App合规系列——企业可以收集哪些个人信息(兼论“必要原则”)
2021.01.25 杨锦文 高健 李圆圆
一、 前言
随着移动互联网应用程序(以下简称“App”)在人们生活中的重要性日渐提升,App为工作生活带来方便的同时,其中蕴含的个人信息安全保护问题也逐步凸显。目前,App收集使用个人信息方面乱象丛生,多收集、乱收集、信息泄露等情况时有发生,引起了政府部门和广大App用户的重视。企业通过App收集使用个人信息不管是对于个人信息安全保护还是企业合规要求来说都是至关重要的一环,而这其中,“必要原则”是App收集个人信息的基本原则之一,需要企业给予高度关注。本文旨在对App收集使用个人信息的“必要原则”进行梳理和总结,以期对企业通过App收集使用个人信息的合规实务有所助益。
从国外立法动向来看,“必要原则”不仅是中国对于个人信息收集使用的规定,也是国际上处理 个人数据的一个原则。例如,欧盟的《一般数据保护条例》(General Data Protection Regulation,以下简称“GDPR”)中规定了处理个人信息数据的七大原则,其中有“数据最小化”原则,其精神和内涵与“必要原则”有异曲同工之处。GDPR第二章第5条第一款中规定,“个人数据的处理应当是为了实现数据处理目的而适当的、相关的和必要的(“数据最小化”)”。根据这条原则,数据控制者和处理者不应当收集任何非必须的个人数据。
从国内立法动向来看,《民法典》、《网络安全法》、《信息安全技术 个人信息安全规范》(以下简称“《个人信息安全规范》”)等法律和国家标准确立了收集使用信息的“必要原则”。从2019年开始,针对企业通过App收集使用个人信息这一问题,政府部门出台了一系列法规和国家标准对其进行规制。其中主要法规如下表所示,值得企业重点关注:
序号 | 发布时间 | 法规名称 |
1 | 2019年11月28日 | 《App违法违规收集使用个人信息行为认定方法》(以下简称“《认定方法》”) |
2 | 2020年12月1日 | 关于《常见类型移动互联网应用程序(App)必要个人信息范围》公开征求意见的通知(以下简称“《App必要个人信息范围》”) |
3 | 2020年1月20日 | 关于征求《信息安全技术 移动互联网应用(App)收集个人信息基本规范》国家标准意见的通知(信安字〔2020〕003号)(以下简称“《App收集个人信息基本规范》”) |
4 | 2020年3月30日 | 关于《网络安全标准实践指南—移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》公开征求意见的通知(以下简称“《安全防范指引》”) |
5 | 2020年7月22日 | 关于发布《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》的通知(信安秘字〔2020〕40号)(以下简称“《自评估指南》”) |
二、 App违法违规收集使用个人信息的现状
(一) 目前App违反“必要原则”收集使用个人信息的主要问题
根据2020年App违法违规收集使用个人信息治理工作启动会1及用户广泛反映投诉问题,当前App数量已超500万款,超过“必要原则”违法违规收集使用个人信息的问题仍广泛存在,例如:
1)大量存在App超过必要范围收集与功能无关的个人信息的现象。
2)App强制索要或频繁索要与功能无关的权限,例如定位、麦克风、相机、发送通知等。
3)App设置“不同意采集个人信息就无法安装使用App”的“霸王条款”2。
4)App存在不合理的免责条款,存在默认捆绑功能并一揽子同意的情况3。
5)面部特征等生物特征信息收集使用不规范,App后台自启动、关联启动、私自调用权限上传个人信息,录音、拍照等敏感权限滥用4等。
(二) App违法违规收集使用个人信息的举报途径和通报案例
针对App违法违规收集个人信息的行为,相关监管部门设置了相应的用户举报渠道(例如App违法违规收集使用个人信息治理工作组设置了公众号“App个人信息举报”和网站pip.tc260.org.cn,中央网信办设置了违法和不良信息举报中心,中国互联网协会受工业和信息化部委托设置了网络不良与垃圾信息举报受理中心等)接受用户投诉举报并进行相应处理。
目前,仍然存在大量App因违法违规收集使用个人信息的行为而被通报批评、要求整改的情况。例如,2020年App违法违规收集使用个人信息治理工作组曾通过上述公众号和网站通告了177款App违法违规收集使用个人信息,建议相关App运营者及时对存在的问题进行整改,并将对整改情况进行核验,向相关部门提交复核结果,对不能有效整改的建议依法予以处置。其中,我们注意到大量App因违反“必要原则”收集使用个人信息而被通报,不乏人们日常常用的下载量较大的App。我们选取了部分此类通报案例归纳整理如下表:
