App收集个人信息:“少即是多”
作者:齐宝鑫 王静 2019-08-152019年8月8日,全国信息安全标准化技术委员会秘书处(以下简称“信安标委”)组织起草了《信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)》(以下简称“草案”),旨在落实《网络安全法》对个人信息保护的相关要求。此草案目前正在面向社会公开征求意见。
草案是第一部专门针对移动互联网应用程序(以下简称“App”)收集个人信息时应满足的基本要求的标准文件,旨在规范App运营者收集个人信息的行为。
2019年1月25日,中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》(以下简称“《公告》”)。从上半年业已公布的监管规范或者采取的专项行动来看,《公告》中的要求正在逐步落实。 本草案也是落实《公告》要求的重要一步。《公告》第二条规定:“全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会,依据法律法规和国家相关标准,编制大众化应用基本业务功能及必要信息规范……” 我们可以看出,《公告》所要求的App违法违规收集使用个人信息专项治理正在全国范围内如火如荼地开展。 从《公告》发布截止到目前,App领域已经出台/起草的监管规范如下图所示: 如上图所示,对于 App违法违规收集使用个人信息行为,有关部门已经出台了若干监管规范。不同于这些监管规范的视角,本草案可谓是从正面给出指引,明确告诉App运营者收集个人信息时应当满足哪些基本要求。换言之,之前的监管规范更多地是告诉你哪些行为不能做,而草案是告诉你哪些行为应该做。 整体而言,草案有两个关键词:一个是“最少”,一个是“最小”。 1. 最少信息 “最少”指的是最少信息,即保障某一服务类型政策运转所必需的个人信息,它包括两类:一是法律法规要求的个人信息,二是实现服务所需的个人信息。草案附录A便是按照这个分类,规定了二十一种常用App类型可收集的最少信息。 最少信息要求无疑是《网络安全法》所规定的必要原则一脉相承的结果。 自《网络安全法》出台以来,必要原则一直是收集使用个人信息的指导原则之一。后来出台的《信息安全技术 个人信息安全规范》也延续了这一原则,它明确规定“最少够用原则”是个人信息安全的基本原则之一,收集个人信息时应满足最小化要求。2019年1月30日公布的《信息安全技术 个人信息安全规范(草案)》将其修改为“最小必要原则”,虽然表述稍有差异,但实质内容保持不变。 乍看之下,最少信息是对App运营商提出的要求,稍加推敲便会发现,这里的最少信息要求实质上有两层内涵:第一层是对运营商的显性约束,也就是说,当用户同意App收集某服务类型的最少信息时,App不得因用户拒绝提供最少信息之外的个人信息而拒绝提供该类型服务等内容;第二层是对用户的隐形约束,具体来说,如果用户想要使用该App的服务,则必须要提供该App对应的最少信息。从这个意义上来说,最少信息提出的是一个双向要求,不仅是对运营商的直接约束,也是对用户的间接要求。 2. 最小权限 “最小”是指“最小权限范围”,即保障某一服务类型正常运行所必需的最少系统权限。同理,最小权限范围也是一个双向要求:对于运营商而言,如果用户只同意开启最小权限,App不得因此拒绝提供该类型服务等内容;对用户而言,如果用户想使用该App服务,则必须开启该App相应的最小权限范围内的权限。草案附录B针对Android 6.0及以上的危险权限,给出了服务类型的最小权限范围。 如前文所述,草案附录A列举了二十一种常用App类型以及其对应的最少信息,附录B(针对Android 6.0及以上的危险权限)列举了这些App对应的最小权限范围。 那么问题来了:附录A以外的App类型对应的最少信息,应当由谁如何来认定? 在草案语焉不详的情况下,“漏网”的App类型究竟是该喜还是该忧?一方面,它们未被纳入草案附录,这个行为本身在某种意义上说明这些App类型可能(还)不属于重点监管对象。但是,另一方面,这些App类型为了符合草案的合规要求,还是需要解决同样的问题:它的最少信息和最小权限包括哪些?而这个问题,对于那二十一种所列举的App类型来说,草案已经帮忙回答了,毋须再操心。 这个问题有待有关部门予以明确,因为规范的不确定性不仅可能会陷App运营商于无所适从的境地,而且可能令用户维权无据,最终有可能既不利于规范App市场的健康发展,也无法实现保护个人信息的目的。一、专项治理 如火如荼
二、收集使用 要“少”要“小”
三、漏网之鱼 是喜是忧?