方寸之間,以“度”為尺—個人信息處理“必要性原則”之解析與實務建議
作者:張丹 夏星悅 2022-07-28近年來,因App非法獲取個人信息、超范圍收集個人信息、過度索權而被網信部門通報批評、要求整改甚至下架App的案例屢見不鮮,近期被國家網信辦處以人民幣80.26億罰款的某互聯網平臺公司就涉及違法收集、過度收集個人信息,而其在去年7月4日和9日就因旗下26款打車類App存在嚴重違法違規收集使用個人信息問題而被國家網信辦要求下架。
實際上,國家對于個人信息處理活動有著較為明確的規定、要求以及所需遵循的原則,在《全國人民代表大會常務委員會關于加強網絡信息保護的決定》、《網絡安全法》、《民法典》及《個人信息保護法》(下稱“《個保法》”)都提及個人信息處理活動應遵循“合法、正當、必要”原則,然而仍舊有相當多的App過度索權、超范圍收集個人信息。當然企業有商業利益的考量,希望在法律風險最小的范圍內實現較多的商業訴求。然而由于法律法規的原則性規定,對于個人信息處理原則的理解存在偏差,無法準確評估個人信息處理行為所可能導致的法律風險。基于此,本文將首先從個人信息處理中的“必要性原則”的法律內涵解讀著手,之后將進一步梳理常見類型的個人信息處理的合規要求,以幫助各位讀者厘清處理個人信息的合規界限。
【第一部分】個人信息處理“必要性原則”及相關處理原則的解讀
1. 個人信息處理之“必要性原則” 1.1. “必要性原則”的淵源與法律內涵 “必要性原則”源于行政法領域的“比例原則”。“比例原則”具有“適當性原則”“必要性原則”“均衡性原則”的要求。按照“比例原則”的邏輯,就個人信息處理的必要性而言,需要在合法、正當的目的下,就該目的而言作出必要的個人信息處理,不得超過合理的限度[1];在數個可實現初始目的的方式上,采用對個人信息主體權益最小的方式,若處理一般信息即可實現處理目的的,不得處理敏感信息。 在法律規定層面,早在2012年,《全國人民代表大會常務委員會關于加強網絡信息保護的決定》(下稱“《決定》”)首次提出個人信息處理應遵循“必要性原則”。該《決定》第二條指出:“網絡服務提供者和其他企業事業單位在業務活動中收集、使用公民電子信息,應當遵循合法、正當、必要的原則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意,不得違反法律、法規的規定和雙方的約定收集、使用信息。”此后,個人信息處理的“必要性原則”亦出現在《消費者權益保護法》第二十九條、《網絡安全法》第四十一條第(1)款、《電子商務法》第二十三條、《民法典》第一千零三十五條第(1)款以及《個保法》第五條等法律規定中。然而,縱觀這些法律規定,我們會發現,這些法律均未賦予“必要性原則”明確的法律定義和具體的適用標準,需要進行解釋后方可適用,因此,我們有必要梳理各相關法律規定中關于“必要性原則”的具體規定,從中提煉出一般標準。 1.2. 國內個人信息保護相關規定中“必要性原則”的具體體現與要求
如上表所示,各規定都強調不得過度收集個人信息。而這個“度”的標準是怎樣的呢?我們認為,應限定在實現個人信息處理的合法、正當目的的最小范圍中。此外,《個保法》與《信息安全技術 個人信息安全規范》(GB/T35273-2020)(下稱“《個人信息安全規范》”)都規定了個人信息的及時刪除原則,所以總結而言,“必要性原則”在個人信息處理中的具體要求主要有以下幾點: (1)收集的個人信息應具有明確、合理、具體的個人信息處理目的; (2)個人信息處理應當與擬實現的信息處理目的直接相關。 (3)個人信息處理應當限于實現處理目的之最小范圍。 (4)個人信息處理應當采取對個人權益影響最小的方式。 (5)個人信息的保存期限應當限于實現處理目的的最短期限。 以上五點要求實則暗含了三大原則,即“目的明確原則”、“最小化原則”以及“存儲期限限制原則”。限于文章篇幅,我們以下將聚焦對“目的明確原則”和“最小化原則”進行解讀。 2.個人信息處理之“目的明確原則” 在我國個人信息保護相關法律體系中,《個保法》首次在該法第六條中明確規定了個人信息處理應遵循“目的明確原則”。這一原則具有以下兩層含義。 2.1. 目的明確、合理 “目的明確原則”要求個人信息處理者處理個人信息的目的要明確、合理,且需要及時、明確、準確地向個人信息主體披露其個人信息處理的目的。《個人信息安全規范》亦規定,不應通過捆綁產品或服務各項業務功能的方式,要求個人一次性接受并授權其未申請或使用的業務功能收集個人信息的請求。使用個人信息時,不應超出與收集個人信息時所聲稱的目的具有直接或合理關聯的范圍。值得注意的是,《個人信息安全規范》在此處運用的是“與目的直接或合理關聯的范圍”,而《個保法》所使用的“與目的直接相關”的表述,我們理解由于《個保法》法律層級更高,故應限縮至“與目的直接相關的范圍”。 而對于目的的“合理性”要求,則強調個人信息處理者在目的合法的前提下,亦不得違反公序良俗。 2.2. 行為與目的直接相關
如上表所示,不同于歐盟GDPR所采用的“數據兼容處理(compatible processing of data)”原則[5]和美國CCPA與CPRA所采用的“目的+場景符合”的雙重認定標準[6],我國《個保法》選用是更為嚴格的“與處理目的直接相關”原則,即沒有該等個人信息的參與,產品或服務的功能就無法實現,并且在個人信息處理活動須圍繞初始目的展開,在初始目的實現、初始目的無法實現或初始目的變更等情況發生時,個人信息處理者均應該采取相應措施。我國作此規定有助于個人信息主體通過預先了解個人信息的處理目的,從而判斷是否允許個人信息處理者處理其個人信息,以及個人權益可能遭受侵害的風險等。 3.個人信息處理之“最小化原則” 《個保法》第六條規定除了凝聚了“目的明確原則”,還體現了“最小化原則”。“最小化原則”要求處理個人信息應當采取對個人權益影響最小的方式,并限于實現處理目的的最小范圍,不得過度收集個人信息。一方面,個人信息的收集應當以必要為原則,不必要的個人信息的收集不僅會增加個人信息權益侵害風險,同時也會增加數據泄露的風險;另一方面,是否必要,還需要從處理目的能否實現的角度加以判斷,只要收集的個人信息對于處理目的而言已經足夠了,就不應當收集了。 3.1. 采取對個人權益影響最小方式 一般而言,個人信息越敏感其處理活動對個人權益影響越大,因而在同樣可以實現處理目的的情況下,應盡可能采用收集一般個人信息的方式實現處理目的。如小區物業、辦公門禁,可以使用刷卡進出的就不宜采用指紋或人臉識別的方式進出。評估個人信息的權益影響可以參考《信息安全技術 個人信息安全影響評估指南》(GB/T 39335-2020)的規定執行。 3.2. 處理個人信息限于處理目的的最小范圍 根據《個人信息安全規范》第5.2條規定,收集個人信息的頻率和數量均應是實現產品或服務的業務功能目的所必需。《信息安全技術 移動互聯網應用程序(App)收集個人信息基本要求》(GB/T 41391-2022) (下稱“《基本要求》”)第6.1條進一步規定,對于實現處理目的所必要的最小范圍中“范圍”的理解,應包括收集個人信息的類型、頻率、數量、精度等。如在互聯網借貸場景中,個人信息處理者僅需收集粗略位置信息即可完成反欺詐等風控行為,收集精準位置信息或行蹤軌跡就超出了必要的范圍。因此,我們理解,為達到“最小范圍”要求,應確保:(1)收集個人信息,尤其是個人敏感信息,應擬實現業務功能之目的直接相關;(2)收集個人信息的數量與頻率為實現目的最低;(3)若可以采用去標識化或匿名化手段,盡量使用此類消除或降低個人信息主體可識別性的方式。
