App数据安全如何监管
2018-03-12法人李立娟
文 《法人》记者 李立娟
用户对于APP数据安全的担忧由来已久,但是如何才能真正的解决数据安全的问题,怎样令监管完善且有效?
在一些非法收集用户信息的事件中,处置结果往往是相关部门约谈企业或者像本次百度被江苏消保委起诉。但多数的观点仍认为,约谈和公益诉讼,并不能从根本上遏制侵权行为。相对于数据收集可能带来的利益,上述处理手段几乎可以忽略。
对于如何做到事前保护体系的完善,北京盈科(杭州)律师事务所方超强律师在接受《法人》记者采访时表示:“应该看到,国内近几年对于个人信息保护的立法程序是在不断加强和完善的,包括《电信和互联网用户个人信息保护规定》《网络安全法》等专门性法律法规的规定,也包括《消费者权益保护法》《网络交易管理暂行办法》等特别法律法规中的规定。”
这些法律法规以及部门规章规定了服务商个人信息收集和使用的原则,以及服务商应当采取的信息保护措施、公民针对个人信息的权利和救济途径、服务商计算机系统要求、行政和法律责任等。实际上,从整体框架上已经构建起一套比较合理规范的事前保护体系。
方超强进一步说,在实践中,手机个人信息侵权事件仍然频发,关键在于以下几点因素:首先,法规与政策的难以落地,比如就用户注销权而言,《电信和互联网用户个人信息保护规定》早在2013年就规定了服务商应当为用户提供注销账户服务,但像阿里巴巴这样的大公司也才在2017年才修改服务协议,给予注销和过期回收。腾讯提供的QQ产品时至今日也未给予主动注销服务;其次,细化的标准不足,无法指导服务商落实和完善法律法规规定的义务;再次,执法力度还有待加强;最后,在司法层面上,法院对于判决用户注册协议中不当格式条款无效过于谨慎,使得很多对用户权益有实质性损害的格式条款仍被认定为有效,导致服务商更热衷于强化格式条款。
应用商店是否应担责
亿达律师事务所董毅智律师在接受《法人》记者采访时表示,关于App收集用户信息的行为,第一从立法层面来说,我国还没有特别明确的法律规定,一般的处理措施是补偿或者行政处罚,而不是更有威慑力的惩罚性赔偿。但在美国,一般是惩罚性的赔偿,而且有相应的判例,这源于两个国家的法律体制还是有区别的。
第二是职务层面,实际上目前的公益诉讼进行的不是很到位。此前我国曾在多个领域出现过公益诉讼,比如环境公益诉讼,但是一些公益诉讼本身没有坚持下去,而且没有真正让外界了解相关案件的进展或者征集相关的受害人进行信息收集。所以整个程序上和做法上,还是有一些不到位的地方,有待提高。
第三就是一些大的平台在互联网行业本身就有一个天然的垄断性,一般都是数一数二的巨头企业,每个行业、每个垂直领域都有那么几家。这种垂直垄断造成了用户的可选择性很小,这就需要监管部门、政府反垄断部门做出适当的惩罚。
但从目前来看,国内并无可参考和推广的司法环境,个人信息侵权者不可能承担过高的惩罚性民事责任,违法成本较低
“像美国、欧洲,对谷歌、微软进行处罚,都是很大额的处罚。那么我们国家在这方面,实际上是还没有做。约谈是一种进步,这首先是一种认可的,但还是希望在这方面有更为深远的提高。”董毅智说。
对于App存在侵犯用户个人隐私的情况,那么应用商店作为用户下载App的途径,把关责任如何界定?
方超强在接受《法人》记者采访时表示,“应用商店”有双重的身份:一方面,应用商店本身就是App应用程序提供者,其对于使用应用商店的用户负有个人信息规范收集、利用与保密义务。
另一方面,作为应用服务提供者,对于应用商店内的App安全性、合规性和真实性负有管理与审查义务,同时负有敦促App应用程序提供者落实个人信息保护措施的义务。
“此外,网信办出台的《移动互联网应用程序信息服务管理规定》,对于应用商店服务提供者虽规定有督促义务,但未规定不履行敦促的行政责任,处罚措施等,从行政执法监管而言实如废纸一般。”方超强表示,《网络安全法》(第六十八条)虽然对于“应用软件下载服务提供者”的违规行为规定了行政处罚措施,但仅限于对法律禁止信息传播的管理失当,并不适用于个人信息的保护。
因此,从行政处罚和责任的角度而言,目前并无行政法规、规章强制要求“应用软件下载服务提供者”对平台内App个人信息侵权和违规行为承担责任,“应用软件下载服务提供者”不履行敦促义务,不会招致行政处罚。
“虽然目前对于应用商店服务提供者的身份没有明确的法律规定,但在个人看来,属于《侵权责任法》第三十六条规定的网络服务提供者,知道网络用户(App应用程序提供商)利用其网络服务侵害他人民事权益,未采取必要措施的,与该网络用户承担连带责任。”方超强对《法人》记者强调,“简而言之,应用商店在特定条件下,应当为App应用程序提供者的个人信息侵权行为承担连带责任,尤其是应用商店对相关App做了推荐、宣传、承诺的情况下”。
董毅智同时对记者说,这种责任是肯定的,“比如华为应用商店里,都明确标明有审核员,这是他们的一个内控管理。所以,作为应用商店,本身其提供的是一种服务,那么就应该保证应用不能够窃取消费者的隐私,这也是一个法定的义务”。
可尝试第三方平台介入
