'公安部網安局盧雪娜：依法落實移動互聯網應用安全責任 切實保障公民個人信息安全'

保障個人信息安全 維護網民合法權益

移動互聯網應用程序（App）的廣泛應用，在促進經濟社會發展、服務民生的同時，也引發大量存在強制授權、過度索權、超範圍收集個人信息的現象，違法違規使用個人信息的問題十分突出，直接影響網絡用戶的個人信息安全，同時，也給政府監管部門執法工作和相關部門的立法工作帶來巨大挑戰。為此，中央網信辦、工業和信息化部、公安部、市場監管總局四部門在全國範圍組織開展App違法違規收集使用個人信息專項治理，以保障個人信息安全，維護網民合法權益。

隨著我國信息化建設的飛速發展、大數據戰略的快速推進，移動互聯網逐步覆蓋社會絕大多數行業和領域，逐步滲透到生產生活的方方面面，各類移動互聯網應用百花齊放，在助力社會服務效率提升，助推數字經濟全面加速發展的同時，也帶來了一系列安全問題。特別是濫採濫用個人信息的問題日益突出，侵犯公民個人信息的違法犯罪快速增多，損害公民合法權益，破壞網絡公共秩序，極大地影響了人民群眾的上網安全，成為社會高度關注的一個話題。

今年1月，中央網信辦、工信部、公安部、市場監管總局等四部門決定，自2019年1月至12月，在全國範圍組織開展App違法違規收集使用個人信息專項治理。為積極迴應群眾關切，順利完成專項工作，有效提升我國個人信息保護的水平，筆者認為，App企業和監管部門應通力合作，從以下三個方面入手，共防、共治、共享，清理整治網絡亂象，共同營造風清氣朗的網絡空間。

一、做好新技術新應用上線運行安全評估

2018年11月，國家互聯網信息辦公室與公安部聯合印發《具有輿論屬性或社會動員能力的互聯網信息服務安全評估規定》，對違法有害信息高發頻發、社會反響強烈的互聯網信息服務，提出了上線前開展安全評估的監管要求，並明確此類安全評估不屬於信息服務上線運行的行政許可，由企業自主開展。

據此，有關App運營者應按要求開展安全評估工作，並將評估報告提交網信部門和公安機關審查。在App專項治理工作期間，兩部門將根據審查情況，依照各自職責每月開展監督檢查，督促企業整改安全隱患，依法查處違法違規行為，以有效防止App應用“不裝剎車就上線”和“帶病運行”。

除了具有輿論屬性或社會動員能力的App之外，其他App運營者在新服務上線之前也應組織開展安全風險評估，評估防範措施的有效性。App分發平臺要加強對擬上架App的安全評估，對於預發佈、預安裝的App，要從業務合法合規審核和安全技術檢測兩方面開展工作，有效防止App應用被用於違法犯罪活動。

二、依法落實網絡與信息安全責任義務

依照我國現行法律規範，App運營者應當依法落實以下網絡與信息安全責任義務。

（一）依法收集、使用、保護、提供公民個人信息

依照相關法律規範，App企業收集、使用公民個人信息，應遵循以下“四原則”：一是收集、使用個人信息必須遵循合法、正當、必要的原則，規則公開透明，並經被收集者同意。二是不得收集與所提供服務無關的個人信息，不得違法收集個人信息，不得超範圍收集個人信息。三是應當採取技術措施和其他必要措施，防止所收集的個人信息洩露、篡改、毀損、丟失。四是未經被收集者同意，不得向他人提供個人信息，但是，經過處理無法識別特定個人且不能復原的除外。App運營者應當主動落實相關責任，及時發現整改違規行為，對違反相關規定且不採取工作措施的，有關主管部門將依法採取App下架、暫停或關閉服務、吊銷證照、社會公開等行政處罰措施。App涉嫌從事非法獲取、非法出售或者非法提供公民個人信息違法犯罪活動的，公安機關將依法作出沒收違法所得、罰款等行政處罰。構成侵犯公民個人信息犯罪的，公安機關將依法立案偵查。

（二）依法建立並落實網絡與信息安全管理制度和安全保護技術措施

一是落實網絡實名制，依法查驗用戶真實身份信息，對拒不提供真實身份信息的用戶，App運營者不得為其提供相關服務；對沒有運營者信息的App，不得在App分發平臺上架推廣。二是落實日誌信息記錄和留存制度，依照我國相關行政法規和標準要求，記錄並留存網絡日誌。三是防範、發現、處置違法有害信息，App運營者要加強用戶信息發佈管理，在發現法律法規禁止發佈、傳輸的信息或者接到公安機關等部門的處置要求後，應立即停止傳輸、採取消除等處置措施，保存有關記錄，並向有關主管部門報告。四是在服務開通三十日內，依法向公安機關辦理備案手續。五是App分發平臺要建立完善違法有害App下架處置機制，對平臺上設置惡意程序、含有禁止發佈或者傳輸的信息的App，應當停止提供服務，採取消除等處置措施，保存有關記錄，並向有關主管部門報告。違反相關規定的，有關主管部門將依法採取行政處罰措施。

