当前位置:主页 > 破产公开 >

竣雄清算--论移动应用程序应对个人信息保护法律出台

时间:2021-12-20 | 栏目:破产公开 | 点击:

李晓春(湖南鑫昊成律师事务所)
(湖南竣雄破产清算事务所有限责任公司法务组)
 
       2018年,《通用数据保护规则》(GeneralDataProtectionRegulation,简称GDPR)在欧盟正式生效实施,这是人类在数据保护上的里程碑事件,2020年10月21日,我国发布了《个人信息保护法》征求意见稿,《中华人民共和国数据安全法》将于2021年9月1日起施行,我国的数据和个人信息保护法律陆续出台,作为当前收集与使用个人信息的重要渠道,移动应用程序对用户个人信息的处理规则的设置以及软件服务协议的签署,必须相应做出调整,本文就移动应用程序运营者如何应对个人信息保护相关法律的出台,提出相关建议。
       据有关部门统计,到2020年初,我国网民数量已超过9亿,开发的各类应用软件达到300多万个,在信息技术日新月异的今天,智能手机改变了人类的生活方式,智能手机通过内置的多种传感器,能获取用户位置、气温气压、人脸特征、运动、指纹等多种信息,通过移动应用程序对上述信息的采集与处理,结合在提供服务过程中与用户的交互,移动应用程序可以获取包含用户家庭住址、工作单位地址、上下班通勤方式以及通勤路线、起床就寝时间、个人联系方式以及个人饮食偏好、个人驾驶习惯、个人兴趣爱好等信息在内的大量个人信息,通过对个人信息的收集与使用,用户在享受移动应用程序带来的便利服务的同时,用户个人信息保护也面临着前所未有的挑战,“网络时代无隐私”这句话不仅反映了上述挑战,更反映了社会对于个人信息保护问题的担忧,因此,如何在享受移动互联网带来便利的同时保护好用户的个人信息,成为社会关注的热点问题,正是在此背景下,各国与国际组织纷纷出台个人信息与数据保护法规。
       个人信息保护法律法规的出台
       欧盟《通用数据保护规则》(GDPR)的出台背景与基本内容
       欧盟《通用数据保护规则》(GDPR)是在《数据保护指令》(1995年制定)的基础上制定的,2012年1月,《通用数据保护规则》(GDPR)草案公布,2016年正式通过。并于2018年5正式生效。《通用数据保护规则》(GDPR)的适用范围很广,几乎所有处理涉及到欧盟成员国相关的个人信息的主体均需遵守该条例,该条例共十一章共九十九条。该条例对于数据主体、数据控制者、数据处理者进行了定义,并对各主体在个人信息保护中的权利义务进行了详细的规定。
       我国《数据安全法》的出台背景与基本内容
       2018年9月,《数据安全法》列入立法规划,该法将于2021年9月1日起正式施行。《数据安全法(草案)》分七章共五十一条,主要包括数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任等方面,其立法目的在于在安全基础上,建立一种为保障数据作为一种新的生产要素能够充分发挥作用的法律规范。
我国《个人信息保护法》出台背景与基本内容
       早在2003年起国务院就委托有关专家开始起草《个人信息保护法》,2020年10月,《个人信息保护法(草案)》被提交全国人大审议。《个人信息保护法(草案)》分八章,共七十条,涵盖了个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门等方面。
       当前移动应用程序针对个人信息收集处理和使用情况
       当前主流移动应用程序往往会收集用户姓名、出生年月日、公民身份号码、个人人脸识别特征、指纹识别特征、虹膜识别特征、收货地址、电话号码、通讯录、征信信息、运动轨迹、脉搏血压信息、交易信息等个人信息。
       大部分移动应用程序未经注册虽然也可以使用,但往往只提供最基本的服务,如购物移动应用往往只提供商品浏览服务,需要用户注册登陆后服务提供方可以提供有针对性的个性化服务。同时,为避免恶意注册行为,移动应用程序在注册时通常通过验证手机号码或者电子邮箱以确认用户的真实性。在此基础上,应网络用户实名制的行政监管要求,许多移动应用程序需要收集用户的姓名、身份证号码、出生日期等信息。而对于网络购物类移动应用程序来说,收集用户的收货地址以及电话号码是完成服务的最基本要求。移动应用程序通常在注册使用前向用户释明所需收集的个人信息以及相关用途,在获用户认可后对用户信息进行收集、处理和使用。
