来源:人民邮电报
作者:王春晖
近日,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合发布的《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称《规定》)确立了各类App收集必要个人信息的范围,并明确要求:“移动互联网应用程序(App)运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用App基本功能服务。”《规定》体现了个人信息保护的价值导向,彰显了以人民为中心的根本立场。
收集用户信息不能任性而为
目前,大量移动互联网应用程序(App)存在强制授权、过度索权、超范围收集个人信息的情形,尤其是违法违规使用个人信息的问题十分突出,已经毫无规则和底线,广大网民深恶痛绝。每当我们在给手机安装某些App时,往往会被询问是否允许索取定位、发送通知、访问设备照片、通讯录、拨打电话等权限等。为了可以正常使用App,用户不得不选择“允许”或“接受”,这样用户的一些个人信息,乃至一些与使用App无关的个人信息也被App平台非法收集。当我们在其后打开手机App时,所看到的是一些推送内容,这些内容恰恰是自己刚刚给与他人通话时所说的内容,导致大量的个人隐私信息被收集和泄露。
近几年,尽管相关部门不断查处各类违规App,细化各项隐私政策和规范,起到了一定的震慑作用,但是App超范围收集和使用个人信息等行为依然严重。使用App难免需要用户信息,但不能超过必要限度。在现实中,不少App却超范围索取信息。比如,一些与通讯功能无关的天气预报、健身应用等,也要求用户授权其使用通讯录等敏感信息。表面来看,运营者似乎告知了用户相关权利,用户可以选择不授权,但这样做的结果是App无法使用。特别是,当这种做法成为行业“潜规则”的时候,除了被迫同意,用户几乎没有其他选择。对于治理App过度收集个人信息的问题,人民群众呼吁应当依法明确“必要个人信息范围”,只要超过“必要个人信息范围”的收集和处理行为,均属于超范围收集个人信息,必须坚决予以打击和惩处。此次四部门联合发布的《常见类型移动互联网应用程序必要个人信息范围规定》,填补了这一空白。
超范围收集个人信息的主要情形
关于App超范围收集个人信息的情形,主要有三类:一是App收集无关信息;二是App强制收集非必要信息;三是App收集频率不合理。
1.App收集无关信息
App收集的个人信息类型或申请的系统权限与App提供的业务功能无关,已经成为常态。多数情况下,App实际收集的个人信息类型与现有业务功能无关,这里的“无关”,是指该类信息并非实现现有业务功能所必需。实践中,尤其令人厌恶的是,一些App捆绑多项业务功能一揽子征求用户同意,不同意则不提供任何单一服务。
2.App强制收集非必要信息
我国《网络安全法》第四十一条第二款明确规定:“网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”
上述规定是一项强制性规定,有三层意思:首先,网络运营者收集的个人信息必须严格限制在“必要个人信息”范围之内,不得超越;其次,网络运营者不得违反法律、行政法规的规定和双方的约定收集和使用个人信息;再次,在符合以上强制性规定的前提下,App收集个人信息之后,必须依法和依约,处理其保存的个人信息,确保个人信息的安全。
3.App收集频率不合规
许多App在用户使用业务功能时,收集个人信息的频率严重超出其业务功能的实际需要,以“网络预约出租汽车服务、巡游出租汽车电召服务”为例,其基本功能服务需要的必要个人信息有三类:一是注册用户移动电话号码;二是乘车人出发地、到达地、位置信息、行踪轨迹;三是支付时间、支付金额、支付渠道等支付信息等。如果每1秒上传一次用户的精确定位信息,就属于收集频率不合规。
还有相当数量的App,用户每次使用时,对于可选提供的系统权限,在用户已经拒绝之后,每当其重新打开App或进入相应界面时,仍然会不断地向用户索要或以弹窗等形式提示用户缺少相关权限,严重干扰了用户正常使用。
《规定》明确“必要个人信息”的定义
收集用户信息不能任性而为,这是法治社会的必然要求。《规定》对“必要个人信息”做出了定义:“必要个人信息是指,保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务。具体是指消费侧用户个人信息,不包括服务供给侧用户个人信息。“ 该定义有以下特征:首先,必要个人信息是指保障App业务功能正常运行所最少够用的个人信息;其次,所谓”必要个人信息“是指一旦缺少这些必要的信息将导致App服务无法实现或无法正常运行,比如网约车App收集的位置信息,即时通信类App收集的用户移动电话号码,网络支付类App收集的注册用户姓名、证件类型和号码、证件有效期限、银行卡号码等,如果缺少这些基本的信息,App的正常服务功能将无法实现。
不是所有的App服务都需要必要个人信息
《规定》明确了39种常见类型App的必要个人信息范围。有些App需要必要个人信息,有些App根本不需要必要个人信息。《规定》列举出不需要必要个人信息就可以提供业务的App有十三类:女性健康类、网络直播类、在线影音类、短视频类、新闻资讯类、运动健身类、浏览器类、输入法类、安全管理类、电子图书类、拍摄美化类、应用商店类等,以“运动健身类“和”网络直播类“为例,前者的基本功能服务为“运动健身训练”,无须个人信息,即可使用基本功能服务;后者的基本功能服务为“向公众持续提供实时视频、音频、图文等形式信息浏览服务”,也无须个人信息,即可使用基本功能服务。
由此,消费者要在下载和使用App时,一定要分清哪些App需要必要个人信息,哪些App根本不需要必要个人信息。即使App需要必要个人信息才能实现其功能和服务,我们也一定要清楚,“必要个人信息”一定是保障App业务功能正常运行所需要的最少够用的个人信息,App超范围收集个人信息是一种违法行为,应当向监管机关反映和举报。
App运营者也要尊法而行、合规经营,保障用户在网络空间的合法权益,在法治轨道上谋求自身的长远发展。
App超范围收集个人信息的法律责任
法律的生命力在于实施,法律的权威也在于实施。我国《网络安全法》第四十一条第二款规定:“网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”
《网络安全法》第六十四条对网络运营者、网络产品或者服务的提供者违反第四十一条的规定明确了以下法律责任:侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
中共中央《法治社会建设实施纲要(2020-2025年)》提出,严格规范收集使用用户身份、通信内容等个人信息行为,加大对非法获取、泄露、出售、提供公民个人信息的违法犯罪行为的惩处力度。笔者建议,应当将四部委确立的“必要个人信息”法律化,提高法律位阶,把这一制度纳入正在审议的《个人信息保护法(草案)》。同时,要加大对非法获取、泄露、出售、提供公民个人信息的违法犯罪行为的惩处力度,加大违法成本是遏制侵犯公民个人信息最有效的手段。
作者为浙江大学教授、博导,南京邮电大学数字经济战略与法治研究中心主任