我國個人資訊保護法于2021年11月1日起施行,其中,對于個人資訊的收集、使用、儲存等提出了明确的規定,進一步彰顯了黨和國家在保障個人資訊方面的态度和決心。
實踐中,APP是侵犯公民個人資訊的“重災區”,近年來,國家相關部門也在不斷加大針對侵犯個人資訊行為的懲治力度。
自2019年12月19日以來,工信部共釋出20批APP整改通知,要求對1234個App進行整改,其中311個此後未整改到位的APP被要求下架。
通過對工信部要求整改的1234個App類型、具體整改内容等細化梳理,筆者對APP企業可能涉及的合規問題進行總結,并針對問題提出具體的解決路徑。
工信部自2019年12月19日以來共釋出了20批整改通報,其中第1-9批是2021月1月1日前的通報,第10-20批是2021月1月1日後的通報;工信部釋出的APP下架通報共13批,第1-5批是2021月1月1日前的通報,第6-13批是2021月1月1日後的通報。20批通報整改的APP數量見下表:
其中,20批通報整改的APP數量共計1234個,其中84個被2次以上通報;13批下架通報中涉及的App數量共計311個,其中有2個APP被下架2次。
另外,根據《常見類型移動網際網路應用程式必要個人資訊範圍規定》第五條規定對APP的分類為地圖導航類、網絡約車類、即時通信類等39類,這20批通報中的1234個APP均有涉及。
為進一步了解APP企業在個人資訊保護方面存在的具體問題,我們對所有整改和下架的通報所涉問題進行分類、整合,進而反映出以下幾個方面的問題:
首先,從整改通報中APP所涉問題類型及分布可以看出,違規收集個人資訊是監管部門監督的重點,也是最為高發的違法情形,達到了36.48%。其次是APP強制、頻繁、過度索取權限,達到19.31%。
而在下架通報中APP所涉問題類型及分布的統計中,更進一步地展現了違規收集個人資訊在APP合規中的重要性,占到了統計資料壓倒性的81.76%。
同一APP被指出多項整改問題的情況很常見。在20批通報中,同一APP被要求整改的問題最多的高達6個。
某新聞資訊類APP存在六個需要整改的問題
某房屋租售類APP存在五個需要整改的問題
(被工信部通報2次)
某電子圖書類APP存在五個需要整改的問題
APP企業在使用者注冊、使用、登出三個重要環節存在諸多違規的合規風險點,筆者結合個人資訊保護法等相關規定,分析APP企業可能面臨的民事、行政、刑事責任。
在民事責任方面,如果APP侵害使用者個人資訊權益造成損害,且不能證明自己沒有過錯的,APP企業應當承擔損害賠償等侵權責任。
根據個人資訊保護法第六十九條:處理個人資訊侵害個人資訊權益造成損害,個人資訊處理者不能證明自己沒有過錯的,應當承擔損害賠償等侵權責任。
前款規定的損害賠償責任按照個人是以受到的損失或者個人資訊處理者是以獲得的利益确定;個人是以受到的損失和個人資訊處理者是以獲得的利益難以确定的,根據實際情況确定賠償數額。
在行政責任方面,如果APP侵害使用者個人資訊的行為,可能被相應的機關責令改正,警告,情節嚴重的,可能罰款,并處以相應的行政處罰。
根據個人資訊保護法第六十六條:違反本法規定處理個人資訊,或者處理個人資訊未履行本法規定的個人資訊保護義務的,由履行個人資訊保護職責的部門責令改正,給予警告,沒收違法所得,對違法處理個人資訊的應用程式,責令暫停或者終止提供服務;拒不改正的,并處一百萬元以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
有前款規定的違法行為,情節嚴重的,由省級以上履行個人資訊保護職責的部門責令改正,沒收違法所得,并處五千萬元以下或者上一年度營業額百分之五以下罰款,并可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款,并可以決定禁止其在一定期限内擔任相關企業的董事、監事、進階管理人員和個人資訊保護負責人。
個人資訊保護法第六十七條:有本法規定的違法行為的,依照有關法律、行政法規的規定記入信用檔案,并予以公示。
