优化行业服务提升用户感知 保护个人信息安全从自己“做主”开始

随着移动互联网技术迅猛发展，手机成了人们生活的重要载体，现在几乎所有生产、生活都是基于网络开展的，这也导致个人信息保护问题越发突出。2021年11月1日，《个人信息保护法》正式实施。工信部同期开展了服务感知提升行动，提出建立个人信息保护“双清单”，加大用户信息保护力度，把个人信息使用的主导权“交还”给用户。

建立“双清单”制度让用户充分享有知情权

《个人信息保护法》中明确了个人信息处理活动应遵循的原则，构建了以“告知-同意”为核心的个人信息处理规则。其中，告知原则非常重要，即以显著的方式、清晰易懂的语言，真实准确完整地告知用户。工信部发布的《关于开展信息通信服务感知提升行动的通知》（以下简称《通知》）是《个人信息保护法》颁布后首个提出个人信息保护具体措施的行业法规，“双清单”制度更是落实《个人信息保护法》中“告知-同意”原则的重要手段，对于促进《个人信息保护法》落地实施将起到非常直接的作用。

近年来，工信部纵深推进APP侵害用户权益整治行动，对违规行为持续保持高压震慑。但APP提供者在应对监管时发布的隐私协议越来越复杂，让用户直呼“看不懂”，更不明白自己的个人信息是如何被收集使用的。

中国信息通信研究院技术与标准研究所产业互联网研究部主任汤立波表示，此次“双清单”制度的出台，目的是把告知原则落到实处，让用户能够有一种简单易懂的方式，随时可以掌握自己的个人信息如何被收集使用。《通知》要求相关企业简洁、清晰列出APP（包括内嵌第三方软件工具开发包SDK）已经收集到的用户个人信息基本情况，包括信息种类、使用目的、使用场景等。可以说，“双清单”是《个人信息保护法》告知原则的具体体现。

除此之外，《通知》提出，APP与第三方共享个人信息要非常明确地告知用户，这意味着，企业要将是否把信息共享的权利交给用户，有效维护了用户的知情权。

汤立波表示，要达到“双清单”当中的要求，企业必须尽快适用相关法律法规，严格执行《个人信息保护法》的要求，同时要全面梳理企业在业务流程中，涉及收集和共享个人信息的过程，一定要围绕最小必要原则。

“通过‘双清单’制度，建立简洁清晰的共享清单，用户可以反向监督企业的行为。换句话说，若企业合规，用户也会给予理解，若企业自身存在问题，就要积极整改，坚决杜绝私自收集、使用个人信息的行为。”汤立波说。

多元治理个人信息保护促进行业繁荣发展

实际上，无论是《个人信息保护法》，还是“双清单”制度，目的都不是阻止信息共享，而是要规范信息共享。

中国信息通信研究院互联网法律研究中心主任方禹说：“虽然《个人信息保护法》里面规定，用户享有知情权，企业在使用个人信息时要告知其使用的目的、范围和方式。但在实际操作中，很多企业的操作并不合规，甚至存在规避责任或者转嫁义务的情况。”

互联网企业是重要的个人信息处理者，也是APP用户个人信息权益保护的主要责任方和实践者。“全行业要坚决杜绝APP没有经过用户授权就将用户个人信息共享给第三方的情况，规避不合理的共享行为。”方禹说。

根据《个人信息保护法》以及相关政策规章的要求，汤立波建议有能力和有条件的企业要针对性地建立相应的工作机制，在企业内部形成合规操作，杜绝引诱、误导使用个人信息的情况。从行业层面来看，龙头企业应该发挥带头示范作用，具备相应的自律意识，带动中小企业同步提升，形成全行业共同保护用户个人信息的氛围。

近年来，APP“钻空子、打擦边球”违规收集、使用个人信息的情况屡屡发生。《通知》要求应用商店应为本平台APP提供检测服务，防止违规APP上架，强化应用商店关键责任链管理。截至目前，应用商店已主动下架40余万款违规APP，把APP个人信息保护防线前移，加大用户信息保护力度。

值得注意的是，APP强制、频繁、过度索取权限的行为一直饱受用户诟病，针对这一现象，《通知》提出，涉及调用用户终端中相册、通讯录、位置等敏感权限的，应当以适当方式告知用户调用该权限的目的。“这次调整，让用户可以更清晰地了解权限用途，从而便于用户更明确地作出主动性选择，以充分保障用户的知情权。”泰尔终端实验室信息安全部主任宁华说。

方禹认为，个人信息保护问题是典型的多元治理，需要从企业、行业、监管部门以及用户自身多方面共同推进。

政府监管部门需要常态化持续性监管与执法，让全行业形成对个人信息保护的共同认知，并不断深化。此外，要加强对企业的指导工作，通过宣贯等形式，帮助企业做到合规经营。企业可以按照“双清单”的要求，按部就班完成对用户个人信息的保护工作。用户要培养良好的APP使用习惯，遇到不合理的获取权限的要求应予以拒绝，提升对个人信息的保护意识，以适应快速发展的数字生活。

通过协同治理、多管齐下，让人民群众在个人信息保护方面的获得感更足。