执法不是「有没有」,是「什么时候轮到你」

聊个保法之前,先讲一个很多人没注意到的事实:从2021年11月个保法正式施行至今,网信办、工信部、市场监管总局、公安部门都有独立或联合的执法行动。这些行动没有上热搜,原因很简单——目前的处罚方式以通报、约谈、限期整改、下架App为主,罚款案例虽然有但金额不算大。

但这恰恰是最容易让人麻痹的地方。通报了你、没人关注,不代表下次不会升级处罚。个保法的罚则上限是前一年度营业额的百分之五——这个数字在法条里是真实存在的,只是目前还没有走到那一步的案例。监管部门的执法节奏是一种设计:先给社会一个适应期,等你该知道的都知道了、该改的还没改,再开始动真格。

所以对于企业经营者来说,问题不是「执法严不严」,而是从公开的执法信息里能看出什么规律——搞清楚监管部门最在意什么,把有限的合规资源投到最可能被查的方向上去。

第一高频:App违规收集个人信息

如果我们把网信办和工信部过去两年公开发布的App违法违规通报梳理一遍——这个工作我们自己做过,统计了最近18个月内的约200余条通报记录——会发现「违规收集个人信息」是出现频率最高的一个词,几乎每两三条通报中就有一条涉及。

具体来说,被通报的App最常见的操作是这么几类。第一,「必要原则」的被违反:App要求用户授权通讯录、位置信息、相册等权限,但这些权限和App的核心功能没有关系——一个计算器App为什么要读你的通讯录?第二,默认勾选同意隐私政策:没有给用户明确的同意按钮,而是把「使用即表示同意」写在角落里。第三,频繁索权:用户拒绝了一次授权之后,App反复弹窗要求授权,弹到用户烦了点了同意为止。

这些操作在过去几年被大量App当成常规做法。但从2023年下半年开始,通报频率明显上升,而且通报范围从大厂App扩展到了中小App。信号很明确:隐私合规不再是只有大公司需要关心的事。

一个实用的建议:把你的App的权限请求列表拉出来,逐项问自己一个问题——「如果没有这个权限,我的App核心功能还能不能正常使用」。如果答案是「能」,这个权限就不该向用户索取,至少不该在首次启动时索取。把权限分成「必须」和「可选」两类,必须的在用户第一次用到对应功能时再要,可选的放进设置页面等用户主动打开。

第二高频:用户权利响应机制缺失

个保法赋予了用户几项具体的权利:查询权、更正权、删除权、注销权、撤回同意权。法律上说得很清楚——用户要求注销账号、要求删除个人信息、要求撤回同意的时候,企业必须提供一个简单有效的方式来响应。

但现实是,大量App和网站完全没有建立这个响应机制。用户想注销账号,翻遍App找不到入口,发的邮件石沉大海。「找不到注销按钮」这件事本身,在监管部门的执法框架下就是一个可以被通报的问题。

建立响应机制的技术实现并不复杂。最基本的版本:在你的App或网站上设置一个明确的隐私相关请求入口页面,写明用户可以行使哪些权利、通过什么方式联系你,然后确保有人定期查看和处理这些请求。更完善的版本:在后台管理系统中建立一个隐私请求处理工单系统,每条请求有记录、有处理状态、有处理时限。这不是什么需要花大价钱才能做到的事——更多是意识和流程的问题。

第三高频:与第三方的数据共享缺乏透明度

很多App会在隐私政策里写「我们可能与第三方合作伙伴共享您的个人信息」。这句话本身不违法,但「可能」和「共享」这两个词背后藏着大量的合规风险。

监管部门对第三方数据共享的关注点在两个层面。第一个层面是告知:你在隐私政策里需要明确列出和哪些类型的第三方共享了什么类型的数据、用于什么目的——「可能共享」这种模糊语言在执法实践中越来越不被接受。第二个层面是责任:你向第三方提供了数据,第三方如果出了数据安全问题,作为数据提供方你也有责任。个保法对委托处理者责任的规定是明确的——你选了不靠谱的合作伙伴,出了问题你也有份。

对中小企业来说,最务实的做法是在引入任何外部服务(数据分析、广告投放、用户行为追踪、第三方登录)的时候,做一份记录:这个服务会获取什么数据、数据存在哪里、这家服务商有没有安全认证、它的数据处理协议有没有签。这份记录不需要很复杂——一个表格就够了。它的价值在于,一旦出问题,你能说清楚数据流向了哪里。

不要等到被通报才开始做

这篇文章从头到尾没有讲一句「个保法很重要」的空话,因为对读到这里的经营者来说,这句话已经不需要再重复了。要带走的核心信息是三件事:第一,执法一直在发生,只是以通报和整改为主,但处罚力度在逐步上升;第二,App权限索取、用户权利响应、第三方数据共享这三件事是被查概率最高的方向,合规资源的分配应该优先往这三个方向倾斜;第三,大部分合规要求的技术实现和管理流程并不复杂,关键是有没有人专门负责这件事。哪怕是一个兼职的法务或合规岗位,也能显著降低被通报的概率。