個人資訊保護法第七十條:個人資訊處理者違反本法規定處理個人資訊,侵害衆多個人的權益的,人民檢察院、法律規定的消費者組織和由國家網信部門确定的組織可以依法向人民法院提起訴訟。
個人資訊保護法第七十一條:違反本法規定,構成違反治安管理行為的,依法給予治安管理處罰。
具體處罰類型詳見下圖:
刑事責任方面,《個人資訊保護法》明确規定,如果APP侵害使用者個人資訊的行為構成犯罪的,會被依法追究刑事責任。
根據《刑法》第二百五十三條之一【侵犯公民個人資訊罪】,違反國家有關規定,向他人出售或者提供公民個人資訊,情節嚴重的,處三年以下有期徒刑或者拘役,并處或者單處罰金;情節特别嚴重的,處三年以上七年以下有期徒刑,并處罰金。
違反國家有關規定,将在履行職責或者提供服務過程中獲得的公民個人資訊,出售或者提供給他人的,依照前款的規定從重處罰;竊取或者以其他方法非法擷取公民個人資訊的,依照第一款的規定處罰;機關犯前三款罪的,對機關判處罰金,并對其直接負責的主管人員和其他直接責任人員,依照該款的規定處罰。
資訊化時代,資料為王。在我國網際網路經濟蓬勃發展之際,APP企業機遇與危機并存。通過上述整改通報的分析,我們也能看到APP企業的違規情況比較嚴重,對此,周泰律師從事先、事中、事後三個環節分别提出以下具體的合規建議:
首先,APP企業應全面掌握相關法律規定,事先做好風險識别和防範,了解可能面臨的所有合規風險。
随着時代的發展,我國有關資料保護的法律法規日趨完善,并形成了一套相對完善的個人資訊保護法律體系。APP企業應全面掌握相關法律規定,了解APP運作過程中可能面臨的合規風險點,并時刻關注資訊保護領域相關部門檔案的釋出。
筆者梳理APP運作涉及到的主要規範性檔案如下:
《全國人民代表大會常務委員會關于加強網絡資訊保護的決定》(2012.12.28)、網絡安全法(2016.11.07)、《個人資訊安全規範(征求意見稿)》(2019.10.22)、《APP違法違規收集使用個人資訊行為認定方法》(2019.11.28)、《APP違法違規收集使用個人資訊自評估指南(征求意見稿)》(2020.03.19)、民法典(人格權編、侵權責任編)(2020.05.28)、《常見類型移動網際網路應用程式必要個人資訊範圍規定(征求意見稿)》(2020.12.1)、資料安全法(2021.06.10)、個人資訊保護法(2021.08.20)、《網際網路平台分類分級指南(征求意見稿)》(2021.10.19)。
對以上及其外檔案條文的了解上有疑問的,建議咨詢本領域專業律師意見。
對APP法律法規的掌握,并不應隻局限于企業的法務部門,而應廣泛面向全體APP企業員工提出要求。且相關合規教育訓練應當針對不同的對象進行,提高教育訓練的針對性,進而提高APP企業對APP運作過程中合規風險認識與實踐價值。
APP企業應當建立全流程合規監控體系,即重點把控APP使用者注冊、使用、登出三個重要環節。特别是針對工信部已經通報的諸多違規問題,有的放矢地加強合規監管。
針對可能出現的民事、行政、刑事責任,APP企業應當提前做好預案,為不同的合規風險提出有針對性的解決之策。
一是對民事責任,APP企業首先應當停止對使用者個人資訊的相關侵權行為,将損失減少到最低程度,盡可能地與個人達成和解。
二是對行政責任,由于行政處罰往往是遞進進行,對于初期行政機關發現的問題企業應當及時整改,避免因為拒不改正,接受更加嚴厲的處罰。
三是對刑事責任,APP企業應當争取檢察機關的合規不起訴。結合最高人民檢察院近兩年所作的合規不起訴試點工作,根據2021年4月《關于開展企業合規改革試點工作方案》,APP企業認罪認罰,并自願接受合規改革,争取企業合規整改驗收合格後,檢察機關作出不起訴決定,或者提出從寬處罰的量刑建議,進而将不利影響降到最低。
近年來,随着國家對個人資訊保護的重視,執法部門對APP監管逐漸加強。APP企業應對資訊合規問題進行全面梳理和重點建設,以利于企業的長遠發展。
(本文作者:北京周泰律師事務所進階顧問曹莉、實習生曹瀝)
更多内容請下載下傳21财經APP