数据已成为当前企业乃至国家重要的战略资源,个人信息作为个人的数据资产受到了越来越广泛的关注。App企业跑马圈地野蛮生长,强制授权、过度索权、超范围收集个人信息、未制定并公开隐私政策等乱象丛生,使个人信息保护难上加难。自2019年四部门联合成立App专项治理工作组以来,相关部门连续出台了多个法律法规并陆续开展了专项治理行动,完善个人信息保护监督管理机制,打击违法违规收集使用个人信息行为,引导相关企业和公共服务机构强化保护措施,保障公民合法权益。
2019年12月底,根据《关于开展App违法违规收集使用个人信息专项治理的公告》,为监督管理部门认定App违法违规收集使用个人信息行为提供参考,为App运营者自查自纠和网民社会监督提供指引,落实《网络安全法》等法律法规,国家互联网信息办公室、工业和信息化部、公安部、市场监管总局联合制定了《App违法违规收集使用个人信息行为认定方法》。
2020年2月,中国人民银行发布了金融行业标准《个人金融信息保护技术规范》,从安全技术和安全管理两个方面规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期环节的安全防护要求。
2020年3月,GB/T 35273-2020《信息安全技术 个人信息安全规范》正式发布,并将于2020年10月1日实施。规范对个人信息收集、储存、使用做出了明确规定,并规定了个人信息主体具有查询、更正、删除、撤回授权、注销账户、获取个人信息副本等权力。
2020第一季度,全国公安机关网安部门充分发挥职能作用,加大公民个人信息保护力度,依法查处违法违规收集公民个人信息App服务单位386个,涉及信息咨询、辅助学习、文学小说、新闻资讯、娱乐播报等多个类型。其中,97个App被予以行政处罚,192个App被依法责令改正违法行为,51个App被下架、停运,有效保护了公民个人信息。
2020年4月,国家计算机病毒应急处理中心在“净网2020”专项行动中对互联网监测发现,20余款外卖、医疗和在线教育类移动应用存在涉嫌隐私不合规行为。这些移动应用的违法违规行为主要有三大方面:一是未向用户明示申请的全部隐私权限。二是未说明收集使用个人信息规则。三是未提供有效的更正、删除个人信息及注销用户账号功能。
2020年5月,开始正式公布首批拟备案移动金融客户端应用软件名单,目前已经公布了三批,127款应用入围备案名单。为保障个人金融信息安全、提升金融APP安全防护能力,央行于2019年9月发布了《移动金融客户端应用软件安全管理规范》,要求金融机构按照《规范》对APP进行整改,并向中国互联网金融协会进行备案。移动金融客户端应用软件备案管理工作试点于2019年底展开,中国互联网金融协会在全国范围内分批组织开展App备案推广,并逐步落实风险信息共享、投诉处置机制、黑白名单、违规约束等自律管理工作。
2020年5月,App专项治理工作组发布《App违法违规收集使用个人信息专项治理报告(2019)》(以下简称《报告》),2019年3月起,评估发现违法违规收集使用个人信息问题共计6976个,向256款App的运营者通报问题,督促其完成1267个重点问题的整改工作,建议有关监管部门下架未落实整改要求App共11款。《报告》称,四类具体问题中,“无隐私政策”“一次性打开多个权限”“申请权限未明示目的”三类问题降幅明显。就“收集与业务功能无关的个人信息”问题来看,由于存在界定“无关”范围的复杂性等问题,该问题目前发现比例较少,且处于波动阶段,应当作为后续治理工作的关注重点。
截止2020年5月底,教育移动互联网应用程序备案管理系统公布了1543家企业的3388个教育App备案。教育部印发《教育移动互联网应用程序备案管理办法》。《办法》规定,省级教育行政部门开发的教育移动应用向教育部进行备案。小程序、企业号等平台第三方应用统一到平台方提交备案信息,并由平台方向教育部共享备案信息。7月1日起,将对未完成备案的教育App提供者予以通报,限时1个月进行整改。7月31日前未完成整改的,将撤销教育App备案。
2020年6月,据央视新闻报道,有网友反映自己手机上安装的App很多存在频繁自启动、访问、读取手机信息的现象。其中一款名为“优学院”的移动教学软件十多分钟读取近25000次手机照片和文件;而腾讯“TIM”一小时内尝试自启动近七千次,并不断尝试读取通讯录。针对媒体曝光手机App侵害用户权益的问题,工信部组织第三方检测机构对手机应用软件进行检查,并对发现存在问题的企业进行了集中约谈。要求相关企业于6月17日前完成整改。
2020年7月初,依据《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,工信部组织第三方检测机构对手机应用软件进行检查,对发现存在问题的企业进行督促整改。截至目前,工信部共发布两批侵害用户权益行为App共计31款,好医生、智慧树、游民星空等在列,所涉问题集中在过度索取权限、私自收集个人信息、超范围收集个人信息、不给权限不让用、私自共享给第三方、强制用户使用定向推送功能、不给权限不让用等。