浙大教授:堅決遏制App超範圍收集個人信息亂象
近日,國家互聯網信息辦公室、工業和信息化部、公安部、國家市場監督管理總局聯合發布的《常見類型移動互聯網應用程序必要個人信息範圍規定》(以下簡稱《規定》)確立了各類App收集必要個人信息的範圍,並明確要求:“移動互聯網應用程序(App)運營者不得因用戶不同意收集非必要個人信息,而拒絕用戶使用App基本功能服務。”《規定》體現了個人信息保護的價值導向,彰顯了以人民為中心的根本立場。
作者:王春暉
收集用戶信息不能任性而為
目前,大量移動互聯網應用程序(App)存在強制授權、過度索權、超範圍收集個人信息的情形,尤其是違法違規使用個人信息的問題十分突出,已經毫無規則和底線,廣大網民深惡痛絕。每當我們在給手機安裝某些App時,往往會被詢問是否允許索取定位、發送通知、訪問設備照片、通訊錄、撥打電話等權限等。為了可以正常使用App,用戶不得不選擇“允許”或“接受”,這樣用戶的一些個人信息,乃至一些與使用App無關的個人信息也被App平台非法收集。當我們在其後打開手機App時,所看到的是一些推送內容,這些內容恰恰是自己剛剛給與他人通話時所說的內容,導致大量的個人隱私信息被收集和洩露。
近幾年,儘管相關部門不斷查處各類違規App,細化各項隱私政策和規範,起到了一定的震懾作用,但是App超範圍收集和使用個人信息等行為依然嚴重。使用App難免需要用戶信息,但不能超過必要限度。在現實中,不少App卻超範圍索取信息。比如,一些與通訊功能無關的天氣預報、健身應用等,也要求用戶授權其使用通訊錄等敏感信息。表面來看,運營者似乎告知了用戶相關權利,用戶可以選擇不授權,但這樣做的結果是App無法使用。特別是,當這種做法成為行業“潛規則”的時候,除了被迫同意,用戶幾乎沒有其他選擇。對於治理App過度收集個人信息的問題,人民群眾呼籲應當依法明確“必要個人信息範圍”,只要超過“必要個人信息範圍”的收集和處理行為,均屬於超範圍收集個人信息,必須堅決予以打擊和懲處。此次四部門聯合發布的《常見類型移動互聯網應用程序必要個人信息範圍規定》,填補了這一空白。
超範圍收集個人信息的主要情形
關於App超範圍收集個人信息的情形,主要有三類:一是App收集無關信息;二是App強制收集非必要信息;三是App收集頻率不合理。
1.App收集無關信息
App收集的個人信息類型或申請的系統權限與App提供的業務功能無關,已經成為常態。多數情況下,App實際收集的個人信息類型與現有業務功能無關,這裡的“無關”,是指該類信息並非實現現有業務功能所必需。實踐中,尤其令人厭惡的是,一些App捆綁多項業務功能一攬子徵求用戶同意,不同意則不提供任何單一服務。
2.App強制收集非必要信息
我國《網絡安全法》第四十一條第二款明確規定:“網絡運營者不得收集與其提供的服務無關的個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,並應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人信息。”
上述規定是一項強制性規定,有三層意思:首先,網絡運營者收集的個人信息必須嚴格限制在“必要個人信息”範圍之內,不得超越;其次,網絡運營者不得違反法律、行政法規的規定和雙方的約定收集和使用個人信息;再次,在符合以上強制性規定的前提下,App收集個人信息之後,必須依法和依約,處理其保存的個人信息,確保個人信息的安全。
3.App收集頻率不合規
許多App在用戶使用業務功能時,收集個人信息的頻率嚴重超出其業務功能的實際需要,以“網絡預約出租汽車服務、巡遊出租汽車電召服務”為例,其基本功能服務需要的必要個人信息有三類:一是註冊用戶移動電話號碼;二是乘車人出發地、到達地、位置信息、行踪軌跡;三是支付時間、支付金額、支付渠道等支付信息等。如果每1秒上傳一次用戶的精確定位信息,就屬於收集頻率不合規。