“隐私数据泄露与维权由来已久。”方超强对《法人》记者说,“发生于2010年的Facebook案例中的处理方式非常好,也非常提倡大公司更多地去承担此类社会责任。”
他进一步说,Facebook的处置方式是协商出来的,而非法律或者法规规定的。Facebook愿意拿出600万美元的巨额资金成立非营利基金来解决案件,无外乎以下几个因素:第一,案件败诉无异于丑闻,对于公司品牌形象和股价或有重大影响;第二,对于个人信息的侵权或面临高额惩罚性赔偿;第三,公司公关手段,扭转和重塑个人信息捍卫者的形象。
方超强进一步说:“但从目前来看,国内并无可参考和推广的司法环境,个人信息侵权者不可能承担过高的惩罚性民事责任,违法成本较低。个人信息泄露的社会负面效益也并不如美国社会的反应那么大,中国公民在这方面的忍耐性也是不恰当地发挥了优良传统。”
董毅智也认为,这种情况在国外是很常见的,比如说有些诉讼在和解或者调解之后,双方成立相关的基金会,在我国现在做得还是非常不到位,可以借鉴国外的经验。
“但是,我们整个制度以及程序上有很大区别。比如在成立基金会后,什么机构来组织基金会?基金会如何监管、如何运作、如何收集相关费用?基金会日常的工作是什么?这些问题我们都没有相关的规定,也没有相关的尝试。”董毅智说。
“但是,我还是认为应该鼓励相关机构进行一定的尝试。而且应该允许在这个过程中犯错,因为刚开始进行尝试,基于每个国家的国情不一样,它会有一些不尽如人意的地方,应该允许它犯错、试错,这样的话才能把制度逐步完善起来。”董毅智强调。
“引入独立第三方进行专门的个人信息保护监管是一个非常好的创意。”方超强对《法人》记者建议道,但是在个人看来,第三方可以是电信主管部门指导的特定社团法人(类似于消协),也可以是商业主体。相对来说,社团法人具有非营利性质,不涉及经济利益,不存在测评与利益之间的寻租空间。而商业主体,容易将评测异化出“勒索”“付费不公布保护”等行为。
董毅智也认为这是可行的办法,实际上像测评在IT行业一直就有。测评的核心问题就在于第三方机构盈利模式,如果是纯公益性的体制,那么其正常的运营相关费用,该如何产生,这些问题都应该思考。
他进一步说,另一种方式是由政府的财政上划拨一部分,或者成立行业协会组织第三方机构,又或者是第三方机构是独立运营、自负盈亏。
“要强调的是,盈利模式是一个痛点,如果盈利模式不解决的话,第三方机构的整个公正性是很难保证的。既然无法保证公正性,那么在市场上的认可度也会受到质疑。”董毅智说。
立法亦待完善
在欧盟,存在通用的数据信息保护条款,相应的权利保护也更加严格。最广为人知的是数据的遗忘权,即用户在某平台注销了账户,其留在该平台上的所有历史数据记录需要被同步消除,后期在没有得到该用户的授权的情况下,平台不能继续给该用户提供相应的服务。
方超强对《法人》记者解释道,个人认为,这两者本质上还是有不同的,应该说“被遗忘权”包含了注销账户删除个人信息的内容,“被遗忘权”的外延范围更大。从欧盟与谷歌的相关判例来看。根据“被遗忘权”,个人信息所有人有权要求搜索引擎屏蔽不当消息,而不当消息不单单包括侵权信息,也包括未侵权的信息。而在国内,公开报道过的相关信息,无任何法律依据可以让搜索引擎商屏蔽或者删除。
董毅智同时认为,因为遗忘权实际上针对的是不良的信息,或者对个人的隐私产生不好的影响,所以个人可以要求网站把它彻底删除。而对于App的隐私数据协议实际上是用户和平台之间正常的一种服务协议、约定,那么在解除这种服务关系之后,用户要求把相应账户销掉,从性质上、法律关系上是完全不同的。
方超强进一步说,美国对于隐私权的理解与欧盟不同,更多地建立在自由的基础上,以行业自律为主导。美国的规定首先无论立法还是司法,都具有一定的滞后性,尤其是在互联网时代,这一滞后性的弊端就更加凸显,所以需要行业自律的方式来做及时的调整和补充。
其次,服务与接受服务双方自愿达成的个人信息利用约定,应当受法律保护,故而立法过严,会限定企业的个性与主观创造性。
与此同时,行业自律不同于企业放任自我,对行业中的单个企业还是具有一定的约束作用,有较好的社会效益。
结合我国的实际情况,方超强对《法人》记者建议道:“可以出台一部单独的《个人信息保护法》,而《民法总则》中将个人信息独立于隐私权,单设一条予以规则,也为《个人信息保护法》的起草和出台提供了依据和空间。该法主要避免目前有关个人信息保护的法律、法规、规章‘九龙治水’的现象。同时丰富和细化推荐性标准的落地,引导服务商切实贯彻法律。”
董毅智亦认为:我们的问题,就是缺乏一个系统的体系化隐私权法律构架,从法律角度来说,首先应该是《民法总则》上有明确的规定,因为我们的民法典没有修完,所以与隐私权相关的问题现在是零散的,散落于很多法律规定之中。目前就是单独突出了一个行业化,因为隐私权属于行业规范的范畴,就是属于互联网这个行业。那么在这个领域又单独抽出了个隐私权,隐私权的立法根据还是不牢靠的。
“所以,应该首先在主法上,比如在民法上把这个权限确定,然后跟宪法、刑法都衔接起来,然后才涉及下面网络通信的相关法律。所以说这是一个系统,这个系统的问题不解决,在实际操作中,肯定会出现很多亡羊补牢的事情。”董毅智最后对《法人》记者强调。