针对超大型互联网平台个人信息保护的立法

大数据时代，个人信息获取成为一把“双刃剑”:在海量数据的加持下，行业进入快车道，但同时个人信息屡遭泄露，霸王条款层出不穷，个人信息保护的立法保护亟待跟进。4月26日提交全国人大常委会二次审议的《个人信息保护法》草案，已经将矛头对准了超大型互联网平台，拒绝在超大型平台前“裸奔”个人数据。

独立机构进行监督

监管超大型互联网企业个人信息获取有了新的途径。具体来说，草案第二稿明确规定，提供基础互联网平台服务的个人信息处理者、用户数量大、业务类型复杂的，应当建立以外部成员为主的独立机构，对个人信息处理活动进行监管；停止在严重违反法律、行政法规处理个人信息的平台上为产品或服务提供者提供服务；定期发布个人信息保护社会责任报告，接受社会监督。

此外，针对个人信息收集、使用规则不透明、过度收集和使用等热点问题，草案二稿进一步明确个人信息不得通过“强制”方式处理；在处理个人信息时，应披露个人信息处理的规则，表达处理的目的、方法和范围，保证个人信息的质量。

随着近年来的发展，个人信息保护立法的呼声越来越高。浙江小德律师事务所主任陈文明今天在接受《新京报》采访时表示，该条例的实施将对规范移动互联网应用的个人信息处理活动，促进个人信息的合理使用，同时有效保护用户的同意权、知情权、选择权和个人信息安全发挥作用。

聚焦敏感个人信息

人们在受益于超大型互联网平台带来的生活便利的同时，往往会觉得自己的信息被不当收集甚至泄露。最典型的例子就是非常大的互联网平台利用获取的用户信息实现商品和内容的针对性推送，莫名其妙的骚扰电话更让人讨厌。用户在享受便利的同时，也在被超大型互联网平台的信息请求“绑架”。这些互联网平台在获取了大量个人信息的同时，也完成了一定程度上助推自己垄断的可能性，信息获取、垄断、环环相扣。

2020年10月，个人信息保护法草案首次提交全国人大常委会审议。与初稿相比，个人信息保护法二稿做了很多修改。

近日，全国人大常委会法制工作委员会发言人严铁伟表示：“根据各方意见，草案第二稿针对个人信息过度收集和使用等突出问题，完善了个人信息处理应遵循的原则；完善和丰富个人信息合法处理、撤回同意、自动决策和跨境提供个人信息的规则；增加对死者个人信息保护的规定；明确全国网络信息部门协调推进个人信息保护的相关职责；与《民法》相关规定挂钩，完善侵犯个人信息权益的民事法律责任。”

鉴于目前个人信息保护领域存在的突出问题，臧铁伟表示，《个人信息保护法》草案将设立专门条款，对敏感个人信息的处理施加更严格的限制。敏感的个人信息只能在特定目的和充分必要的情况下处理，并应获得个人同意或书面同意。

提到App开发运营商要履行个人信息保护义务。例如，如果他们基于个人信息向用户提供商品或服务的搜索结果，他们应该确保结果是公平合理的。使用第三方服务，应制定管理规则。App开发运营商未履行监管义务的，应当依法与第三方服务商承担连带责任。此外，App开发运营商还需要履行国家规定的其他个人信息保护义务。

陈文明表示，目前，App非法收集和使用个人信息不规范，存在强制、欺骗性和误导性的个人信息处理方式，严重侵犯了用户的同意权、知情权、选择权和个人信息安全；而且还存在一些问题，比如私下收集个人信息，不给予许可，过度索取许可，私下与第三方分享等等。

事实上，监管部门已经不止一次处理过从App获取信息的问题。不久前，国家网络信息办、工信部、公安部联合发布了《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》，对App的个人信息采集活动进行了明确规范。很明显，App运营商不应该因为用户不同意提供不必要的个人信息而拒绝用户使用App的基本功能，地图导航、即时通讯、网购等39种常见App类型的必要个人信息范围也已经划定。《常见类型移动互联网应用程序必要个人信息范围规定》将于今年5月1日起实施。

此外，工信部网站多次发布《规定》，督促问题企业整改。逾期未整改的，工业和信息化部将依据法律法规组织相关处置工作。4月23日下发的通知中，仍有93款应用未整改。其中，广州千奇动画有限公司开发的《关于侵害用户权益行为的App通报》(1.7版)由于App强制、频繁、过度的权限请求，一直没有整改。