本报简介App收集个人信息监管再加码
拟对38类常见类型App规定“必要个人信息范围”
12月1日,国家互联网信息办公室公布《常见类型移动互联网应用程序(App)必要个人信息范围(征求意见稿)》(下称《征求意见稿》),拟对地图导航、网络约车、即时通信等38类常见类型App规定“必要个人信息范围”。
近年来,App违法违规收集、使用用户个人信息问题比较突出,许多网民对此反映强烈。为切实治理此类乱象,2019年1月,中央网络安全和信息化委员会办公室、工业和信息化部、公安部、国家市场监督管理总局联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》(下称《公告》),同时成立App专项治理工作组,在全国范围内组织开展App违法违规收集使用个人信息专项治理。
近期,App收集个人信息在监管层面再加码,除《征求意见稿》外,工业和信息化部就个人信息保护标准问题等制定出台了《App收集使用个人信息最小必要评估规范》《App用户权益保护测评规范》等。
近日,民主与法制社记者采访了App专项治理工作组专家何延哲、对外经济贸易大学数字经济与法律创新研究中心执行主任许可、北京师范大学网络法治国际中心执行主任吴沈括,对App收集个人信息问题进行了剖析。
用户同意和授权流于形式
根据《公告》的规定,App运营者在收集使用个人信息时,要严格履行《中华人民共和国网络安全法》规定的责任义务,对获取的个人信息安全负责,采取有效措施加强个人信息保护。
《公告》针对实践中常见的App强制授权、过度索权、超范围收集个人信息等突出问题,要求App运营者要遵循合法、正当、必要的原则,不收集与所提供服务无关的个人信息;收集个人信息时要以通俗易懂、简单明了的方式展示个人信息收集使用规则,并经个人信息主体自主选择同意;不以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得违反法律法规和与用户的约定收集使用个人信息。倡导App运营者在定向推送新闻、时政、广告时,为用户提供拒绝接收定向推送的选项。自此,App专项治理工作组开启了对国内市场上App隐私政策和个人信息收集使用情况的评估工作以及对违法违规收集使用个人信息行为的监督、整改。
App收集个人信息乱象问题,近两年的专项整治已颇见成效。何延哲表示,目前,App收集使用个人信息的规则基本已通过“隐私政策”得到透明公开,且绝大部分App将隐私政策放到初始启用程序等易于访问的环节,给予用户知情权。另外,强制索要非必要权限、不给不让用等问题也得到了充分遏制。
但许可表示,我国网络安全法第41条第1款,确定了网络运营者收集、使用个人信息的“合法、正当、必要”原则,当下个人信息保护问题中,用户知情、同意后运营者能够满足“正当性”要求,但实际上用户对隐私政策中的内容很多时候未充分知情便点击了“同意”。
何延哲表示,表面上看,App要求点击隐私政策同意后才能使用是解决了“未经同意收集个人信息”的问题,但“隐私政策”越写越长,弹窗“越来越早”,提示“越来越多”,导致不少普通用户很难真正阅读并理解隐私政策内容,都是为了尽快进入主界面使用服务直接点击了同意。因此,“这种征得用户‘同意’的形式并未使用户感受到其选择权得到有效保障,这种流于形式的‘合规’更多是为了规避法律风险,而非保障用户利益。”
为何划定“必要个人信息范围”
此次《征求意见稿》明确对与个人生活密切相关的38类常见类型App的必要个人信息范围进行了划定。为什么要划定“必要个人信息范围”?何延哲认为,用户之所以在使用App中还未感受到实质性的个人信息保护,根源问题在于对“必要性”原则的细化实施上。
我国网络安全法第41条第1款规定网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,第2款规定:“网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”
