近日,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称《规定》),旨在落实《中华人民共和国网络安全法》关于个人信息收集合法、正当、必要的原则。其中明确规定,移动互联网应用程序(App)运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用App基本功能服务。《规定》明确了39种常见类型App的必要个人信息范围,将自今年5月1日起施行。
根据国家工信部发布的数据,截至2020年年底,我国国内市场上监测到的App数量已达到345万款。这些App涵盖游戏、电子商务、生活、教育等各个领域,给网民的生活带来极大的便利。然而,App违规收集个人信息的老问题一直未能得到彻底根治。在刚刚过去的“3·15”晚会上,就有多款App因为存在违规处理个人信息等问题被曝光。相关部门明确划定39种常见类型App的必要个人信息范围,从制度上进一步明确App收集个人信息的合理边界,将有效压缩App灰色操作的空间。
应该说,近些年针对个人信息收集的规范体系建设一直在不断推进。不仅网络安全法早就明确,“合法、正当、必要”是我国网络运营者收集使用个人信息应遵循的基本原则,《个人信息安全规范》也规定,个人信息控制者开展个人信息处理活动时,应遵循“最少够用”原则。与此同时,相关部门已连续开展多批次的集中检查,并对违规收集个人信息的App进行曝光直至下架处理。
但是,一些App面对个人信息使用的原则规范,仍存在打擦边球或是虚与委蛇的问题。比如,“必要”“最少够用”原则到底如何界定,在实践中就存在模棱两可的情况,并且解释权似乎主要在App手中。其中一个突出表现就是,一旦用户不提供某些信息,部分App就直接无法使用,导致“必要收集”原则被架空。此次《规定》要求,运营者不得因用户不同意收集非必要个人信息而拒绝用户使用App基本功能服务,同时还对必要信息范围进行明确,这无疑切中了病灶。比如,像地图导航类App的基本功能服务为“定位和导航”,其对应的必要个人信息就只有“位置信息、出发地、到达地”;而短视频类、新闻资讯类、运动健身类等App则“无须个人信息,即可使用基本功能服务”。
这些规定直接戳破了部分App拿“基本使用权”来“勒索”用户的潜规则。相关原则在落地过程中“网眼”过大、边界模糊的问题有望迎刃而解,违规的红线变得更清晰。对用户而言,到底哪些信息必须提交,哪些属于非必要,也变得一目了然,这就有利于相应的维权。总而言之,App收集个人信息的边界、标准都变得更清晰、更透明。
当然,此次规定所明确的合理信息范围,只是对App收集个人信息的指导标准的明确,它要产生刚性的约束效力,确保令行禁止,依然还需要法律、制度的进一步托底。日前,相关部门负责人表示,目前正在加紧制定出台数据安全法、个人信息保护法,从而在法律层面为数据安全和个人隐私保护提供保障。当相关标准和“顶层设计”一起搭配“发力”,App违规索取个人信息之手才能被捆得更牢。当前,对各个平台来说,距离新规执行只有一个月左右时间,严格对标新要求进行整改,改掉向个人信息“乱伸手”的老毛病,刻不容缓。
朱昌俊