2019年09月09日
App收集个人信息应该遵守三大原则
(网经社讯)我们可能都遇到过以下情况:用手机号码注册使用了一个App,接着就收到数不清的垃圾短信以及广告电话;通过一个App购物,能够看到另一个App上推荐类似的商品;没必要收集位置信息的App,也在收集位置信息;有的网络贷款App收集到联系方式后,一旦有用户未及时还款,网贷公司就打电话给该用户的朋友,说其是一个欠债不还、不诚信的人。在这些案例中,我们能够感受到自己在信息社会中“裸奔”。
出现上述问题的首要责任在于App,治理首先应从信息收集的源头上解决。2019年8月8日,国家市场监督管理总局和中国国家标准化管理委员会联合发布的《移动互联网应用(App)收集个人信息基本规范(草案)》征求意见稿,其亮点之一是在附录中列举出21种常用App收集的最少信息,比如地图导航、网约车、即时通信、博客论坛等。通读这部国家标准,可以总结出App收集个人信息应该遵守的三大原则。
“最少信息”“最小权限范围”,体现比例原则
比例原则是行政法的基本原则,即选择既能够达成目的、对相对方侵害又最小的手段,但适用范围已经溢出行政法领域。《移动互联网应用(App)收集个人信息基本规范(草案)》提出“最少信息”“最小权限范围”这两个概念,前者即“保障某一服务类型正常运行所必需的个人信息”,后者即“保障某一服务类型正常运行所必需的最少系统权限”。这既满足了App收集个人信息的必要性和合乎目的性,又要求必须尽可能少地收集信息,正是贯彻比例原则的体现。
App不能因用户拒绝提供最少信息之外的个人信息而拒绝提供服务,不得收集与所提供服务无关的个人信息,防止其使用的第三方代码、插件收集无关的个人信息,因为收集最少信息之外的个人信息以及与提供服务无关的个人信息,不具备必要性和合乎目的性。不可变更的设备唯一识别(如IMEI号、MAC地址)相当于手机的“身份证”,至关重要,是不可收集的。
“授权才能收集”,保护用户的知情权、同意权
其实,之所以要提出“最少信息”这个概念,是因为App收集的信息越多,用户可能享受的服务类型就越多,但与此同时,信息也越不安全。有的人以为这种信息无关紧要,可以被收集,有的人却认为这种信息是必须保密的。那么,在“最少信息”的底线上,可向用户指出App要收集的个人信息数量,由用户自己决定是否允许App收集更多的个人信息。
《移动互联网应用(App)收集个人信息基本规范(草案)》从个人信息收集以及处置两方面,保护了用户的知情权、同意权。在收集方面,App要明示申请权限或收集信息的目的,收集的个人信息超出“最少信息”的部分,App要逐项征得用户明示同意。第三方代码、插件也要遵守这方面的规定。在处置方面,对外共享、转入个人信息前,App要事先征得用户明示同意;同意后,用户可以通过独立界面查询数据接收方身份。
“退出App后删除个人信息或匿名化”,保护用户的被遗忘权
被遗忘的前提是曾经存在过。一般来说,如果用户未曾使用过某App,也就未曾在该App上留下过痕迹,那么也就谈不上“被遗忘”了。“被遗忘权”赋予用户在网络工具中删除自己的名字或相关历史事件的权利。《移动互联网应用(App)收集个人信息基本规范(草案)》有一款规定:“当用户退出某服务类型后,App应终止该服务类型收集个人信息的活动,并对仅用于该服务的个人信息进行删除或匿名化处理。”这也体现了“被遗忘权”的理念。
在我看来,这一款与比例原则也有关系。当用户不再使用某款App,该App再保留其个人信息,也就没有必要性以及合乎目的性,从保护个人信息安全的角度来看,App应当删除个人信息,或进行匿名化处理。
《移动互联网应用(App)收集个人信息基本规范(草案)》是自2019年1月23日国家网信办、工信部、公安部以及国家市场监督管理总局联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》以来,从“如何做”的方面规定了App如何收集个人信息的国家标准。它虽然只是国家推荐性标准,并非强制性标准,但不仅可以作为App收集个人信息的企业合规经营的指南,还可以作为政府监管部门评估、检查App的执法指南。