双清单的由来
2021年11月12日,工业和信息化部印发《关于开展信息通信服务感知提升行动的通知》(以下简称《通知》),旨在推动信息通信行业进一步改善服务质量,提升服务水平。聚焦影响用户感知的信息通信服务环节,《通知》提出,推动实现服务举措“五优化”,建立个人信息保护 “双清单”,实现服务能力“四提升”。
在推动实现服务举措“五优化”中,《通知》提出,优化隐私政策和权限调用展示方式。互联网企业应以简洁、清晰、易懂的方式,向用户提供APP产品隐私政策摘要;涉及调用用户终端中相册、通讯录、位置等敏感权限的,还应当以适当方式告知用户调用该权限的目的,充分保障用户知情权。
围绕建立个人信息保护“双清单”。《通知》明确,各相关企业应建立已收集个人信息清单和与第三方共享个人信息清单,并在APP二级菜单中展示,方便用户查询。已收集个人信息清单应简洁、清晰列出APP(包括内嵌第三方软件工具开发包SDK)已经收集到的用户个人信息基本情况,包括信息种类、使用目的、使用场景等。与第三方共享个人信息清单应简洁、清晰列出APP与第三方共享的用户个人信息基本情况,包括与第三方共享的个人信息种类、使用目的、使用场景和共享方式等。
在实现服务能力“四提升”中,《通知》指出,要提升APP关键责任链个人信息保护能力。鼓励应用商店为本平台APP提供检测服务,及时向APP开发者反馈相关问题并督促改正,防止违规APP上架。内嵌SDK在非服务所必须或无合理应用场景下,不得自启动或关联启动;APP开发者、内嵌SDK应提供相应功能,由用户自主选择是否开启关联启动。
双清单的作用和意义
工信部督促主要互联网企业建立个人信息保护“双清单”,主要是加强对个人信息数据的保护。
数字技术已全面渗透人们日常生活。然而,相关企业对数据的收集、使用、共享等,不同程度地存在某些问题,产生了过度收集个人信息、数据过度共享、大数据“杀熟”等乱象。
我国一直高度重视数据安全保护。数据安全法、个人信息保护法、网络安全法、电子商务法和民法典,以及相关部委出台的有关政策规范,形成了一个较为完整的数据保护体系。“双清单”制度是保护用户的合法权益的基础制度。根据工信部最新消息,在督促主要互联网企业建立个人信息保护“双清单”方面已取得一定的成效,个人数据保护的篱笆进一步扎牢。
对数据收集实行最小必要原则,是各国数据保护中的基础共识,也是从源头进行数据保护的重要工作。“双清单”的第一个清单要求企业给出其已收集的个人数据清单,简洁、清晰列出APP(包括内嵌第三方软件工具开发包SDK)已经收集到的用户个人信息基本情况,包括信息种类、使用目的、使用场景等。这不但能更好地保障用户的知情权,也便于主管部门及时发现相关企业是否存在数据过度收集的问题,还有利于企业持续发现自身在数据收集方面所存在的问题。
个人数据保护的另一个问题是相关企业对数据的利用和共享规则不公开,将整个数据的利用和共享过程“黑箱化”。在实践中,用户经常遇到“在某一APP上浏览、购买产品,而其他APP会推送相关内容”等问题,其背后是一些拥有数据的企业为有关第三方提供了数据共享。但对用户而言,其根本不知道数据被共享到何处,容易造成不安和恐慌。对此,“双清单”的第二个清单,要求企业在二级菜单中列出APP与第三方共享的用户个人信息基本情况,包括与第三方共享的个人信息种类、使用目的、使用场景和共享方式等,使用户清晰掌握个人信息在APP、SDK及其他第三方间的共享情况。阳光是最好的防腐剂,实现个人信息收集、使用和共享的透明化,有利于推动建立个人信息和数据保护的长效机制。