首页 / 文章发布 / 君合法评 / 君合法评详情

四部委发布《常见类型移动互联网应用程序必要个人信息范围规定》

2021.03.25 董潇 郭静荷 董俊杰

2021年3月12日,国家互联网信息办公室(以下简称“国家网信办”)、工业和信息化部、公安部、国家市场监督管理总局(以下合称“四部委”)联合发布《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称“《规定》”)。《规定》于3月22日正式向公众公布。《规定》主要依据《网络安全法》确立的“必要性原则”,梳理了39类App的基本功能及保障其正常运行所需收集的个人信息的具体类型及使用要求。


《规定》的发布进一步充实了必要原则的监管要求,其值得关注的重点内容介绍简要总结如下。


一、 出台背景及相关法规


必要性原则是自2012年全国人民代表大会常务委员会发布《关于加强网络信息保护的决定》以来,并进一步通过《网络安全法》确立的个人信息收集和处理的基本原则之一。国家标准《个人信息安全规范》对必要性作出了进一步解释,即:收集的个人信息的类型应与实现产品或服务的业务功能有直接关联;自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率;间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。


2019年1月,为落实《网络安全法》,四部委联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,强调App运营者收集使用个人信息时,应遵循合法、正当、必要的原则,不收集与所提供服务无关的个人信息,App监管持续加强深化。


对于个人信息收集、使用的最少必要原则,2019年6月,全国信息安全标准化技术委员会发布了非强制性技术性文件《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》,列举了16类App的基本功能及必要个人信息类型。


2020年12月,国家网信办发布《常见类型移动互联网应用程序(App)必要个人信息范围(征求见稿)》,向社会公开征求意见,文件规定了地图导航、网络约车、即时通信等38类常见类型App必要个人信息范围。


二、 必要个人信息范围


《规定》从以下角度明确了必要个人信息的范围:

  • 功能实现角度,是指保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务。

  • 从主体角度,是指消费侧用户个人信息,不包括服务供给侧用户个人信息。《规定》未明确定义消费侧用户及服务供给侧用户的具体含义。


三、 明确适用范围至小程序


除了移动智能终端预置、下载安装的应用软件,《规定》明确将适用App的范围包括基于应用软件开放平台接口开发的、用户无需安装即可使用的小程序。


四、 必要个人信息的列举


《规定》列举了即时通信、网络社区、网络支付、网上购物、求职招聘、旅游服务、酒店服务、浏览器、应用商店等39类App的基本功能服务及相应的必要信息范围。

例如对于即时通信类App,基本功能服务为“提供文字、图片、语音、视频等网络即时通信服务”,必要个人信息包括:“注册用户移动电话号码、账号信息(账号、即时通信联系人账号列表)”。


五、 APP不得因非必要个人信息拒绝基本功能服务


对于必要个人信息,《规定》确立的基本原则是,App不得因为用户不同意提供非必要个人信息而拒绝用户使用其基本功能服务。


但《规定》并未说明落实上述基本原则的具体形式及合规标准,而是将此留待市场中App根据自身的情况去进行调整和设计。


对于App来说,对于实现上述基本原则,需要考虑是否需要进行以下方面的评估和调整:

  • 根据App的自身状况,评估、确认自身的基本功能、以及对应基本功能的必要信息范围;

  • 考虑是否在隐私政策之中对于必要信息和非必要信息的收集和处理分别说明;

  • 为用户提供非必要个人信息收集的选择和拒绝权。


但《规定》由于仍是原则性规定,在实践之中,在设计方案时,仍存在不少问题待明确,例如:

  • 就必要个人信息的收集和使用,是否仍需取得用户的明示同意;

  • 对非必要信息的收集和使用,是否需要单独列举,通过单独弹框明示同意,还是可以通过点击对隐私政策的同意即可;特别是在目前小程序的场景下,小程序单独弹框就信息收集获得用户同意仍尚不普遍;

  • 是否需设置基本功能及附加功能两种服务模式,并提供不同的隐私政策供用户同意;

  • 是否需要设定不收集个人信息的游客模式等。


监管部门对上述问题的要求将可能极大影响企业目前个人信息收集及使用实践以及App用户界面的设计。


六、 我们的观察


在现实之中, 很多情况下App和小程序收集的个人信息种类和后续的利用目的实际在很大程度上超出了为提供服务直接相关的范围,并已经形成了一种市场惯例及业务模式,各国监管也在通过不同的方式质疑和收紧相应的要求。


可以看到,《规定》是中国的监管机关对于三年来App执法之中所发现的信息收集过度问题的回应,也为《个人信息保护法》出台后对于该问题的解释打下实践基础。《规定》并不禁止App收集所列举的必要个人信息之外其他个人信息,但着眼于要求App为用户提供一种拒绝App收集非必要个人信息、并可以使用基本功能的选择。

但是,就如何通过适当的方式来实现用户的选择权,对于业务模式相对简洁直接的App,可以通过修订隐私政策规定、信息收集的同意弹框设定等方式来达到上述要求。但是,对于业务模式相对复杂的App,是否会直接影响App及关联服务的业务模式,均值得进一步的观察。另外,此前四部委执法更集中在移动应用软件,而该文件进一步将小程序直接纳入到App的范畴,可见小程序的严格执法更加趋近。


建议企业密切关注监管实践,在今年五月一日《规定》生效前对其业务逻辑、隐私政策、界面和弹窗设计进行必要的评估和调整。 

君合是两大国际律师协作组织Lex MundiMultilaw中唯一的中国律师事务所成员,同时还与亚欧主要国家最优秀的一些律师事务所建立Best Friends协作伙伴关系。通过这些协作组织和伙伴,我们的优质服务得以延伸至几乎世界每一个角落。
北京绿化基金会与君合共同发起的“北京绿化基金会碳中和专项基金”,是中国律师行业参与发起设立的第一支碳中和专项基金。旨在充分利用公开募捐平台优势,积极联合社会力量,宣传碳中和理念,鼓励和动员社会单位和个人参与“增汇减排”、“植树造林”等公益活动。