作者/曹莉
我国个人信息保护法于2021年11月1日起施行,其中,对于个人信息的收集、使用、保存等提出了明确的规定,进一步彰显了党和国家在保障个人信息方面的态度和决心。
实践中,App是侵犯公民个人信息的“重灾区”,近年来,国家相关部门也在不断加大针对侵犯个人信息行为的惩治力度。
自2019年12月19日以来,工信部共发布20批App整改通知,要求对1234个App进行整改,其中311个此后未整改到位的App被要求下架。
通过对工信部要求整改的1234个App类型、具体整改内容等细化梳理,笔者对App企业可能涉及的合规问题进行总结,并针对问题提出具体的解决路径。
工信部对App整改的总体情况
工信部自2019年12月19日以来共发布了20批整改通报,其中第1-9批是2021月1月1日前的通报,第10-20批是2021月1月1日后的通报;工信部发布的App下架通报共13批,第1-5批是2021月1月1日前的通报,第6-13批是2021月1月1日后的通报。20批通报整改的App数量见下表:
其中,20批通报整改的App数量共计1234个,其中84个被2次以上通报;13批下架通报中涉及的App数量共计311个,其中有2个App被下架2次。
另外,根据《常见类型移动互联网应用程序必要个人信息范围规定》第五条规定对App的分类为地图导航类、网络约车类、即时通信类等39类,这20批通报中的1234个App均有涉及。
为进一步了解App企业在个人信息保护方面存在的具体问题,我们对所有整改和下架的通报所涉问题进行分类、整合,从而反映出以下几个方面的问题:
首先,从整改通报中App所涉问题类型及分布可以看出,违规收集个人信息是监管部门监督的重点,也是最为高发的违法情形,达到了36.48%。其次是App强制、频繁、过度索取权限,达到19.31%。
而在下架通报中App所涉问题类型及分布的统计中,更进一步地体现了违规收集个人信息在App合规中的重要性,占到了统计数据压倒性的81.76%。
同一App被指出多项整改问题的情况很常见。在20批通报中,同一App被要求整改的问题最多的高达6个。
某新闻资讯类App存在六个需要整改的问题
某房屋租售类App存在五个需要整改的问题
(被工信部通报2次)
某电子图书类App存在五个需要整改的问题
(被工信部通报2次)
App企业可能面临哪些法律责任风险?
App企业在用户注册、使用、注销三个重要环节存在诸多违规的合规风险点,笔者结合个人信息保护法等相关规定,分析App企业可能面临的民事、行政、刑事责任。
在民事责任方面,如果App侵害用户个人信息权益造成损害,且不能证明自己没有过错的,App企业应当承担损害赔偿等侵权责任。
根据个人信息保护法第六十九条:处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。
在行政责任方面,如果App侵害用户个人信息的行为,可能被相应的机关责令改正,警告,情节严重的,可能罚款,并处以相应的行政处罚。
根据个人信息保护法第六十六条:违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
个人信息保护法第六十七条:有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。
个人信息保护法第七十条:个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。
个人信息保护法第七十一条:违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚。
具体处罚类型详见下图:
刑事责任方面,《个人信息保护法》明确规定,如果App侵害用户个人信息的行为构成犯罪的,会被依法追究刑事责任。
根据《刑法》第二百五十三条之一【侵犯公民个人信息罪】,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚;窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚;单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照该款的规定处罚。
App企业应如何规避合规风险?
信息化时代,数据为王。在我国互联网经济蓬勃发展之际,App企业机遇与危机并存。通过上述整改通报的分析,我们也能看到App企业的违规情况比较严重,对此,周泰律师从事先、事中、事后三个环节分别提出以下具体的合规建议:
首先,App企业应全面掌握相关法律规定,事先做好风险识别和防范,了解可能面临的所有合规风险。
随着时代的发展,我国有关数据保护的法律法规日趋完善,并形成了一套相对完善的个人信息保护法律体系。App企业应全面掌握相关法律规定,了解App运行过程中可能面临的合规风险点,并时刻关注信息保护领域相关部门文件的发布。
笔者梳理App运行涉及到的主要规范性文件如下:
《全国人民代表大会常务委员会关于加强网络信息保护的决定》(2012.12.28)、网络安全法(2016.11.07)、《个人信息安全规范(征求意见稿)》(2019.10.22)、《App违法违规收集使用个人信息行为认定方法》(2019.11.28)、《App违法违规收集使用个人信息自评估指南(征求意见稿)》(2020.03.19)、民法典(人格权编、侵权责任编)(2020.05.28)、《常见类型移动互联网应用程序必要个人信息范围规定(征求意见稿)》(2020.12.1)、数据安全法(2021.06.10)、个人信息保护法(2021.08.20)、《互联网平台分类分级指南(征求意见稿)》(2021.10.19)。
对以上及其外文件条文的理解上有疑问的,建议咨询本领域专业律师意见。
对App法律法规的掌握,并不应只局限于企业的法务部门,而应广泛面向全体App企业员工提出要求。且相关合规培训应当针对不同的对象进行,提高培训的针对性,从而提高App企业对App运行过程中合规风险认识与实践价值。
App企业应当建立全流程合规监控体系,即重点把控App用户注册、使用、注销三个重要环节。特别是针对工信部已经通报的诸多违规问题,有的放矢地加强合规监管。
针对可能出现的民事、行政、刑事责任,App企业应当提前做好预案,为不同的合规风险提出有针对性的解决之策。
一是对民事责任,App企业首先应当停止对用户个人信息的相关侵权行为,将损失减少到最低程度,尽可能地与个人达成和解。
二是对行政责任,由于行政处罚往往是递进进行,对于初期行政机关发现的问题企业应当及时整改,避免因为拒不改正,接受更加严厉的处罚。
三是对刑事责任,App企业应当争取检察机关的合规不起诉。结合最高人民检察院近两年所作的合规不起诉试点工作,根据2021年4月《关于开展企业合规改革试点工作方案》,App企业认罪认罚,并自愿接受合规改革,争取企业合规整改验收合格后,检察机关作出不起诉决定,或者提出从宽处罚的量刑建议,从而将不利影响降到最低。
近年来,随着国家对个人信息保护的重视,执法部门对App监管逐渐加强。App企业应对信息合规问题进行全面梳理和重点建设,以利于企业的长远发展。
(本文作者:北京周泰律师事务所高级顾问曹莉、实习生曹沥)