中央网信办、工信部、公安部、国家市场监管总局四部门近日联合发布《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称《规定》),涉及网上购物、网络支付、即时通信等39种常见类型App,自今年5月1日起施行。

《规定》出台的背景怎样?

对个人信息保护有怎样的促进作用?

用户权益如何得到切实保护?

谈剑锋

这个新规,很重要!

全国政协委员

上海市信息安全行业协会名誉会长

长期致力于个人信息保护的实践与研究

以下是他的看法(问答方式):

问:规定出台的背景及意义?

答:随着移动互联网快速发展,各类应用程序迅速普及应用,在促进经济社会发展、服务民生等方面发挥了重要作用。但与此同时,App超范围收集用户个人信息问题十分突出。特别是大量App通过捆绑功能服务一揽子索取个人信息授权,用户拒绝授权就无法使用App基本功能服务,以此变相强制用户授权。

这个问题存在一段时间了,用户的投诉和相关诉讼这几年也是日益增多,尽管国家《网络安全法》《民法典》等法律、法规对个人隐私保护已做出了相关规定,但在实际操作中,在对相关问题的检查、监督方面缺乏可操作的细则。

《规定》将为进一步规范互联网应用和平台的业务和行为提供有力支撑,为互联网用户保护个人隐私提供有力依据。

问:第三条所称“必要个人信息”,如何理解“必要”?

答:“必要”是指保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务。具体可以从四个方面理解:

(1)初心是否可鉴。App服务提供商的数据处理行为的“必要性”需要基于服务合同目的本身进行判断,而不能本末倒置将数据处理行为作为合同的目的。

(2)客观性。“必要性”必须是客观上的必要:一方面判断这种必要性是假定了一个合理的App服务提供者在其与用户订立合同时,就客观上期待和判断这项服务中必须要进行的数据处理行为。另一方面,App服务提供者需要承担举证责任来证明某一项数据处理行为如果没有进行,合同就会无法履行或者无法订立。

(3)信息获取最小化。如果合同目的可以不需要进行该数据处理行为即可以完成,或者是该合同目的可以通过另外一种对App用户影响更小的数据处理行为完成,则数据处理行为不具有客观上的“必要性”。

(4)行为生命周期。一旦合同终止后,因为App服务提供者不再存在任何履约的“必要性”,所以数据处理行为必须停止,除非有法律、法规特殊规定的例外情况。

问:《规定》明确移动互联网应用程序(App)运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用App基本功能服务。这一规定的重要性和必要性?以及如何落地实施?

答:【重要性】 该《规定》有助于遏制App运营者⽆节制地向用户索取权限的现状,从⽽控制个⼈信息泄露的风险。规定从收集端⼊⼿进⾏规制,意在从源头对个⼈隐私进⾏有⼒的管控。为公民充分维护个人信息提供了可参考的法规依据。

【必要性】依据《网络安全法》《电信和互联网用户个人信息保护规定》等法规相关的要求,明确了基原则,本需要可衡量和可参考的依据,随着数字化经济的蓬勃发展需要有更为精准的法律武器给相关方面作为依祜。

【落地实施建议】 从落地实施来看,可能仍然面临不小的挑战。首先,监管的基本要求是从反向限制,即:App不得因为用户不同意提供非必要个⼈信息,而拒绝用户使用其基本功能服务,但并不能阻止App运营者采取规避措施,诱导客户授权;其次,《规定》对基本业务的界定,与主体的期待和需求挂钩,具有⼀定的时效性。现有《规定》将“必要信息”进行细化,也许未来还要适应不断变化的新兴业务需求但对运营者合规运营更有操作性的借鉴。另外,每个业务板块都非常有必要,有不同的行业特色、差异巨大,具体监管方式、尺度都需要评估;面对实际收集信息(以隐私协议为例)与必要信息的较⼤差距,监管又该如何处理?

因此,建议:

(1)相关监管部门层面:推进相关对应细化措施的出台,在安全隐私的原则基础上,运用监管科技手段,建设相关监管科技基础设施,加强对相关领域进行检测评估,并结合典型案例的处理开展宣传工作;

(2)行业协会:积极组织相关监管单位、第三方服务企业、个人信息处理者等机构开展相关政策研讨、宣传、培训,加强行业自律;配合监管部门进行行业监管平台的建设。

(3)第三方服务企业:结合《规定》要求运用大数据、人工智能、区块链等技术开发相应科技产品以及法律、咨询、取证等服务,提升监管部门能力的以及App服务提供者的隐私保护能力以及公民个人信息保护能力。

问:您对个人信息处理者落实规定的建议

答:《规定》要求,相关部门指导督促本地区App运营者抓紧落实,并加强监督检查,及时调查、处理违法违规收集使用个⼈信息行为,切实维护公民在网络空间的合法权益。

本次发的级别较高,是网信办联合其他三部委联合发文的,预计下⼀阶段将会开展专项检查和整治。

因此建议,App运营者开展如下工作,并与监管机构、法律咨询机构保持密切沟通与联系。防⽌突击检查等造成对业务的不利影响。

(1)深入研究学习《规定》及相关政策,提升整体隐私保护合规意识;

(2)对照《规定》要求寻找治理、政策、意识、制度、流程等方面的差距,开展业务影响分析,制定整改策略,确定相关领域风险偏好;

(3)根据整改策略开展对制度、流程、技术、合同条款等方面进行整改并开展培训和内外部贯宣工作。

问:在您看来,个人信息保护当前面临哪些突出问题?后续还亟待在哪些方面发力?

答:(1)在法律层面:在数据作为重要生产要素的时代,个人数据权属面临着法律规范明文直接规定稀少、权属界定社会共识不足以及权益的衔接不清晰等诸多问题;期待相应法律能持续推进建设和完善;

(2)市场机制方面:缺少基于个人角度出发的个人数据权益的确认和交易的市场机制,在保护个人权利的基础上,是否有可能开展基于个人数据确权、交易、变现等方面的个人数据市场机制,平衡好管理和发展的问题;

(3)尽管目前对隐私保护,在监管层面重视度很高。但是效果有待提升。为此建议,在提升监管有效性同时加强综合治理,培育企业主动合规,有效合规的意识;同时,加强对违规事件的处罚力度,鼓励对侵权行为进行诉讼/赔偿。