【第二部分】 “必要性原則”的典型應用場景分析
如本文引言所提及,在近期的某互聯網平臺的巨額處罰案中,被罰主體的違法事實主要包括違法收集個人信息、過度收集個人信息、明文存儲個人信息以及未向個人信息主體明確告知處理個人信息的范圍、目的等。其中過度收集個人信息的違法行為占到了違法事項的二分之一以上。 1. 違法收集與過度收集個人信息的區別 顧名思義,個人信息處理者違反法律規定而收集個人信息的行為屬于違法收集,我們認為,個人信息處理者未合理履行告知義務、未滿足個人信息處理的合法性基礎收集個人信息的屬于違法收集;由于法律法規等并不能對所有個人信息處理場景均予以詳細具體的規制,就產生了法律規定和處理者實際收集行為之間的間隙,個人信息處理者雖可能未違反某一具體法律條款,但依照個人信息的“必要性原則”而存在超出必要性收集個人信息的情形就屬于過度收集。 2.個人信息收集滿足“必要性”的評估自查 商業場景下,個人信息的收集是否違反“必要性原則”需要就具體場景予以判斷,我們可通過下表進行合規自查:
備注:基本業務功能是指所提供的實現用戶主要使用目的的業務功能;擴展業務功能是指所提供的基本業務功能以外的其他業務功能;必要個人信息是指基本業務功能正常運行所必需的個人信息;非必要但有關聯個人信息是指與所提供服務相關但可選收集的個人信息,該類信息可由個人拒絕或撤回同意收集。無關個人信息是指與所提供服務目的無直接關聯的個人信息,即沒有該等個人信息的參與,不會影響任何一項業務功能的正常實現和服務質量。必要個人信息的范圍可參考《常見類型移動互聯網應用程序必要個人信息范圍規定》或《基本要求》附錄A,該規定給出了三十九類基本業務功能對應的個人信息范圍,個人信息處理者要求個人提供的個人信息不應超出必要個人信息范圍。 無關個人信息屬于不應收集、也不應向個人征求同意的個人信息。基本業務功能和擴展業務功能收集無關個人信息均屬于違法收集行為,無論是否取得了個人的同意均不影響其違法性;其次,基本業務功能和擴展業務功能收集非必要但有關聯個人信息時,要根據個人信息處理的“必要性原則”的內涵和外延謹慎評估是否存在過度收集的情形,如收集的個人信息是否限于實現處理目的所必要的最小范圍,是否采取了對個人權益影響最小的方式。 3. 典型個人信息處理的必要性分析 3.1. 圖片信息 圖片信息不僅僅可以展現圖片內容信息,還可以體現圖片的拍照時間、拍照設備、拍照參數、圖片名稱、圖片位置等可關聯出個人的圖片信息。因而,基于圖片信息的豐富性,圖片信息的收集應符合“必要性原則”。 個人信息處理者收集圖片信息主要通過移動智能終端的拍照或屏幕截屏功能或是通過讀取、寫入方式訪問相冊中的圖片信息,無論通過何種方式獲取,均應向個人信息主體逐一告知不同業務功能下收集使用圖片信息的目的、方式和范圍,以及圖片信息存儲的地域、期限、超期處理的方式,采取的技術保護措施等,并獲得個人信息主體的明示同意。 根據《移動互聯網應用程序(App)收集使用個人信息必要性原則評估規范第3部分:圖片信息》,圖片信息的收集應與業務功能場景直接相關,不應僅以改善服務質量、提升使用體驗、研發新產品、增強安全性等為由強制個人信息主體同意收集跟場景無關的圖片信息;當個人信息主體僅選取一張或幾張圖片時,非個人信息主體主動觸發(如預覽),個人信息處理者不應讀取圖片庫中的其他圖片信息。根據《基本要求》附錄C,個人信息處理者未經個人單獨同意,不應分析圖片中的生物識別信息,或用于分析挖掘個人的特定身份、興趣愛好、健康狀況等。