（三）防範、發現、處置所提供的網絡服務被用於實施違法犯罪

一是App運營者提供的服務，或者是App分發平臺提供的應用程序，不得用於從事侵入網絡、干擾網絡正常功能及防護措施、竊取網絡數據等危害網絡安全的活動。二是App運營者要建立人防和技防相結合的安全審核制度，強化違法有害信息和活動、違法違規商品的監測發現和處置，避免其提供的服務被用於實施詐騙，傳授犯罪方法，製作或者銷售違禁物品、管制物品等違法犯罪活動，或者被用於發佈涉及違法犯罪活動的信息。三是App運營者應健全安全管理制度、採取網絡安全技術保護措施，有效防止所提供的服務為犯罪活動提供互聯網接入、服務器託管、網絡存儲、通訊傳輸等四類技術支持，或者提供廣告推廣、支付結算等幫助。違反有關規定的，公安機關將依法採取行政處罰措施，並會同有關部門落實好“網絡安全管理和網絡運營關鍵崗位”行業禁入的要求。構成犯罪的，將依法追究刑事責任。

（四）按要求依法為有關主管部門提供執法協助配合

我國法律明確規定，對網信、電信、公安等監管部門依法實施的監督檢查，網絡運營者應當予以配合。對公安機關、國家安全機關依法開展的維護國家安全、偵查犯罪以及防範調查恐怖活動，網絡運營者應當提供技術支持與協助。2018年，為進一步規範公安機關監督檢查行為，公安部制定出臺了《公安機關互聯網安全監督檢查規定》。在App專項治理期間，公安機關將針對重點App運營者和App分發平臺，特別是具有輿論屬性或社會動員能力的App依法開展專項檢查，督促指導企業健全完善管理責任制度，落實網絡實名制，依法收集使用公民個人信息，依法整改安全風險和管理漏洞。對不能防控風險、不能履行法定責任的企業，公安機關將會同有關部門依法查處。對公安機關依法開展的監督檢查，各App企業要依法予以配合。

在工作中，如果出現App企業拒不履行國家法律、行政法規中明確規定的網絡安全管理義務，經監管部門責令整改而拒不整改，對網絡秩序造成影響和危害，具有法定情形，構成犯罪的，公安機關將依據《刑法》第286條之一，以“拒不履行信息網絡安全管理義務罪”依法追究刑事責任。

三、加強政企合作共同維護清朗網絡空間

無論是政府部門，還是互聯網企業和廣大網絡用戶，都是網絡社會的成員，應當目標一致、各司其責、齊心協力，共同維護網絡秩序。

（一）監管部門應當依法履職，指導督促App企業落實安全管理的主體責任

針對公民個人信息被非法竊取、買賣、非法使用等突出問題，自2016 年以來，公安機關持續組織開展全國性的打擊整治網絡侵犯公民個人信息犯罪專項行動，搗毀了一批竊取、販賣公民個人信息的公司、平臺，摧毀了一批利用公民個人信息實施詐騙、盜竊、敲詐勒索等犯罪團伙組織體系，整治了一批違法收集、使用、提供公民個人信息的網絡運營者，遏制了相關違法犯罪的高發勢頭。在今年啟動的全國“淨網2019”專項行動中，公安機關將按照“追源頭、摧平臺、斷鏈條”的原則，繼續加大對侵犯公民個人信息犯罪的打擊力度，同時深入開展“一案雙查”，會同有關部門，指導督促各App企業落實法定責任義務，依法查處不履行網絡安全義務、為網絡違法犯罪提供支持幫助的違法違規行為。

（二）App企業在完善企業內部網絡安全責任制度、履行好法定責任的基礎上，還應當主動作為，積極承擔社會責任

一是要加強行業自律，積極參加並支持行業安全自律聯盟，推動相關行業標準和規範的制定和完善，組織開展自查自糾，合法合規地開展大數據應用。二是要健全完善群眾舉報響應制度，及時受理處置群眾舉報或投訴，改善用戶體驗，為用戶維護合法權益提供方便。三是要主動針對詐騙、淫穢色情、賭博、非法集資等群眾反響強烈的違法犯罪信息和活動，及時提供風險預警，及時發現報告網絡黑灰產線索，塑造良好的企業形象。

（三）政企協作，進一步推動完善個人信息保護的法律體系

目前，我國個人信息保護的法律框架已基本構建完成。從行政立法來看，《網絡安全法》明確了網絡運營者的個人信息保護原則，國家制定出臺了《信息安全技術個人信息安全規範》，公安部正在研究制定《互聯網個人信息安全保護指引》。從刑事立法來看，《刑法修正案（九）》中修訂完善了“侵犯公民個人信息罪”，最高人民法院、最高人民檢察院制定出臺了《關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，但是，從整體架構上來看，在行政立法上還需要一個專門立法來規制個人信息保護工作。

對此，需要各監管部門與App企業加強合作，推動在國家立法中，進一步明確個人信息保護的整體原則，明確個人、企業、政府部門的保護責任，明確相應的違法行為，特別是要順應大數據發展需求，規範對公民個人數據的採集、使用、加工、處理，確保數據主體對其數據採集、處置的知悉權和自主權，劃清合法與非法的界限，劃清罪與非罪的界限。

面對網絡社會治理過程中出現的新情況、新問題，面對公民個人信息保護這樣一個時代賦予的課題，公安機關願與App企業一起，群策群力，有效落實法定責任義務，有效保障公民合法權益，共同推進我國網絡安全的法律完善，共同維護網絡空間秩序和網絡安全。

（本文刊登於《中國信息安全》雜誌2019年第3期）