名仕亚洲官网欢迎您!

名仕亚洲官网 > 民法 > 手机App越界索权的问题再次受到关注,个人信息保护指南

手机App越界索权的问题再次受到关注,个人信息保护指南

时间:2020-03-26 10:34

图片 1

2013年7月16日,工业和信息化部公布了《电信和互联网用户个人信息保护规定》(中华人民共和国工业和信息化部令第24号)。记者就《规定》采访了工业和信息化部政法司巡视员李国斌,请他对《规定》进行了解读。

“个人信息保护指南”规定,对个人信息的处理包括收集、加工、转移和删除四个主要环节,其中还提出了个人信息保护的原则。这个原则包括目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确等八项。

手机App越界索权的问题再次受到关注。

记者:近日,工业和信息化部出台了《电信和互联网用户个人信息保护规定》,请问《规定》出台的意义是什么?

被视作中国首个“个人信息保护”专项国家标准的《信息安全技术、公共及商用服务信息系统个人信息保护指南》,目前正在国家标准委进行最后的技术审批,预计今年下半年正式出台。

近日,在使用个人所得税App申报个税时,个别地方出现申报人“被就职”现象,即在“任职受雇信息”中,申报人供职于完全没有听过的企业或单位。不少人认为,自己的身份信息可能被盗用,从而导致“任职受雇信息”出现异常。

李国斌:近年来,我国电信和互联网行业快速发展,新技术、新应用层出不穷,对促进经济社会发展起到了积极的作用。与此同时,用户个人信息的泄露风险和保护难度不断增大,加强用户个人信息保护立法成为社会广泛关注的问题。

4月5日,工业和信息化部信息安全协调司副司长欧阳武在接受新华社记者专访时,作出上述表态。

任何事物都具有两面性。移动互联网在给人们带来极大便利的同时,亦出现大量关于个人信息保护的问题。个人信息的不当扩散与不当利用,已逐渐发展成为危害公民民事权利的社会问题。

出台《规定》,可以进一步完善电信和互联网行业个人信息保护制度。目前,部分电信业务经营者、互联网信息服务提供者对用户个人信息安全重视不够,安全防护措施不完善,管理制度不健全,信息安全责任落实不到位,需要进一步完善用户个人信息保护法律制度,规范电信服务、互联网信息服务过程中收集、使用用户个人信息的活动。

中国社会科学院法学研究所研究员周汉华在接受早报记者采访时称,《指南》的出台有其现实意义,但目前相关的法律却基本处于停摆状态,“立法进程应该加快!”

过度采集信息问题突出

出台《规定》,也是贯彻落实全国人大常委会《关于加强网络信息保护的决定》的需要。贯彻执行好《决定》有关收集、使用个人信息的制度,需要出台相关配套规定。制定《规定》,进一步明确电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的规则和信息安全保障措施等,是落实全国人大常委会《决定》规定的制度和措施,切实保护用户合法权益的要求。

早在2003年,《个人信息保护法》便已立项。2005年,近8万字的《中华人民共和国个人信息保护法及立法研究报告》完成,周汉华担任该课题组的负责人,但该法至今尚未出台。

App普遍存在越界索权

记者:您能否介绍一下《规定》的制定过程?

时至今日,出炉的是非强制性的《指南》。欧阳武昨日承认,这个标准是非强制性的。《个人信息保护法》这个课题在业界一直难以达成共识,对于哪些是需要保护的个人信息,学界看法不一。

经常逛淘宝的人都知道,只要在淘宝网搜索某件商品,很快就会出现大量相关推送。

李国斌:2012年5月,工业和信息化部启动了《规定》立法研究和起草工作。在起草过程中,我们赴吉林、广东、四川等地进行了调研,多次书面征求了部机关相关司局、各省通信管理局、基础电信企业和互联网企业对《规定》的意见,组织召开了省级通信管理局、基础电信企业和互联网企业参加的立法座谈会,并通过国务院法制办的“中国政府法制信息网”和我部门户网站向社会公开征求了意见。经征求意见,社会各方面对制定《规定》给予了积极的肯定,没有原则性的不同意见。在充分听取各方面意见并进一步完善有关制度的基础上,我们形成了《规定》。

个人信息用后立即删除

“这让我感到很不安,网络上的一举一动都好像有‘老大哥在看着你’,没有隐私可言。”在北京工作的张帆说。

2013年6月28日,我部第2次部务会议审议通过了《规定》。7月16日,工业和信息化部第24号令公布了《规定》。《规定》将于9月1日生效。

《指南》仍有其现实意义。

于是,张帆卸载了手机里的几十个App,只保留了常用的几个。

记者: 您能否介绍一下《规定》关于用户个人信息保护管理工作的定位?

