法律专家：如何看待APP安全认证及个人数据保护合规？

王良

2019年3月15日，市场监督总局与中央网信办联合发布《关于开展App安全认证工作的公告》。公告称，为规范App收集、使用用户信息特别是个人信息的行为，加强个人信息安全保护，根据《中华人民共和国网络安全法》《中华人民共和国认证认可条例》，市场监管总局、中央网信办决定开展App安全认证工作。公告鼓励App运营者自愿通过App安全认证，鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的App。这是继3月1日APP专项治理小组发布《App违法违规收集使用个人信息自评估指南》，要求APP运营者进行自查自纠后，国家网络监管部门进一步推进开展个人信息专项治理工作（下称“专项治理工作”）的又一重要举措。对App进行安全认证，将有助于App运营者不断规范个人信息的收集和使用行为，持续提升个人信息保护水平，最终实现保障个人信息安全、维护网民合法权益的专项治理工作目标。

公告称，从事App安全认证的认证机构为中国网络安全审查技术与认证中心，检测机构由认证机构根据认证业务需要和技术能力确定。认证机构和检测机构应按有关规定，客观、公正地开展认证和检测活动，并对认证和检测结果负责。与此同时，也公布了“App安全认证实施规则”（下称“实施规则”）。实施规则解释了适用范围、认证程序以及认证书和认证标志的使用和管理等规则。实施规则称，App安全认证的认证依据主要为2018年5月1日起生效的 GB/T 35273《信息安全技术个人信息安全规范》。该国家标准以保护“个人信息”为核心，在《网络安全法》的框架下，结合国际通用保护理念，提出了权责一致、目的明确、选择同意、最少够用、公开透明、确保安全、主体参与七大原则以及个人信息处理生命周期的控制和管理要求，为组织全面提升个人信息保护水平提供了详尽、完备和体系化的指导。尽管该规范属于推荐性国家标准，不具有法律上的强制约束力，但是App运营者如果对外明示其承诺遵守，或者通过了App安全性认证，则对其具有当然约束力。网络监管部门可以据此督促和监督App运营者遵守数据保护和个人信息安全的要求。对APP经营者来讲，申请安全认证可以向公众彰显其保护个人信息数据的决心，在认证过程中通过采取适当的技术与组织措施来提高数据合规能力，可以形成竞争优势，赢得更多用户的认可与信赖。另外，在《网络安全法》执法日趋严格、个人信息保护日益重要的形势下，App运营者不但要保证数据处理的合规，还应负有合规证明义务。而APP安全认证由权威的第三方对App运营者的产品、服务、管理体系符合相关技术规范进行的安全性评定，作为一种合规性证明，可以向网络监管部门展示其数据处理活动的合规性。

实施规则进一步规定，原则上按App版本申请认证，同一名称的App，版本号、操作系统平台等不同时，一般应分为不同申请单元。并非所有App运营者都可以申请安排认证，运营者违反相关法律法规、在12个月内发生重大信息安全事件、所持同类证书在撤销认证影响期内等情况出现时，不得申请认证。App安全认证的认证模式为：技术验证+现场核查+获证后监督。即便是获得安全认证的App运营者，也应持续进行获证后自评价，并配合认证机构的日常监督和专项监督。认证机构应定期对日常监督情况进行评价，形成日常监督报告。认证机构可采取事先不通知的方式对获证App运营者实施专项监督。获证后监督中发现不符合时，认证机构应要求获证App运营者在限期内进行整改，并对整改结果进行验证。未在规定期限内完成整改或整改结果未通过验证的，认证机构应暂停、撤销和注销认证。实施规则还规定了认证标志的式样。在认证证书有效期内，获证App运营者可将证书在网站、工作场所和宣传资料中展示，但不应进行误导性宣传。

鉴于我国的《个人信息保护法》还处于立法规划阶段，离正式颁布和实施尚待时日，当下通过推行认证工作来要求App运营者执行《信息安全技术个人信息安全规范》具有很强的现实意义。一方面，推行App认证工作将赋予这部国家标准对认证参与者的强制效力，作为未来《个人信息保护法》的前奏，让标准实质上起到规范、调整APP经营者商事行为“法律”的效能。另一方面，在专项执法工作中对各种监管方法和手段的尝试，以及在此过程中发现和处理的案例及经验积累，将为我国《个人信息保护法》的诞生奠定理论与实践基础，推动一部更加贴合实践的、体现中国数据治理理念和治理水准的、高质量的《个人信息保护法》的出台。作为提升个人信息保护意识的举措，2019年国际消费者权益保护日央视3.15晚会曝光了几起侵犯个人信息及隐私权的典型案例。一起是关于技术产品WiFi探针盒子，由萨摩耶公司生产可以用来非法收集用户MAC地址，该技术产品涉嫌违反相关国家标准的强制性要求，应当被禁止使用。另一起是银联非接卡默认开启闪付功能，持卡用户被“隔空盗刷”。盗刷银行卡属于犯罪行为，但对银联来说设置该闪付功能是否应多消费者资金安全而非技术便捷上重新进行考量。第三起是“社保掌上通App”名为查询、实则截留用户个人信息，该App通过不合理条款强制索取用户隐私权、过度用权涉嫌违反《网络安全法》，工信部已经要求对该产品在应用商店全面下架并对该企业进行核查。那么，App运营者应当如何来进行数据合规管理，保障个人用户权利，减少数据安全问责呢？笔者结合以上案例，做出如下几方面的建议：

