App隐私政策的数据安全合规风险分析

App隐私政策的数据安全合规风险分析

常嘉

广东法制盛邦律师事务所 广东广州 510000

摘要：数字时代的到来，使得多钟网络信息技术、大数据、云计算技术等被广泛应用到我国各个行业的发展与建设之中，而在这种“互联网+”行业发展的有效融合之中，人们在实际进行智能手机使用的过程中，就会涉及多种APP的利用，但是，这些APP在为人们生活带来便利的同时，也给人们的隐私数据信息安全带来了一定的隐患。这种隐患的来源主要表现为APP隐私政策的合规管理存在严重的不足与缺陷，给用户的隐私造成了一定程度上的侵害。基于这种现象的出现，笔者将针对App隐私政策的数据安全合规风险，进行全面的剖析与探究。

关键词：App隐私政策；数据安全合规；风险分析

前言：App隐私协议，消费者和公司双方为信息获取、管理工作签订的合同，主要内容涉及App如何收集、保存、管理消费者信息的有关信息安全保护政策，以及消费者对信息获得的权益以及实现途径。而就实际情况来说，App产品对消费者的信息安全保障情况也并不乐观[1]。在2021年5月，根据国务院网信办公布通报，共有84款App产品出现了非法违规获取用户信息等情况，其中36款信息安全服务类App、48款互联网借贷类App。

1APP隐私政策合规的内涵

APP隐私权政策的合规，归根到底是运营商站在使用者的视角思考，怎样更明确、清晰地告知使用者搜集和利用个人信息规律，怎样设定程式，让使用者的接受更现实、自觉，且搜集和利用的信息内容是为实现APP功能来说至关重要的。当你对用户越诚实和友善，法律风险也就离你越远。

2App隐私政策的数据安全合规问题的具体表现形式

2.1个人信息授权细化、分级需要细化

针对于个人信息的细化、分类的规范化等这些措施所采取的有效性，主要体现在当前阶段的教育市场实践中，曾出现“一次性授权”被“欺骗”的案例。据笔者调研显示，在某市从事教师工作的李老师就曾受到过这种欺骗，在其每次打开某阅读App月度活动后，他发现自己每个月都有资费扣减，几次查询出现是首次打开时，页面下方无法出现、默认勾选的“自动续费”，并且启动了免密支付方式，致使其在不知道情的状况下被屡次扣费。目前的“知情认可”机制尽管涵盖收集、管理、应用的整个过程，但一般的完全授权在刚刚开始应用App时即已达到[2]。2021年调查的150个App隐私协议中，仅有22个描述有要求客户二次许可的情形。

2.2在政策之中对于个人信息的立法存在空白

目前中国的信息保障系统还处于开发阶段，面临条款笼统、细节内容欠缺的现状。立法倾向于对信息提供高度同质化、不加区分的照顾，而漠视了不同App的业务特征。例如，美妆类App与电商类App在获取并利用信息的程度和手段方面就有着明显区别，美妆类产品通常会包含一些面目特征的生物数据，而电商类产品则需要规定较高的信息、交易限额等要求。

2.3监管权责的分配需要进一步健全

App安全监管体系涵盖了众多政府部门，“九龙治水”的分散式执法体系出现了交叉分工，导致重复执法与监督的失败。此前组建的一些App专项整治工作组，采取定时公布违法违规App清单的形式提醒厂商下架整治，但这种无持续性的“运动式治理”，工作方式费时多、反应缓、能力差。另外，政府针对此类专项整治工作的新闻宣传能力也欠缺，消费者若不及时加以主动查询就很难得知App整治成果中的隐私情况。

3APP隐私政策数据安全合规的规范对策分析

3.1APP平台要注重改进隐私保护技术并着重提示义务建设

具体来说，首先，公司应当在隐私合同中对信息保护措施作出了明示。然后，公司在调整或取消信息服务协议内容或解除责任关系后，应当采取适当的手段提醒消费者，并利用信息安全强制手段将实质性的信息安全保障措施纳入公司经营。再者，从客户需求层面，贯彻“知情同意”原则上，完善筛选管理机制，设定科学合理的接受和退回管理机制。应充分地保护使用者地位，使用者针对App提交的信息收集等要求应拥有拒绝接受的权力，使用者拒绝接受许可后，App应持续提交一些基本服务功用，不可设定“不接受就退出”的捆绑许可方法，强制使用者接受已有的要求[3]。对各种敏感程度的信息加以分类，各种程度信息获得许可的频率、期限、途径均需作出各种规定。

3.2政府、APP、用户三方主体权利分层

建立App信息使用与维护的管理制度架构。应健全有关政策法规，设立专门技术管理人员。此前，政府有关部门就已提出，将在全面吸纳各界建议的基石上，研究制定出台《移动互联网应用程序个人信息保护管理的暂行规定》。从内容展现方式、公司权责范围等几个方面，对App隐私协议文本内容作出统一详尽的规范，以进而形成实操性更强的合规行为审核指引体系，或将为隐私协议的困局打开突破口。

3.3APP隐私协议指南的有效制定

建立App隐私交易向导，为公司、私人和市场监管者提出操作性指导。该指导还应明确了各种情况下对隐私协议遵循的各种标准，既可为执法者实施审核监控提出客观合理的根据，也可为App开发者与经销商提出明晰可信的参照，从而协助他们有效降低信息系统合规行为生产成本，并迅速对标符合国家、产业的安全规范。

3.4个人信息保护专项立法与市场监管制度的完善

以增设专项专章保障弱势群体、增设新型数据信息权益等方法，推进建设新兴个人信息保护与数据安全管理制度。受限于认识技术水平等因素，老年人、学生的信息更易于受到不规范隐私权约定的侵犯，必须加强立法保障。针对14岁以内未成年的个性信息处理，个人资料保护法草稿已有明文规定实施“未成年人+家长”双重约定原则上。同样，也针对老人等群体设定相似的倾斜保护管理制度，以增强针对特殊使用者的保护性。业内专家学者指出，立法内容应与法国民法典的要求相衔接，确定在个人信息处理活动中的各种先进数据权益，包含知情权、查询权、修改权、撤销权等，并确立个别行使权利的申请受理和处理机制。

结论

综上所述，APP隐私政策数据安全的合规建设，归根究底一定要懂得站在用户的角度出发，再辅以相关政府部门的有效监管，推进监督机制的健全，这样才能够为用户权益、隐私的保护提供助力。本文从APP隐私政策合规的内涵、App隐私政策的数据安全合规问题的具体表现形式、APP隐私政策数据安全合规的规范对策分析三个角度出发，希望能够为APP隐私政策数据安全合规风险的规避提供一定的建议。

参考文献

[1]陈名玥.App隐私政策的数据安全合规风险调查及法律对策研究[J].河南司法警官职业学院学报,2022,20(3):68-71.

[2]刘裕,周毅,农顔清.网络信息服务平台用户个人信息安全风险及其治理——基于117个APP隐私政策文本的内容分析[J].图书情报工作,2022,66(5):33-43.

[3]徐磊,郭旭.大数据时代读者个人信息保护的实践逻辑与规范路径——以图书类App隐私政策文本为视角[J].图书馆建设,2021(1):74-83+92.