       当前移动应用程序在处理个人信息方面主要存在擅自收集用户个人信息、过度收集用户个人信息、不按用户协议和隐私政策使用用户个人信息、对用户个人信息保存不当以致用户个人信息泄露以及非法向第三方披露用户个人信息等问题。
       建议移动应用程序运营商采取的应对解决方案
       《数据安全法》与《个人信息保护法(草案)》共同构建比较完善的个人信息保护法律体系,移动应用程序作为服务商收集、使用用户个人信息的主要渠道,其在所属企业合规运营中发挥着极其重要的作用,面对 《数据安全法》与《个人信息保护法》所提出的新规则,移动应用程序运营商应当作出怎样的应对?在个人信息处理问题频现,行政部门对于个人信息处理的监管日益规范、对于违规处理个人信息的处理日益严苛的今天,移动应用程序运营商应当高度重视个人信息保护,从个人信息处理规则设置和完善软件服务协议及隐私政策,以及加强对于用户个人信息的管理与技术防护等方面下功夫,确保处理用户个人信息的规则与流程合法合规,确保用户个人信息权利不被侵犯。
       对照个人信息保护法律文件完善个人信息处理规则
       移动应用程序运营企业应当主动对照《个人信息保护法(草案)》与《数据安全法》,对所运营的移动应用程序的个人信息处理规则进行修正。《个人信息保护法(草案)》规定,处理个人信息过程中,其采取的方式应当是合法、正当的,其目的必须是明确、合理的,且必须遵守公开处理原则与最小范围原则,同时保证所获取信息的准确性,个人信息的相关安全保护措施需在个人信息处理的全流程得到落实。更重要的是确定了“告知—同意”这一核心规则,在《个人信息保护法(草案)》公布前,这也是业内按照民法的一般原则确定的通行做法。而《个人信息保护法(草案)》所新设的“同意撤回权”则是指权利人有权撤回同意;同时,《个人信息保护法(草案)》还规定了对于个人信息处理的重要事项发生变更时,应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。针对上述原则与规则,当前移动应用程序运营商应当重点在完善“告知—同意”规则以及建立用户撤回同意的渠道以及相关规则方面的基础上,对照《个人信息保护法(草案)》和《数据安全法》对移动应用软件的个人信息处理规则进行完善。
       完善软件服务协议及隐私政策
       作为移动应用程序落实“告知—同意”这一个人信息处理规则的重要环节,软件服务协议及隐私政策在个人信息保护中发挥重要的作用,根据《著作权法》第三条之规定,移动应用程序作为计算机软件属于《著作权法》所保护的“作品”,而依据《著作权法》第二十六条之规定,使用他人作品应当同著作权人订立许可使用合同,而在授权使用移动应用程序的过程中,软件服务协议作为著作权人与客户之间的“许可使用合同”以及“隐私政策”成为移动应用程序运营企业告知个人信息处理规则以及取得客户同意的重要渠道移动,应用程序运营商应当重视《软件许可使用合同》与《隐私政策》的制定,确保其合法合理。
       加强用户信息的管理与的技术防护
       互联网在给人类带来便利的同时,信息泄露事件每天都在发生,我国《个人信息保护法(草案)》第五十条规定了个人信息处理者有采取必要措施防止其掌握的个人信息被非法处理的义务,移动应用程序运营企业应当制定严格、科学的客户个人信息内部管理制度和操作规程、对掌握的个人信息进行分级分类管理,同时采取相应的加密、去标识化等安全技术措施,确保客户个人信息安全。
       结语
       随着我国个人信息保护法律的出台,我国个人信息管理领域将日益正规,合规经营者将得到社会的尊重与法律的保护,而不重视个人信息保护的经营者将面临法律的制裁甚至被市场所淘汰。
       参考文献:
[1]叶名怡.论个人信息权的基本范畴[J].清华法学,2018(5).
[2]王春晖.GDPR个人数据权与《网络安全法》个人信息权之比较[J].网络空间战略论坛,2018(7).
[3]杨祥瑞.网络用户协议中个人信息保护的合同法研究——以《淘宝平台服务协议》为例[J].吉林工商学院学报,2019(3).
[4]祝祎.浅析网络用户协议中个人信息保护[J].常州工学院学报,2020(4).
[5]吴铮.大数据时代我国个人信息法律保护现状及对策[J].淮南职业技术学院学报,2018(1).

相关文章