首页 > 志霖观点 > 实务评论

《常见类型移动互联网应用程序必要个人信息范围规定》的解读 作者:谢阳、何开良 时间:2021-07-05 点击数:1980

返回列表

2021年5月1日,由网信办、工信部、公安部、市场监督总局联合发布的《常见类型移动互联网应用程序必要个人信息范围规定》开始实施。本文是志霖律师事务所谢阳律师团队针对《常见类型移动互联网应用程序必要个人信息范围规定》的简要解读。

出台背景及意义

近年来,移动互联网应用程序(App)得到广泛应用,在促进经济社会发展、服务民生等方面发挥了不可替代的作用。App已不仅是互联网企业必备的业务运营平台,对于线下传统行业,例如家电、汽车、房产中介、医院、餐饮、酒店、玩具、快递等行业也都纷纷推出自己的App。

但与此同时,App存在强制授权、过度索权、超范围收集个人信息的情形,尤其是违法违规使用个人信息的问题十分突出。就在今年5月21日,国家网信办官网就发布了处罚快手、抖音等105个App的通告,大部分App都存在不经用户同意收集无关个人信息的违法行为。

所谓“强制授权”,是指不经消费者授权同意,运营者通过App强行收集消费者的个人信息。

所谓“过渡索权”或“超范围收集个人信息”,是指违反了必要原则,收集与提供的服务无关的个人信息。表现形式例如将非必要的个人信息与使用App的基本功能挂钩,迫使消费者为了使用App而不得不同意提供个人信息。

每当我们在给手机安装某些 App 时,往往会被询问是否允许索取定位、发送通知、访问通信录、拨打电话等权限。为了可以正常使用App,用户不得不选择“接受”,导致用户的一些个人信息,乃至一些与使用App 无关的个人信息也被 App 平台非法收集。互联网、大数据时代也极大提升了监管和维权的难度。App违规索取用户个人信息经黑色产业链流入电信网络诈骗,是国家重拳打击的多发高发犯罪。滥用个人信息滋生的“大数据杀熟”,也已纳入中央强化反垄断和防止资本无序扩张的风险防控重点。加强个人信息保护,与个人利益、社会利益、甚至是国家利益密切相关,是推进国家治理体系和治理能力现代化必须破解的难题。

为了规范App个人信息收集行为,解决当前超范围收集、强制授权等突出问题,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合发布了《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称为“必要个人信息范围规定”)。《必要个人信息范围规定》基本覆盖了社会生活的绝大方面,提供了较为全面的保障,既将个人信息保护扩展至最大范围,也避免规定范围出现缺失导致实施上的漏洞。《必要个人信息范围规定》的出台为监管部门提供了更有力的监督和执法依据,为相关企业的合规整改与后续开发提供了明确指引,同时也为用户进行自我权利保护提供了辨识和监督的指导。

主要内容

1、移动互联网应用程序(App)的定义

App是Application的缩写,意为“应用程序”。在《必要个人信息范围规定》中,App就是指“移动互联网应用程序”。它是指移动智能终端预置、下载安装的应用软件,基于应用软件开放平台接口开发的、用户无需安装即可使用的小程序。

2、必要个人信息

必要个人信息,是指为了保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务。具体是指消费侧用户个人信息,不包括服务供给侧用户个人信息。

3、App的基本功能

《必要个人信息范围规定》中明确列举了39种App,覆盖了大众衣食住行、学习工作等日常生活主要方面。并分别描述了各种App的基本功能。

《必要个人信息范围规定》在明确App基本功能服务和必要个人信息范围的基础上,明确要求App运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用其基本功能服务。

例如“邮件快件寄递类”App,其基本功能服务为“信件、包裹、印刷品等物品寄递服务”,其必要个人信息包括:1.寄件人姓名、证件类型和号码等身份信息;2.寄件人地址、联系电话;3.收件人姓名(名称)、地址、联系电话;4.寄递物品的名称、性质、数量。如果消费者拒绝提供上述必要个人信息,则运营者可以拒绝提供寄递服务。而如果消费者拒绝提供的非必要个人信息,则运营者不能拒绝提供提供该App的寄递服务。

主要特点

一是《必要个人信息范围规定》中的“必要个人信息”的定义主要是指消费侧用户个人信息,不包括服务供给侧用户个人信息,即是在App平台上的经营者、服务商不包括在内,规范的目标主要是解决社会中的消费者个人信息权利被侵犯问题。

二是《必要个人信息范围规定》调整了部分必要个人信息范围,都是出于有关部门对此前相关规定和市场实践中获取的经验及不同意见的平衡,以利于在实务中可以更顺畅地施行。例如,除非相关法规有特别规定,身份证不再成为某些App的必要个人信息。

三是《必要个人信息范围规定》和处于立法中的《个人信息保护法(草案)》《数据安全法(草案)》正在逐步构建个人信息保护的法律体系,目前各部门所发布的规定、规范等都是一种过渡性和实践性应对,是对企业数据合规和数据管理进行一种积极的“指导”。

不足之处

必要个人信息的“必要”情形的界定,以及基本功能服务的“基本功能”的描述都存在着模糊、宽泛和不确定之处。并且解释权仍难免主要在 App 运营商手中,其中一个突出表现就是,一旦用户不提供某些信息,部分 App 功能就无法使用,导致“必要个人信息收集”原则被架空。在数字经济的市场发展和业务扩展中,消费者所需要的App功能与服务往往不只是App的基础功能,还包括某些附加、增值等功能,该附加、增值功能部分所必须的个人信息收集又该如何界定,需要进一步明确规定。

目前在实践中,安装App时一般不会提示用户要收集的哪些信息是涉及提供基础功能的个人信息,哪些信息是使用附加、增值功能时需要提供的个人信息。消费者很容易在不知道自己享有拒绝提供信息权力的情况下而同意提供信息。《必要个人信息范围规定》仅是对必要个人信息做了具体定义,对必要信息与非必要信息做了划分,运营商具体应如何适当的收集必要个人信息与非必要个人信息,应当如何对消费者做权利提示,可以留待在《个人信息保护法》中详细规定。

法律责任

《必要个人信息范围规定》第六条明确了任何组织和个人发现违反本规定行为的,可以向相关部门举报。相关部门收到举报后,应当依法予以处理。

我国《网络安全法》第二十二条第三款规定了网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。

《网络安全法》第四十一条第二款也规定了网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。

我国《网络安全法》第六十四条明确规定:网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。

《必要个人信息范围规定》只是对APP收集个人信息的指导标准和明确,它要产生刚性的约束效力,确保令行禁止,需要法律、制度的进一步托底。目前处于立法中的《个人信息保护法(草案)》《数据安全法(草案)》,以及正在实行的《网络安全法》正在构建个人信息保护的法律体系。当《规定》和“顶层设计”一起搭配发力,APP违规索取个人信息之手才能捆得更牢。

附:39类App及基本功能