App收集個人信息:“少即是多”
作者:齊寶鑫 王靜 2019-08-152019年8月8日,全國信息安全標準化技術委員會秘書處(以下簡稱“信安標委”)組織起草了《信息安全技術 移動互聯網應用(App)收集個人信息基本規范(草案)》(以下簡稱“草案”),旨在落實《網絡安全法》對個人信息保護的相關要求。此草案目前正在面向社會公開征求意見。
草案是第一部專門針對移動互聯網應用程序(以下簡稱“App”)收集個人信息時應滿足的基本要求的標準文件,旨在規范App運營者收集個人信息的行為。
2019年1月25日,中央網信辦、工信部、公安部、市場監管總局四部門聯合發布《關于開展App違法違規收集使用個人信息專項治理的公告》(以下簡稱“《公告》”)。從上半年業已公布的監管規范或者采取的專項行動來看,《公告》中的要求正在逐步落實。 本草案也是落實《公告》要求的重要一步。《公告》第二條規定:“全國信息安全標準化技術委員會、中國消費者協會、中國互聯網協會、中國網絡空間安全協會,依據法律法規和國家相關標準,編制大眾化應用基本業務功能及必要信息規范……” 我們可以看出,《公告》所要求的App違法違規收集使用個人信息專項治理正在全國范圍內如火如荼地開展。 從《公告》發布截止到目前,App領域已經出臺/起草的監管規范如下圖所示: 如上圖所示,對于 App違法違規收集使用個人信息行為,有關部門已經出臺了若干監管規范。不同于這些監管規范的視角,本草案可謂是從正面給出指引,明確告訴App運營者收集個人信息時應當滿足哪些基本要求。換言之,之前的監管規范更多地是告訴你哪些行為不能做,而草案是告訴你哪些行為應該做。 整體而言,草案有兩個關鍵詞:一個是“最少”,一個是“最小”。 1. 最少信息 “最少”指的是最少信息,即保障某一服務類型政策運轉所必需的個人信息,它包括兩類:一是法律法規要求的個人信息,二是實現服務所需的個人信息。草案附錄A便是按照這個分類,規定了二十一種常用App類型可收集的最少信息。 最少信息要求無疑是《網絡安全法》所規定的必要原則一脈相承的結果。 自《網絡安全法》出臺以來,必要原則一直是收集使用個人信息的指導原則之一。后來出臺的《信息安全技術 個人信息安全規范》也延續了這一原則,它明確規定“最少夠用原則”是個人信息安全的基本原則之一,收集個人信息時應滿足最小化要求。2019年1月30日公布的《信息安全技術 個人信息安全規范(草案)》將其修改為“最小必要原則”,雖然表述稍有差異,但實質內容保持不變。 乍看之下,最少信息是對App運營商提出的要求,稍加推敲便會發現,這里的最少信息要求實質上有兩層內涵:第一層是對運營商的顯性約束,也就是說,當用戶同意App收集某服務類型的最少信息時,App不得因用戶拒絕提供最少信息之外的個人信息而拒絕提供該類型服務等內容;第二層是對用戶的隱形約束,具體來說,如果用戶想要使用該App的服務,則必須要提供該App對應的最少信息。從這個意義上來說,最少信息提出的是一個雙向要求,不僅是對運營商的直接約束,也是對用戶的間接要求。 2. 最小權限 “最小”是指“最小權限范圍”,即保障某一服務類型正常運行所必需的最少系統權限。同理,最小權限范圍也是一個雙向要求:對于運營商而言,如果用戶只同意開啟最小權限,App不得因此拒絕提供該類型服務等內容;對用戶而言,如果用戶想使用該App服務,則必須開啟該App相應的最小權限范圍內的權限。草案附錄B針對Android 6.0及以上的危險權限,給出了服務類型的最小權限范圍。 如前文所述,草案附錄A列舉了二十一種常用App類型以及其對應的最少信息,附錄B(針對Android 6.0及以上的危險權限)列舉了這些App對應的最小權限范圍。 那么問題來了:附錄A以外的App類型對應的最少信息,應當由誰如何來認定? 在草案語焉不詳的情況下,“漏網”的App類型究竟是該喜還是該憂?一方面,它們未被納入草案附錄,這個行為本身在某種意義上說明這些App類型可能(還)不屬于重點監管對象。但是,另一方面,這些App類型為了符合草案的合規要求,還是需要解決同樣的問題:它的最少信息和最小權限包括哪些?而這個問題,對于那二十一種所列舉的App類型來說,草案已經幫忙回答了,毋須再操心。 這個問題有待有關部門予以明確,因為規范的不確定性不僅可能會陷App運營商于無所適從的境地,而且可能令用戶維權無據,最終有可能既不利于規范App市場的健康發展,也無法實現保護個人信息的目的。一、專項治理 如火如荼
二、收集使用 要“少”要“小”
三、漏網之魚 是喜是憂?
