，进一步发挥社会监督作用。三是不断提升企业履责水平，做好个人信息保护合规工作。企业是最主要的市场主体。与传统领域治理相比，互联网企业是当前最主要的个人信息处理者，也是App用户权益保护的重要实践者与行动者，其履责水平的高低直接关系到App个人信息保护治理工作的成效。《个人信息保护法》第五章明确规定了个人信息处理者的义务，为企业主体依法履行用户个人信息保护义务提供了具体指引。未来，随着更多App个人信息保护的具体制度规则出台，将进一步帮助企业厘清自身产品的服务功能及场景合理性需求，确保商业模式创新和技术发展演进以充分保障用户合法权益为前提，有效提升履责水平。

编辑：张程  3567672799@qq.com