序号 | App名称 | 违反“必要原则”收集使用个人信息的情况 |
1 | 某WiFi密码App | 申请打开的麦克风权限与现有业务功能无关。 |
2 | 某软件下载App | 收集的用户真实姓名、身份证号等个人敏感信息与现有业务功能无关。 |
3 | 某博客App | 以不正当方式误导用户同意收集个人信息:在隐私政策中以“在你发送微博、使用微博提供的位置定位服务时,我们会收集你的位置信息、设备信息”为由收集用户设备信息。 |
4 | 某航班信息管理App | 用户明确表示不同意打开存储等权限后,仍频繁征求用户同意,干扰用户正常使用。 |
5 | 某二手车App | 因用户不同意打开非必要的存储、电话、位置等权限,拒绝提供所有业务功能。 |
6 | 某读书软件App | 收集的用户收货地址与所提供的业务功能无关。 |
7 | 某房产中介App | 用户明确表示不同意打开位置权限后,仍频繁征求用户同意,干扰用户正常使用。 |
8 | 某手机金融App | (1)贷款业务功能向用户申请与该业务功能无关的手机短信权限。 (2)收集用户地理位置等个人信息频度超出业务功能实际需要。 |
9 | 某银行手机App | (1)收集设备IMEI号、IMSI号、地理位置等个人信息的频度超出业务功能实际需要。 (2)因用户不同意收集非必要的常用微信号等个人信息,拒绝提供“周边游”业务功能。 |
10 | 某招聘App | 首次打开App时,强制要求用户输入月薪等非必要个人信息。 |
三、 循道不违——“必要原则”的基本规范和要求
(一) “必要原则”的内涵
《网络安全法》第四十一条与《民法典》第一千零三十五条均规定,处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理。
《个人信息安全规范》提出了个人信息安全基本原则之一为“最小必要”,即只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时删除个人信息。针对这一原则,该国家标准要求个人信息控制者做到以下几点:
1) 收集的个人信息的类型应与实现产品或服务的业务功能有直接关联;直接关联是指没有上述个人信息的参与,产品或服务的功能无法实现;
2) 自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率;
3) 间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。
(二) “必要原则”的具体要求
针对App收集使用个人信息,《认定方法》、《自评估指南》和《安全防范指引》等法律法规对“必要原则”做出了进一步的细化规定。根据《安全防范指引》,超过“必要原则”的收集使用行为包括但不限于以下这三种情形:
1)收集无关信息。收集的个人信息类型或申请的系统权限与App提供的业务功能无关。
2)强制收集非必要信息。因用户不同意收集非必要个人信息或打开非必要权限,App拒绝提供业务功能。
3)收集频率不合理。收集个人信息的频率超出App业务功能实际需要。
根据《认定方法》和《自评估指南》等法律法规,我们对企业通过App收集使用个人信息的“必要原则”的相关规范和具体要求进行了如下梳理。
基本规范 | 规范要点 | 具体要求 |
遵循必要原则,仅收集与其提供的服务相关的个人信息 | 1.不应收集与业务功能无关的个人信息 |
|
2.用户应当可拒绝收集非必要信息或打开非必要权限 |
| |
3.不应以非正当方式强迫收集用户个人信息 |
| |
4.收集个人信息的频度不应超出业务功能实际需要 |
|
企业违反“必要原则”收集个人信息,属于违法违规收集个人信息,可能面临监管部门的公开通报、敦促整改、约谈、警告、下架、罚款等监管措施。如果进一步涉及非法滥用个人信息或者倒卖个人信息等情况,则可能触及非法提供公民个人信息罪、非法获取公民个人信息罪、拒不履行信息网络安全管理义务罪等刑事责任。
四、 正面清单——各类App收集使用个人信息的必要范围
尚在征求意见中的《App收集个人信息基本规范》和《App必要个人信息范围》对各类App能够收集的个人信息的范围作出了具体限制。《App收集个人信息基本规范》对App收集个人信息时应满足的基本要求,例如最小必要信息5 、最小必要权限范围6和使用要求作出了详细规定。《App必要个人信息范围》则以“正面清单”的形式列举了各种类型的App能够收集的必要个人信息7范围,并明确只要用户同意收集必要个人信息,App不得拒绝用户安装使用。
下表归纳了《App必要个人信息范围》中提出的几类常见App的基本功能服务和其能够收集的必要个人信息。这些具体的规定旨在落实《民法典》、《网络安全法》等法律法规关于收集使用个人信息合法、正当、必要的原则,规范App的个人信息收集使用行为,保障公民个人信息安全。
