3月22日,据“网信中国”消息,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称《规定》),《规定》里明确了地图导航、网络约车、即时通信等39种APP的基本功能,并细致地列出了每一类APP的必要个人信息收集范围。(3月22日 人民网)
近几年,个人信息被过度收集的情况屡见不鲜。《规定》的发布,明显剑有所指。值得注意的是,它是对个人信息保护“告知-同意”原则的进一步细化。如果能够落到实处,效果必然让人期待。
所谓“告知-同意”原则,即我们在使用APP前界面上显示的“用户隐私协议”,唯有在我们勾选“同意”一栏后,APP才能收集我们的个人信息,我们也才能享用APP的服务。然而,大部分用户并不会认真阅读“用户隐私协议”,大多会直接点击同意。而企业撰写协议更多的是从自身的需求出发,而非从照顾用户的隐私出发。用户因此陷入了一个两难窘境:要么不同意,代价是无法使用APP提供的服务;要么同意,代价是自己的个人信息被过度收集。
围绕着“告知-同意”原则,学界和业界共同摸索出了一套更精密的个人信息保护体系,“目的限制”和“数据最小化”原则就是其中之二。“目的限制”原则,即企业应该告知用户收集和使用其个人信息的目的,之后使用个人信息不得超出或违反该目的。“数据最小化”原则,即企业只能收集为实现数据处理目的而必要的个人信息,不必要的则不能收集。不难看出,这两条原则就同意收集信息来干什么、收集哪些信息两方面深化了“告知-同意”的规定。
此次出台的《规定》,就贯彻了这两条原则。以酒店服务类APP为例,《规定》明确酒店服务类APP的基本功能服务为“酒店预订”,可收集的必要个人信息只有“注册用户移动号码”和“住宿人姓名和联系方式、入住和退房时间、入住酒店名称”。《规定》里还明确,网络直播、新闻资讯、短视频等十二种APP,无需提供个人信息即可使用,即用户以后无需注册就可直接看直播、看新闻、刷短视频。
实际上,“目的限制原则”和“数据最小化原则”早在我国2017年颁布的《网络安全法》第四十一条第一款“网络运营者收集、使用个人信息,应当......明示收集、实用信息的目的、方式和范围”中就已经确立,但在这之后,网络运营者超出目的和范围收集个人信息的行为仍屡见不鲜。
启蒙思想家洛克说:“如果法律不能被执行,那就等于没有法律”。此次的《规定》,是对个人信息保护“告知-同意”原则的进一步细化,也是对《网络安全法》的进一步细化,但如何明确企业的违规责任、如何追责,仍需要在之后的修改、执法过程中不断完善。只有真正做到有法必依、执法必严、违法必究,《规定》才能绑住APP收集个人信息“不规矩”的手。
文/何煦阳(湖南师范大学)