“现在很多App有着五花八门的功能或业务,但用户有可能只需要使用其中的某个基本功能。因此,出于对个人信息保护的目的,监管部门划定必要信息的范围,是希望能在用户使用App的功能业务时,将用户对功能业务的选择权拆分开,对不同的功能业务限定不同的必要个人信息范围,用户根据需要选择服务、提供个人信息。”何延哲说。
许可认为,用户的“同意”是个人的主观判断,而对“必要个人信息范围”的划定属于客观上的限制。他表示,目前实践中App过度索权的问题仍很突出,而用户个人在市场上处于劣势地位,往往不清楚自己哪些个人信息会被收集以及会被如何使用。因此,即使获得用户的同意和授权,还需要在客观上加以限制,遵循必要性原则。
《征求意见稿》分门别类对38类App的“基本功能服务”和与其匹配的“必要个人信息范围”进行了划定,比如对地图导航类App,规定其基本功能服务是“定位和导航”,可以收集的必要个人信息范围为“位置信息”。
《征求意见稿》中还明确了网络直播类、在线影音类、短视频类、新闻资讯类、运动健身类、浏览器类、拍摄美化类等12类App的数据主体可以“无须个人信息即可使用基本功能服务”。
日前,工信部还组织行业力量开展了《App用户权益保护测评规范》《App收集使用个人信息最小必要评估规范》系列标准的制定工作,目前已发布18项团队标准,并表示要力争今年底前推动发布剩余9项标准,涵盖录音、短信、房产、通话、身份、传感器、日志、交易和消费记录、好友列表等个人信息的收集使用规范。
吴沈括认为,《征求意见稿》等是监管部门以列举最小必要清单的形式,明确了App运营者可以收集的最小必要信息范围。
要充分保障用户权利
“明确最小必要信息范围后,用户在维权时就有了更为明确的权利依据。对于最小必要收集范围以外的个人信息,应当严格遵循同一原则,不得强制收集或者变相隐瞒收集。”吴沈括说,这也反映了监管机关希望在治理个人信息保护的问题上,通过实行“最小必要”原则,在最大范围内减少对用户信息的收集,以及由此诞生的各类个人信息泄露风险。
但许可对目前《征求意见稿》以列举形式严格限定38类App“必要个人信息范围”的规定表示担忧。他认为,《征求意见稿》的规定,是以一个静态的事前标准给“必要性”划定边界。这样的事前限定能否很好地平衡个人信息保护与数字经济发展值得思考。
“每个App涉及不同企业的不同商业模式、商业决策等,但商业模式是不断变化发展的,不是固定的。”许可说,很多App刚入市时的功能相对单一,但后来经过不断发展,功能业务日渐丰富。因此,对其基本功能服务的认定需要在不同阶段执行不同标准。目前,《征求意见稿》的限定规定能否紧贴市场、能否适应未来数字经济发展值得思考。
许可认为,保护个人信息应尽可能地提供更多事中、事后救济途径,可以通过正在制定的“个人信息保护法”在立法中充分保障用户的权益,并建立事中、事后的救济和投诉机制以及司法解决路径。同时,要充分落实个人信息的透明性,充分保障用户对个人信息收集和使用情况的查询权等。
何延哲表示,就“必要个人信息范围”在实施层面的可操作性而言,技术角度看思路很明确,但对企业而言其将可能面临业务方向的重大调整。“按照《征求意见稿》的规定,App不能一上来就索要用户个人信息,或者只能按照基本业务功能范围以最小必要原则索要信息。这会让企业不得不调整App的功能设计,非必要的个人信息都需要用户的同意,意味着免费获取用户个人信息或将终结。”
但何延哲表示,App市场野蛮发展后,必将面临冷静期,数字经济要发展,也要保障用户的基本权利。严格监管可能也会倒逼企业在个人信息保护和业务创新上有更高质量的突破。针对目前个人信息保护监管层面的问题,何延哲建议“个人信息保护法”立法时构建个人信息保护明确、清晰的监管制度。
吴沈括则认为,限定必要个人信息范围,并不是对企业业务开发的一种限制,它更多的是从个人权益保护角度提供一个最低红线。未来,企业在产品和服务设计和研发中,要融入更多的个人信息保护元素,要有一个全流程的合规管理体系,要更精细地勾勒企业整体的数据流转生态图。
“当然在这个过程当中,一方面是数据的应用规则,另一方面还会涉及我国在网络治理和网络安全领域的其他规范,比如说青少年保护中青少年身份的识别与最小必要信息收集之间的协调,所以还需要考虑不同规范之间的兼容和协调。”吴沈括说。