如個人信息處理者在個人信息主體分享圖片時讀取了圖片所包含的位置信息就違反了“必要性原則”,屬于過度收集。 3.2. 剪切板信息 在林某與“好購”App侵權糾紛一案中,林某認為剪貼板可以存儲身份證號、手機號、照片等涉及隱私的個人信息,但“好購”App的《隱私政策》并無收集手機用戶剪貼板上信息的相關說明,也未履行告知提醒義務或征得用戶同意。廣州互聯網法院認為,“好購”App監測、讀取用戶手機剪貼板信息的行為,系以技術手段侵入林某虛擬私密空間的行為,會導致林某手機中的私密信息可能被好購公司收集、上傳、使用,該可能性一旦實現,所能夠造成的私密信息泄露會對林某的合法權益造成較大損害。好購公司未將“好購”App能夠監測、讀取個人手機剪貼板的事實告知林某,該行為造成林某私密信息處于不安全的高風險狀態,給林某的生活安寧造成一定的侵擾和不安。“好購”App未經許可,監測、讀取林某手機剪貼板信息的行為侵害了林某的隱私權。 從該案可見,由于剪切板中豐富的內容不僅可能涉及個人信息,還可能涉及隱私信息。個人信息處理者如讀取剪切板信息,應滿足“必要性原則”的內涵和外延。如用戶在某即時通信平臺上不能直接打開某寶、某音等App的鏈接,需要復制一個口令,等再次打開某寶、某音時會自動跳轉到對應的商品/服務頁面。我們認為,該等讀取剪切板信息的行為并不符合"必要性原則",因為用戶也可通過已知的商品名稱、商戶名稱、其他關鍵字等信息在某寶、某音上搜索。 根據國家標準《信息安全技術 移動智能終端的移動互聯網應用程序(App)個人信息處理活動管理指南(征求意見稿)》7.2.2b)和k),當App讀取剪切板時應向用戶提示并限制App在后臺訪問剪切板的能力。由于無法判斷剪切板信息是否涉及敏感個人信息、隱私信息、商業秘密或其他信息,個人信息處理者在讀取剪切板信息前,應按照敏感個人信息的處理標準履行告知義務,并評估收集場景中剪切板信息的處理行為是否與處理目的直接相關,是否符合最小范圍,是否可能對個人信息主體權益造成重大影響。 3.3. 應用列表信息 應用列表信息包括應用軟件包名、名稱、業務類型、安裝包MD5、文件路徑、安裝時間、更新時間、文件大小等信息。常見的軟件列表使用場景有以向個人提供“應用分發、升級、備份、刪除”等功能為目的的場景;以向個人提供“殺毒、文件掃描”等功能為目的的場景;以向用戶提供“調用、喚醒第三方應用”等功能為目的的場景;以“統計軟件安裝數據”為目的的場景等。 為了符合“必要性原則”,個人信息處理者不應超出業務場景的實際需要收集應用列表信息。如不同的業務功能所收集的應用列表信息也有所不同,“調用、喚醒第三方應用”業務功能應僅收集應用軟件名稱類信息而不能收集其他應用列表信息,且僅可以在調用/喚醒時收集應用列表信息,而不應在調用/喚醒完成后繼續收集應用列表信息。可以在移動智能終端完成處理的,個人信息處理者不應收集應用列表信息至后臺,如判斷特定App是否安裝。此外,應默認不收集應用列表信息,僅在個人使用到相關業務功能時同步告知使用目的并取得個人同意后再行收集。非基于業務功能所必需或超范圍收集應用列表信息,就會違反“必要性原則”,存在過度收集的情形。 3.4. 人臉識別信息 人臉識別信息屬于敏感個人信息,基于人臉識別信息違法收集或過度收集的熱點事件層出不窮,最高人民法院曾出臺《關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》司法解釋,《網絡數據安全管理條例(征求意見稿)》第二十五條也規定,數據處理者不得將人臉、步態、指紋、虹膜、聲紋等生物特征作為唯一的個人身份認證方式。根據《個保法》,人臉識別信息作為敏感個人信息應符合以下處理要求: A. 