“《指南》的出台能共同推动对个人信息的保护,有其现实意义,但这只是一部推荐性的行业标准,有其先天不足,靠自律不如刚性上的立法。”周汉华说。

张帆的担忧并非杞人忧天。

李国斌:全国人大常委会《决定》对“公民个人电子信息”做了界定,并明确了信息收集、使用的原则和相关规则。

欧阳武说,《指南》正式出台后,还将有一系列的配套标准,包括技术保障、管理规范、认证和审计细则等,“这些系列标准出台后,就可以形成一个闭环,明确责任,推动企业遵照执行。”

2018年3月,北京市消协发布的手机应用软件个人信息安全调查报告显示,近九成受访者认为手机App存在过度采集个人信息的问题,近八成受访者认为手机App上的个人信息不安全。

目前,各行业普遍存在收集、使用个人信息的情况,相应的信息保护工作也涉及到众多的部门,我部并不负责管理所有的个人信息。《规定》依据《决定》的有关规定,立足我部电信和互联网行业管理职责,以“概括加列举”的方式规定了由我部负责监督管理的用户个人信息的范围,即:电信业务经营者、互联网信息服务提供者在提供服务的过程中收集的能够识别用户的信息以及用户使用服务的信息,包括用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。

据欧阳武称,下一步政府部门还将培养、扶持独立的第三方专业机构,对企业保护个人信息的工作进行全方位审查,保证系列标准的落实。

合法、正当、必要,是App运营商采集用户信息的法定原则。然而,App越界索权的现象已是不争的事实。

记者:您能否介绍一下《规定》的主要内容?

据中广网报道,《指南》由工信部直属的中国软件测评中心联合30多家单位起草。《指南》规定,对个人信息的处理包括收集、加工、转移和删除四个主要环节,其中还提出了个人信息保护的原则。这个原则包括目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确等八项。

2018年8月29日,中消协发布《App个人信息泄露情况调查报告》称,手机App过度采集个人信息呈现普遍趋势。

李国斌:《规定》共六章、二十五条,主要规定了如下内容:

依照《指南》,在收集个人信息阶段告知的“使用目的”达到后,应立即删除个人信息。

根据调查结果,手机App需要获取的权限种类繁多,最突出的是获取位置信息和访问联系人权限。而且,一些App还出现了在自身功能使用非必要的情况下获取用户隐私权限的问题,增加了个人信息泄露的风险。

电信和互联网用户个人信息的保护范围。《规定》依据全国人大常委会《决定》的有关规定,明确要求保护“电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息”。

中国信息技术保护不容乐观,去年年底一次中国互联网史上最大规模的泄密事件将个人信息保护推向了风口浪尖。2011年12月,国内最大的程序员网站CSDN用户数据库被“黑客”在互联网上公开,其中包括600余万个明文的注册邮箱账号和密码。

中国传媒大学文法学部法律系副主任郑宁告诉《法制日报》记者,一般来说,App的安装和使用只能对一些必要的权限征求使用人的同意。在使用安卓系统的手机中,有以下几个权限最常被调取,其一是“读取已安装应用列表”,借此可以了解和分析用户的使用习惯;其二是“读取本机识别码”,主要用来确定用户的身份;其三是“读取位置信息”,通过获取位置,搜集用户的活动范围,例如导航类软件就必须调取这一权限。

用户个人信息收集和使用原则。《规定》根据全国人大常委会《决定》的规定,要求电信业务经营者、互联网信息服务提供者收集、使用用户个人信息应当遵循合法、正当、必要的原则,并对用户个人信息的安全负责。

个人信息保护法难产

在现实生活中,许多App普遍存在越界索权现象。比如,视频软件要求读取运动数据、资讯类App却开启相机和麦克风录音权限等。

用户个人信息收集和使用规则。《规定》要求电信业务经营者、互联网信息服务提供者遵守下列信息收集和使用规则:制定并公布其信息收集和使用的规则;未经用户同意不得收集、使用用户个人信息;明确告知用户其收集、使用信息的目的、方式和范围等事项;不得收集提供服务所必需以外的用户个人信息;在用户终止使用服务后应当停止对用户个人信息的收集和使用,并提供注销号码或账号的服务;不得泄露、篡改、毁损、出售或者非法向他人提供用户个人信息等。

《指南》浮出水面的背后,是《个人信息保护法》的难产。

“综合以上现象可以看出,手机App收集的信息若与其提供的服务无关则构成越界索权。”郑宁说。

代理商管理。《规定》按照“谁经营、谁负责”、“谁委托、谁负责”的原则,根据民法上的委托代理制度,明确规定由电信业务经营者、互联网信息服务提供者负责对其代理商的个人信息保护工作实施管理。《规定》要求:电信业务经营者、互联网信息服务提供者委托他人代理市场销售和技术服务等直接面向用户的服务性工作,涉及收集、使用用户个人信息的,应当对代理人的用户个人信息保护工作进行监督和管理,不得委托不符合《规定》有关用户个人信息保护要求的代理人代办相关服务。

欧阳武介绍,中国从2003年就开始进行《个人信息保护法》的研究、制定工作,但这个课题在业界一直难以达成共识,对于哪些是需要保护的个人信息,学界看法不一。“这导致我国只有在很多专门法里笼统地提一句不能泄露个人信息、侵犯个人隐私,但如何保护,却没有具体、详细的规定和技术措施,导致这些提法形同虚设。”

区分身份信息隐私信息

安全保障制度。《规定》从岗位责任、管理制度、权限管理、存储介质、信息系统、操作记录、安全防护等方面,明确了电信业务经营者、互联网信息服务提供者应当采取的防止用户个人信息泄露、毁损、篡改或者丢失的措施。与此同时,《规定》对用户个人信息保护情况自查和培训等制度作了相应的规定。

据统计,目前中国有近40部法律、30多部法规,以及近200部规章涉及个人信息保护,但内容较为分散、法律法规层级偏低。此外,相关法律中对信息泄露者惩罚机制的不够也使个人信息保护机制威慑力不足。

上一篇:没有了 下一篇:对企业保护个人信息的工作进行全方位审查,新《消法》的主要亮点是充实细化了消费者权益