首先，制定完善的隐私政策文本，切实遵守在App上发布的文本、声明或通知等规定。隐私政策文本是企业收集、使用等个人信息处理行为的公开声明，是证明企业履行告知义务的重要证据，也是政府监管和社会监督的重要依据。根据《App违法违规收集使用个人信息自评估指南》的要求，隐私政策文本必须单独成文、易于访问、易于阅读，并且需要清晰说明各项业务功能及所收集个人信息的类型、处理规则以及用户权益保障，特别是不应当设置不合理的条款。建议企业在创建文本时，先去了解一下竞争对手和所在行业的具体情况，并结合自身的商业模式及技术能力，制定出切实可行的政策文本，而直接照搬照抄模板的做法并不可取。企业还要考虑政策文本在实践中能够被遵守的程度，无法遵守的话则可能会面临执法与监管风险。

其次，App运营者在收集使用个人信息的行为方面，应明示收集的目的、方式和范围，并经用户自主选择，不应存在强制捆绑授权行为，收集个人信息应满足必要性要求，APP不应收集与业务功能无关的个人信息。在用户权利的保障方面，应支持用户注销账号、更正或删除个人信息，及时反馈用户申诉。

前述由杭州递金网络科技有限公司开发的“社保掌上通App”，其注册协议上规定的诸如“……您在此充分地、有效地、不可撤销地明示同意并授权我们使用您的社保账户密码为您提供查询服务。” 等内容，属于不合理条款。应当认为，用户的社保信息不但是公民个人隐私，还涉及到征信管理的问题，对官网社保数据的抓取也可能侵害到国家信息安全。因此，对此类个人敏感数据的收集和处理需要获得用户更高级别的明示同意和授权，通过一揽子协议获取用户同意的方式是不合理的，也是无效的。所以，“社保掌上通App”用户对协议的默示勾选不构成同意，App运营者超越授权或违背授权目的，将用户的社会保障号、社保查询密码等个人敏感信息传送至第三方服务器涉嫌不正当侵害用户的隐私权。事后，如果注册用户要求App运营商注销账号、删除个人信息的，应当予以满足，否则还应承担《网络安全法》上的相应责任。App相关注册用户如果发现自己的权益受到损害产生实际损失的，也可以提起隐私权纠纷之诉或通过合同法、侵权法等进行维权。

第三、利用第三方数据处理服务对外提供个人数据的合规问题。App运营者在对外提供个人数据时，应通过其发布的隐私条款取得个人信息主体的授权，或通过与个人数据主体单独签订协议替代获取同意。并且，App运营者不仅要对个人信息安全影响进行评估，还要对第三方数据处理商实行一定方式的监督，诸如合同约定、审计等。一般来说，App运营者作为个人信息数据控制者，应当承担主要的数据合规义务，数据处理商仅处于中介服务商地位，代表委托方的利益遵循委托方的指示行事。这时，建议App运营者通过与数据处理商签订《数据处理服务协议》，明确数据处理商的数据安全责任以及在数据安全事件下的通知、合作及赔偿义务等。在“社保掌上通App”案例中，App运营者将用户的社会保障号、社保查询密码等个人敏感信息传送至上海富数科技有限公司，由其提供数据采集、分析和处理服务。鉴于其与杭州递金网络科技有限公司的关联关系，其是否仅仅视为信息中介服务商？在本案中的责任如何界定？仍需要待监管部门在核查后方能认定。

最后，作为App运营者，还需要定期对自己的数据处理业务进行内审，识别数据处理的关键业务流程，对其中涉及的个人信息进行全生命周期管理，定期评估风险发现问题，经常开展员工合规培训，形成一套自己的数据合规管理体系。符合条件的，可以考虑通过第三方对自身的个人信息保护能力进行认证，避免承担不适当的隐私与合规风险。（作者系金诚同达律师事务所合伙人）

（更多精彩内容，点击这里下载都市财经手机版）