還有相當數量的App,用戶每次使用時,對於可選提供的系統權限,在用戶已經拒絕之後,每當其重新打開App或進入相應界面時,仍然會不斷地向用戶索要或以彈窗等形式提示用戶缺少相關權限,嚴重干擾了用戶正常使用。
《規定》明確“必要個人信息”的定義
收集用戶信息不能任性而為,這是法治社會的必然要求。《規定》對“必要個人信息”做出了定義:“必要個人信息是指,保障App基本功能服務正常運行所必需的個人信息,缺少該信息App即無法實現基本功能服務。具體是指消費側用戶個人信息,不包括服務供給側用戶個人信息。“ 該定義有以下特徵:首先,必要個人信息是指保障App業務功能正常運行所最少夠用的個人信息;其次,所謂”必要個人信息“是指一旦缺少這些必要的信息將導致App服務無法實現或無法正常運行,比如網約車App收集的位置信息,即時通信類App收集的用戶移動電話號碼,網絡支付類App收集的註冊用戶姓名、證件類型和號碼、證件有效期限、銀行卡號碼等,如果缺少這些基本的信息,App的正常服務功能將無法實現。
不是所有的App服務都需要必要個人信息
《規定》明確了39種常見類型App的必要個人信息範圍。有些App需要必要個人信息,有些App根本不需要必要個人信息。《規定》列舉出不需要必要個人信息就可以提供業務的App有十三類:女性健康類、網絡直播類、在線影音類、短視頻類、新聞資訊類、運動健身類、瀏覽器類、輸入法類、安全管理類、電子圖書類、拍攝美化類、應用商店類等,以“運動健身類“和”網絡直播類“為例,前者的基本功能服務為“運動健身訓練”,無須個人信息,即可使用基本功能服務;後者的基本功能服務為“向公眾持續提供實時視頻、音頻、圖文等形式信息瀏覽服務”,也無須個人信息,即可使用基本功能服務。
由此,消費者要在下載和使用App時,一定要分清哪些App需要必要個人信息,哪些App根本不需要必要個人信息。即使App需要必要個人信息才能實現其功能和服務,我們也一定要清楚,“必要個人信息”一定是保障App業務功能正常運行所需要的最少夠用的個人信息,App超範圍收集個人信息是一種違法行為,應當向監管機關反映和舉報。
App運營者也要尊法而行、合規經營,保障用戶在網絡空間的合法權益,在法治軌道上謀求自身的長遠發展。
App超範圍收集個人信息的法律責任
法律的生命力在於實施,法律的權威也在於實施。我國《網絡安全法》第四十一條第二款規定:“網絡運營者不得收集與其提供的服務無關的個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,並應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人信息。”
《網絡安全法》第六十四條對網絡運營者、網絡產品或者服務的提供者違反第四十一條的規定明確了以下法律責任:侵害個人信息依法得到保護的權利的,由有關主管部門責令改正,可以根據情節單處或者並處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款,沒有違法所得的,處一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款;情節嚴重的,並可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照。
中共中央《法治社會建設實施綱要(2020-2025年)》提出,嚴格規範收集使用用戶身份、通信內容等個人信息行為,加大對非法獲取、洩露、出售、提供公民個人信息的違法犯罪行為的懲處力度。筆者建議,應當將四部委確立的“必要個人信息”法律化,提高法律位階,把這一制度納入正在審議的《個人信息保護法(草案)》。同時,要加大對非法獲取、洩露、出售、提供公民個人信息的違法犯罪行為的懲處力度,加大違法成本是遏制侵犯公民個人信息最有效的手段。
作者為浙江大學教授、博導,南京郵電大學數字經濟戰略與法治研究中心主任