近日,国家互联网信息办公室发布《常见类型移动互联网应用程序(App)必要个人信息范围(征求意见稿)》(简称《必要个人信息范围》)向社会公开征求意见。

在大数据时代,数据是重要的生产要素和互联网企业的核心资产,国家也认可数据作为新型生产要素的意义和价值,而我们每个个体几乎每时每刻都在生产着数据,我们的个人信息中相关权益的界定成为一个复杂问题。如何在推动数字经济发展和加强对个人信息的法律保护之间取得平衡,是我们这个时代面临的重大社会和法律问题。

2020年5月,十三届全国人大三次会议表决通过的《中华人民共和国民法典》在总则编的111条规定了“自然人的个人信息受法律保护”的基本原则,人格权编的第六章“隐私权和个人信息保护”具体阐述了个人信息利用和保护的具体规则,侵权责任编的第三章规定了网络用户、网络服务提供者利用网络侵害他人民事权益应承担的侵权责任。应该说,《民法典》兼顾了个人信息保护和信息利用之间的平衡,呼应了时代发展的需求。

但《民法典》作为民事基本法,其确立的规则毕竟还是较为抽象原则,所以政府各相关部门还有必要根据《民法典》的规定,制定更为详细的规范性文件。而《必要个人信息范围》正是《民法典》关于个人信息保护规则的进一步落实。

众所周知,一些App存在强制授权、过度索权、超范围收集个人信息的现象,违法违规使用个人信息的问题时有发生。用户在给手机安装某些App时,往往会被询问是否允许索取定位、发送通知、访问设备照片、拨打电话等权限,为了可以正常使用App,用户不得不选择“允许”或“接受”。由于当前关于个人信息收集只是原则性规定,而信息和数据背后也牵涉着一些商业利益,部分App会为自己收集个人信息或过度收集的必要性进行辩解。比如有的短视频、新闻资讯类App收集个人信息的理由是要提供精准推送服务,但其实际意图可能是收集与分析用户个人信息,以精准刻画出用户画像,构建低成本、高精准的用户群体数据库,获得可观的商业回报。因为目前缺乏统一的执法标准,相对合规的企业也只能综合考虑自身掌握的行业普遍实践情况、监管部门公布的执法案例情况,来决定企业自身的业务实践标准,因此企业数据合规的完整性和稳定性还有待进一步保障。

《必要个人信息范围》正是App合规走向标准化的重要举措。该文件开宗明义地指出“必要个人信息是指保障App基本功能正常运行所必须的个人信息,缺少该信息App无法提供基本功能服务。只要用户同意收集必要个人信息,App不得拒绝用户安装使用。”这直接就否定了一些App对于用户不交个人信息就不能下载安装的做法。并且,文件还对地图导航、网络约车、即时通信等38类常见类型App的必要个人信息收集逐一进行了明确的列举,规范其过度收集个人信息的行为,比如地图导航类App,对应的可收集的必要个人信息就只有位置信息;网约车类App对应的则只有用户电话号码或其他真实身份信息,以及乘车人出发地、到达地、位置信息、行踪轨迹等。而对于短视频类、网络直播类、新闻资讯类等12类App,文件明确规定,无需个人信息,即可使用基本功能服务,让这些App不再有借口违规收集个人信息。

应当说,《必要个人信息范围》基于App提供的基本功能服务,划定了各类App个人信息收集的边界,明确了各类App收集必要个人信息的范围,防范App过度收集个人信息,真正体现了个人信息收集的“必要”、“最小”原则,让“必要”与“非必要”的红线变得一目了然。这就使法律的原则性规定走向精细化。一方面,这让企业主体知道在收集、处理、利用个人信息的过程中要采用什么方法,遵守哪些规则,什么能做,什么不能做,什么能采集,什么不能采集,采集不同类型的个人信息需要采用哪种形式来获得用户的同意,有了清晰明确的规则,更有利于企业有针对性地去做合规。另一方面,明晰的规则也划定了监管红线,为监管部门处理App运营企业违法行为提供了明确的依据。若最终《必要个人信息范围》正式公布实施,必将有利于降低监管成本,规范和促进我国移动互联网行业的发展。

最后还需要指出两点,第一,《必要个人信息范围》这样的规范性文件十分有必要,但这还不足够,还需要加快制定并完善《个人信息保护法》(2020年10月,十三届全国人大常委会第二十二次会议进行了一审)和《数据安全法》(2020年6月,十三届全国人大常委会第二十次会议进行了一审)等一系列法律法规。第二,《必要个人信息范围》所列举的“常见类型App必要个人信息范围”也不应是一成不变的,应该随着时代发展不断进行调整和优化。

更多内容请下载21财经APP

(责任编辑:李显杰 )

By admin