3月22日,国家互联网信息办公室等4部门联合制定的《常见类型移动互联网应用程序必要个人信息范围规定》发布。规定明确了移动互联网应用程序(APP)运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用APP基本功能服务,同时规定了39种常见类型APP的必要个人信息收集范围。
互联网信息时代,APP在为公众生活带来便利的同时,也增加了用户对自身隐私安全的担忧。近年来,相关部门曾数次开展APP违法违规收集使用个人信息专项治理工作,但一些APP存在的强制授权、过度索权、超范围收集个人信息等问题仍屡禁不止。
如此语境下,国家网信办等4部门出台新规,明确39类APP必要个人信息收集范围、规范收集行为,是监管工作的进一步需要,也是对公众关切的及时回应。
此前,《信息安全技术个人信息安全规范》《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》等行业文件,都曾针对APP超范围收集、强制授权、过度索权等行为提出可行性解决方案,但这些规范因为缺少法律上的强制约束力,对于相关行业而言更多的只是一种参考。因而,尽快建立健全个人信息安全全方位保护法律体系的呼声一直不断。
2020年10月,备受关注的个人信息保护法草案提请十三届全国人大常委会第二十二次会议审议。草案确立了个人信息处理应遵循的原则,强调处理个人信息应当采用合法、正当的方式,具有明确、合理的目的,限于实现处理目的的最小范围,公开处理规则,保证信息准确,采取安全保护措施等,并将上述原则贯穿于个人信息处理的全过程、各环节。同时,草案确立了以“告知-同意”为核心一系列有关个人信息处理的规则,要求处理个人信息应当事先充分告知取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。
可见,个人信息“非必要不收集”,应是APP服务的一条“高压线”。明确“高压线”,除了需要建立个人信息的合理使用制度、侵害补偿和惩罚机制,设置监督机构外,还应对公民个人信息的采集、使用和保密等问题制定详细规定,如在信息采集的源头方面,对采集主体设定门槛、规定必须事先履行核准和登记程序等。
同时,应结合我国实际情况,在推进数字产业规范发展和个人数据保护立法工作的同时,还要兼顾个人数据保护、创新、效率、安全等价值目标,在保护个人权利的同时,激励各方更好地沉淀和使用数据。比如,可以对个人数据按照敏感程度加以分类保护;导入风险理念,根据个人数据的性质、使用场景以及产生的风险,来限定用户同意的范围和数据二次利用的风险管理机制。
要保障有关个人信息保护的常态化监管效果,必须扎紧制度牢笼,上述规定的出台可谓正当其时,这也应该成为全社会的共识,进而成为相关企业行为的准则。