原标题:App过度收集个人信息?以后不行了
文|《财经》E法樊瑞编辑|鲁伟
规范、整治手机App,监管部门又有新动作。
3月22日,国家网信办、工信部、公安部、国家市场监管总局四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》(下称《规定》),明确App运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用App基本功能服务,并明确39类App必要个人信息范围。《规定》将于2021年5月1日起实施。
有专家对《财经》E法表示,此次《规定》的出台,有助于避免App扩大范围收集和使用个人信息,从而进一步压缩恶意使用个人信息的空间。
13类App不需个人信息即可使用
《规定》明确了地图导航、网络约车、即时通信、网络购物等39类常见App必要个人信息范围,要求其运营者不得因用户不同意提供非必要个人信息,而拒绝用户使用App基本功能服务。
适用于《规定》的App包括移动智能终端预置、下载安装的应用软件,基于应用软件开放平台接口开发的、用户无需安装即可使用的小程序。
值得注意的是,3月12日,工信部点名了2021年第三批侵害用户权益行为的136款App,这是2019年以来,工信部第12次针对APP违规收集个人信息发布公告,这其中网络游戏多达十余款。
《规定》还认定包括短视频类、新闻资讯类、浏览器类、拍摄美化类、实用工具类等共计13种App不需个人信息,即可使用基本功能服务。
中国电子技术标准化研究院网安中心测评实验室副主任何延哲告诉《财经》E法,《规定》的出台显示监管部门对App治理呈现精细化的趋势,核心是要解决超范围收集和过度收集个人信息的问题,“个人信息一旦被收集,即使再做处罚也无法改变消费者的合法权益已经被损害的事实,所以要从源头上开始进行管制,明确什么信息可收集。”
何延哲表示,前述39类App基本涵盖个人生活的所有类型,《规定》的出台能起到保护个人信息的关键作用,但并不意味着结束,这是在释放以后会加大对个人信息保护的信号。
明确必要信息的收集范围
北京云嘉律师事务所律师、中国政法大学知识产权研究中心研究员赵占领表示,《网络安全法》等法律规定了收集、使用个人信息需要遵守“正当”、“合法”、“必要”三个原则。关于“必要原则”如何理解,实践中经常存在着很大争议。《规定》是对“必要原则”的细化,明确了各类常见的应用软件所能收集的必要个人信息的范围。这对于解决“必要原则”的适用提供了非常明确具体的标准,也有助于避免应用软件扩大范围收集和使用个人信息。
《规定》明确,“必要个人信息,是指保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务。具体是指消费侧用户个人信息,不包括服务供给侧用户个人信息。”
清华大学法学院副院长程啸表示,《规定》实际体现了两个方面的要求】其一,保证App基本功能服务正常运行的需要。App的服务实际上在网络运营者和用户之间形成了网络服务合同,在履行合同中,合同当事人必须互相提供必要的信息(包括个人信息),否则就无法履行合同。
哪些App受影响最大?
App过度收集个人信息的乱象频出。中国目前有数百万个App,不少App都存在过度收集收集、使用个人信息的行为。
中国的互联网产业在发展过程中非常依赖个人信息,在何延哲看来,“很难想象没有个人信息的互联网产业,那可能就类似于传统软件产业,限制过度采集个人信息,其实戳中了互联网产业的软肋”。
不过,何延哲也强调,过度搜集个人信息会增加信息泄漏和滥用的可能性。“我们不拒绝大数据,但是我们需要压缩恶意使用个人信息的空间”。
在程啸看来,对个人信息进行过度的收集、使用、存储等处理行为,为泄露、非法公开或非法买卖个人信息的违法犯罪行为埋下隐患,客观上也增加了个人信息权益遭受侵害的风险,既不利于有效保护广大民事主体的人身财产权益,也不利于网络信息产业乃至整个信息经济的发展。他指出,《规定》是对《网络安全法》《民法典》中对个人信息保护原则的具体贯彻落实。
程啸分析,《规定》对于网络运营者来说,有了非常明确的、具有可预期的行为规范,可减少合规成本,避免出现违法违规行为;监管机关有更明确的执法标准,做到有章可循,依法行政;对于个人来说,可有效维护自身的信息权益。
39种常见类型App的必要个人信息范围,其中13类App无须个人信息,即可使用基本功能服务。