文|电子商务研究中心 黎智鹏
8月8日,全国信息安全标准化技术委员会发布关于开展国家标准《信息安全技术移动互联网应用(App)收集个人信息基本规范(草案)》征求意见工作的通知。《草案》中明确,App不得收集与所提供的服务无关的个人信息。对外共享、转让个人信息前,App应事先征得用户明示同意。App应对其使用的第三方代码、插件的个人信息收集行为负责。
《草案》中规定,App运营者应履行个人信息保护义务,采取必要安全措施,保障用户个人信息安全。
《草案》规定了21种常用APP类型可收集的最少信息。其中,明确可收集的最少信息中包含个人身份信息的的APP类型为网络约车、网络支付、交通票务、金融借贷、房屋租售、二手车交易等;即时通讯、博客论坛、新闻资讯、短视频等类别仅对公众账号信息发布服务使用者收集个人身份信息,求职招聘类仅对招聘者用户收集个人身份信息,问诊挂号类则仅对患者收集身份信息。
根据《草案》,地图导航、网上购物、快递配送、餐饮外卖、婚恋相亲、运动健身类等APP如要收集个人身份信息,需要征得用户明示同意。浏览器、输入法、安全管理这三类APP可收集的最少信息只有网络日志一项。
而在此之前,5月24日据网信办官方通报,在中央网信办、工信部、公安部、市场监管总局指导下,App专项治理工作组开通了违法违规收集使用个人信息举报渠道,认真受理网民举报。期间,工作组收到大量关于App强制、超范围索要权限等举报信息。统计结果显示相当部分APP都有存在强制超范围索要权限情况,平均每个APP申请收集个人信息相关权限数有10项,而用户不同意开启则APP无法安装或运行的权限数平均仅为3项(详见《百款常用App申请收集使用个人信息权限列表》)。对此,网经社电子商务研究中心(100EC.CN)发布快评:《百个APP用户信息调查存强制超范围要权限》。
对此,网经社电子商务研究中心特约研究员、北京德恒(广州)律师事务所黎智鹏认为,2019年1月23日,《关于开展App违法违规收集使用个人信息专项治理的公告》发布之后,如果说《信息安全技术个人信息安全规范(征求意见稿)》属于一般性规范,《App违法违规收集使用个人信息自评估指南》、《App违法违规收集使用个人信息行为认定方法(征求意见稿)》从反面指出收集使用个人信息之违法违规行为,即APP运营者不能做的行为,那么,《移动互联网应用(App)收集个人信息基本规范(草案)》则从正面指出APP的合规行为,即APP运营者应当做的行为。
从适用范围来看,《移动互联网应用(App)收集个人信息基本规范(草案)》不但可以作为App收集个人信息的合规指南,还作为政府监管部门评估、检查App的执法指南。
《草案》提出“最少信息”概念体现比例原则
根据《草案》,“最少信息”是指保障某一服务类型正常运行所必需的个人信息,包括与服务类型直接相关,一旦缺少将导致该类型服务无法实现或无法正常运行的个人信息,以及法律法规等规范性文件要求必须收集的个人信息。
《草案》明确,当用户同意App收集某服务类型的最少信息时,App不得因用户拒绝提供最少信息之外的个人信息而拒绝提供该类型服务。当收集个人信息超出服务类型的最少信息时,超出部分的个人信息,App应逐项征得用户明示同意。
App不得收集与所提供的服务无关的个人信息。对外共享、转让个人信息前,App应事先征得用户明示同意。当用户不同意,则不得对外共享、转让用户个人信息。用户明确拒绝使用某服务类型后,App不得频繁(如每48小时超过一次)征求用户同意使用该类型服务,并保证其他服务类型正常使用。
黎智鹏认为,App收集个人信息要符合比例原则,既要看到收集个人信息的必要性和合乎目的性,也要尽可能少地收集个人信息。为此,《移动互联网应用(App)收集个人信息基本规范(草案)》提出“最少信息”这个概念。
黎智鹏进一步解释,“最少信息”即“保障某一服务类型正常运行所必需的的个人信息”,表现为:第一,用户提供了最少信息,App不能因用户拒绝提供最少信息之外的个人信息而拒绝提供服务;第二,App不得收集不可变更的设备唯一识别(如IMEI号、MAC地址),可见,设备唯一识别不属于“最少信息”;第三,App不得收集与所提供服务无关的个人信息;第四,App还要防止其使用的第三方代码、插件收集无关的个人信息。
《移动互联网应用(App)收集个人信息基本规范(草案)》的亮点之一在于,在附录中列举21种常用服务类型可收集的最少信息,为APP运营者明确了标准,还指出了相应的法律法规根据。
专家:APP收集个人信息需取得用户的同意
最后,黎智鹏表示,个人信息属于用户所有,只有其愿意共享的情况下,App才可以收集,这表现为:第一,即使是“最少信息”,也需要用户的同意;第二,对外共享、转让个人信息前,App要事先征得用户明示同意;第三,用户拒绝使用某服务类型,不得频繁征求用户同意使用该类型服务;第四,App应存在涉及收集个人信息取得用户的明示同意的操作。
另据“电子商务消费纠纷调解平台”近年来受理的全国电商投诉案件大数据表明,包括天猫/淘宝、京东、唯品会、当当网、苏宁易购、国美在线、1号店等在内的电商平台,以及窝窝团、美团、大众点评、百度糯米、携程、去哪儿、支付宝等在内的生活服务O2O平台,均曾出现用户信息泄露事件。而仅2018年,就多次出现用户个人信息泄露事件,圆通、顺丰十几亿条个人信息在暗网被出售,以及12306数百万条旅客信息在网上被出售等。
近年来,信息泄露事件屡屡发生,而App过度索要授权是个人信息泄露的导火索之一。互联网信息安全存在的问题主要表现为,过度收集、非法收集、泄露隐患、非法售卖、无法注销。而《数据安全管理办法》对网络运营者在数据收集、处理使用、安全监督管理三方面作出了要求,包括企业利用用户数据和算法推送新闻信息、商业广告时,应标明“定推”字样、并为用户提供停止接收定向推送信息的功能等。为此,电子商务消费纠纷调解平台进行2019电商系列调查专项行动之互联网信息安全,通过发布快评、消费预警、投诉受理、滚动曝光、专题聚焦、密集播报、媒体联动、律师咨询、纠纷调解、典型通报等10大方式,关注互联网用户信息安全。如果您有相关线索,请提供给我们!(作者系网经社电子商务研究中心特约研究员)