App类型 | 基本功能服务 | 必要个人信息 |
即时通信类 | 提供文字、图片、语音、视频等即时通信服务 | (1)注册用户移动电话号码或其他真实身份信息(App提供者提供多种选项,由用户选择其一)。 (2)账号信息:账号、联系人账号列表。 |
网络社区类 | 博客、论坛、社区等话题讨论、信息分享和关注互动 | 注册用户移动电话号码或其他真实身份信息(App提供者提供多种选项,由用户选择其一)。 |
网络支付类 | 收款人或付款人依托公共网络远程发起支付指令,由支付机构提供货币资金转移服务(如支付、提现、转账等) | (1)注册用户移动电话号码或其他真实身份信息(App提供者提供多种选项,由用户选择其一)。 (2)付款人姓名、证件类型和号码、证件有效期限、证件影印件、银行卡号码、银行预留移动电话号码。 (3)收款人姓名、银行卡号码。 |
网上购物类 | 购买商品 | (1)注册用户移动电话号码或其他真实身份信息(App提供者提供多种选项,由用户选择其一)。 (2)收货人姓名、地址、联系电话。 (3)支付信息。 |
网络借贷类 | 通过互联网平台实现的个人消费贷款 | (1)注册用户移动电话号码或其他真实身份信息(App提供者提供多种选项,由用户选择其一)。 (2)借款人姓名、证件类型和号码、证件有效期限、证件影印件、银行卡号码。 |
二手车交易类 | 二手车买卖 | (1)注册用户移动电话号码或其他真实身份信息(App提供者提供多种选项,由用户选择其一)。 (2)购买方姓名、证件类型和号码。 (3)出售方姓名、证件类型和号码、车辆行驶证号、车辆识别号码。 |
学习教育类 | 在线辅导、网络课堂等 | 注册用户移动电话号码或其他真实身份信息(App提供者提供多种选项,由用户选择其一)。 |
其中,网络直播类、在线影音类、短视频类、新闻资讯类、运动健身类、浏览器类、输入法类、安全管理类、电子图书类、拍摄美化类、应用商店类、实用工具类App无须个人信息即可使用基本功能服务,也就是说这些类型的App对于基本功能服务不应当收集用户个人信息。
《App收集个人信息基本规范》和《App必要个人信息范围》一旦生效,对于企业通过App收集个人信息的行为会产生较大的影响,需要企业提前予以关注。企业应当严格遵循“必要原则”,收集个人信息的内容应满足该法规的合规要求和范围限制,根据自身运营的App的类别对目前收集个人信息的行为予以规制。
五、 结语——对于企业通过App收集使用个人信息的合规建议
目前政府部门对于使用App过程中的个人信息保护问题高度重视。面对目前较为严格的监管动态,企业可采取以下措施:
(一)根据上述相关法律法规和国家标准,对照检查自身App有无违法违规收集使用个人信息的情形,如果存在应当积极进行规范整改。
(二)避免出现目前被广泛投诉的超过“必要原则”的收集使用行为,例如超范围收集与功能无关的个人信息、强制或频繁索要无关权限、默认捆绑功能并一揽子同意、设置“不同意采集个人信息就无法安装使用App”的条款、滥用录音、拍照等敏感权限等。
(三)积极参加App安全认证工作,获取明确标识和合规认证。如为教育类、金融类等特殊行业的App,则应当根据相应的备案要求进行备案。认证和备案的相关要求请详见本系列的上一篇文章《App合规系列——企业如何上线App》。
(四)持续关注App方面的法律法规出台情况和监管动态,根据政府部门的监管动向随时调整App收集使用个人信息的规则和相应的程序操作处理规则。
注:
1.请参见《2020年App违法违规收集使用个人信息治理工作启动会在京召开》,http://www.cac.gov.cn/2020-07/25/c_1597240741055830.htm
2 请参见《按“最小必要”原则规范APP个人信息收集》,https://xw.qq.com/cmsid/20201217A01TDN00
3 请参见《网友举报5000余款App 涉违法违规收集个人信息》,http://epaper.oeeee.com/epaper/A/html/2020-08/11/content_23380.htm
4 请参见《2020年App违法违规收集使用个人信息治理工作启动会在京召开》,http://www.cac.gov.cn/2020-07/25/c_1597240741055830.htm
5.根据《App收集个人信息基本规范》,指的是用于收集某一服务类型最小必要信息且需要个人信息主体主动授予的智能移动终端操作系统权限。
6.根据《App必要个人信息范围》,指的是保障App基本功能正常运行所必须的个人信息,缺少该信息App无法提供基本功能服务。
7.根据《App必要个人信息范围》,指的是保障App基本功能正常运行所必须的个人信息,缺少该信息App无法提供基本功能服务。
