非必要不提交,聚焦《常见类型移动互联网应用程序必要个人信息范围规定》
导读
为贯彻落实《网络安全法》关于网络运营者收集、使用个人信息应遵循合法、正当、必要的原则,2021年3月12日,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局四部门联合发布了《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称“《规定》”),《规定》对常见的39类APP提出了具体要求,并首次将小程序纳入监管范围。《规定》将于2021年5月1日起实施。
《规定》的出台背景
当今,使用App已经成为了人们生活中不可缺少的一部分,但是App对于个人信息的过度收集和滥用也在困扰着广大用户。与此同时,监管部门也在通过法律法规来约束App运营者,以保障我国公民个人信息安全。
2019年1月,四部委联合发布了《关于开展App违法违规收集使用个人信息专项治理的公告》(以下简称“《公告》”),《公告》强调App运营者收集使用个人信息时,应遵循合法、正当、必要的原则。
2019年6月,全国信息安全标准化技术委员会发布了非强制性技术性文件《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》(以下简称“《规范》”),《规范》列举了16类App的基本功能及必要个人信息类型。
2020年12月1日,《规定》发布了征求意见稿,仅时隔3个月,《规定》正式发布。
《规定》的适用范围,小程序首次被纳入监管
根据《规定》第二条, 移动智能终端上运行的App存在收集用户个人信息行为的,应当遵守本《规定》。其中,App还包括移动智能终端预置、下载安装的应用软件,基于应用软件开放平台接口开发的、用户无需安装即可使用的小程序。
总结起来就是,移动终端预装的、用户自行下载的和无需下载的各种小程序都在《规定》的监管范围内。这也是《规定》首次明确将小程序纳入监管范围。
小程序作为一种轻应用,因无需用户下载和安装,近年来受到了不少企业和运营者的青睐。虽然《规定》首次明确将小程序纳入监管范围,但是在过往的监管部门执法中,小程序已经被纳入了App收集使用个人信息专项治理行动。在此次《规定》明确后,相关企业更应该依照相关的法律规定,切实落实小程序收集个人信息的合规整治工作。
必要个人信息及列举
根据《规定》第三条,必要个人信息是指保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务。具体是指消费侧用户个人信息,不包括服务供给侧用户个人信息。
同时,根据《规定》要求,App不能因为用户不同意提供非必要个人信息,而拒绝用户使用其本功能和服务。
从列表中我们不能看出,《规定》根据某一类软件最基本的功能,倒推出来这类软件所必须的用户必要信息。目前来看,App过度获取个人信息,且不同意获取就禁止用户使用是客观存在的。例如,曾经有某款天气软件就要求获取用户的通话记录、通录、照片等多种非必要信息。
违反《规定》的法律责任
根据《规定》第六条,任何组织和个人发现违反本规定行为的,可以向相关部门举报。相关部门收到举报后,应当依法予以处理。第六条中的“依法”实际是依据《网络安全法》等法律的相关规定,从而采取相应的处理措施。
我们的观察
目前来看,App及小程序对个人信息收集的情况仍有待改进,《规定》的出台可以加快这一改进的进度。我们认为,除了对App和小程序的运营者有所要求之外,还应该对软件市场以及手机厂商做相关规定,例如增加应用市场对App的检测工作,规定智能设备要增加App权限查看及报警功能等,以保障个人信息的安全。我们建议相关企业要尽快完成产品更新以落实相关监管要求。对此,我们将保持关注。