取得個人單獨同意 B. 具有特定的處理目的和充分的必要性 C. 已采取嚴格的保護措施 D. 向個人告知處理的必要性和對個人權益的影響 E. 處理前進行個人信息保護影響評估 F. 非必要處理的,還應提供替代性方案 “人臉識別第一案”中,杭州野生動物世界擅自將指紋識別升級為“刷臉”入園,否則將無法入園。法院認為“人臉識別信息相比其他生物識別信息而言,呈現出敏感度高,采集方式多樣、隱蔽和靈活的特性,不當使用將給公民的人身、財產帶來不可預測的風險,應當作出更加嚴格的規制和保護。經營者只有在消費者充分知情同意的前提下方能收集和使用,且須遵循合法、正當、必要原則。”[7]因此,個人信息處理者在收集此類信息前,應謹慎評估收集該信息目的的合法、正當及必要性,并準確、具體地告知用戶收集之目的并獲得其單獨同意。如確需收集的,還應做好嚴格的保護措施,如將該等敏感個人信息與一般個人信息隔離保存、采用加密手段、僅限內部特定少數人員進行訪問等,并且在個人信息處理目的實現或有其他法律規定情形發生時,及時刪除該等信息或作匿名化處理。 3.5. 位置信息 位置信息主要通過傳感器、GPS、IP地址、基站、藍牙、WIFI等方式定位,或個人自行選擇地址/填寫位置信息,從圖片、視頻數據中獲取位置信息。位置信息分為粗略位置信息(省份、城市、時區等)和精準位置信息,粗略位置信息屬于一般個人信息,而精準位置信息屬于敏感個人信息。當業務功能的實現僅需要粗略位置信息時,個人信息處理者應僅收集粗略位置信息而不應收集精準位置信息。如基于廣告服務或互聯網借貸的風控服務,個人信息處理者應僅收集粗略位置信息,而不應收集精準位置信息。 個人信息處理者應允許個人在使用服務時選擇“使用應用時允許、單次允許、禁止獲取位置信息”選項。對于地圖服務或調度服務,個人信息處理者可收集精準位置信息,但收集頻率應符合業務功能所需。根據《移動互聯網應用程序(App)收集使用個人信息必要性原則評估規范第2部分:位置信息》,個人信息處理者不應在用戶不知情的情況下收集使用位置信息;相關服務是否可以在后臺調用位置信息應根據實際業務場景需要進行判定(除所提供業務功能確需后臺持續收集位置信息外,不應申請后臺訪問位置信息)。如個人已不使用導航、調度等服務,而使用其他業務功能,個人信息處理者不應再繼續收集位置信息。 3.6. 設備信息 設備信息分為基本設備信息(設備廠商名稱、設備型號等)、不可變設備標識(IMEI、MEID、硬件序列號等)和可變設備標識(IP地址、Android ID等)。2019年8月5日國家市場監督管理總局和中國國家標準化管理委員會發布的《信息安全技術移動互聯網應用(App)收集個人信息基本規范(草案)》曾規定,“App不得收集不可變更的設備唯一標識(如IMEI號、MAC地址等),用于保障網絡安全或運營安全的除外”;《基本要求》附錄C中亦明確“不應收集不可變更的唯一設備識別碼”。可見相較于基本設備信息和可變設備標識來說,不可變設備標識屬于對個人信息權益影響更大的信息類別。 設備信息往往用于統計、推送、用戶畫像、廣告營銷等場景,這些場景可通過收集可變設備標識而實現處理目的,如個人信息處理者收集不可變更的設備唯一標識就違反了“必要性原則”。對于非基本業務功能所需的個人信息,個人信息處理者收集處理前應取得個人的明示同意,清晰準確地告知個人信息主體設備信息處理的范圍、目的和方式,如個人信息處理者告知內容與實際處理行為不完全一致,就可能存在過度收集的情形。
【第三部分】合規建議
合規不是一日之功,違規卻可能是一念之差。個人信息保護合規制度的建設和完善是企業整體合規體系的重要一環,若無法準確、有效地把握個人信息處理“最小必要”的尺度,將有可能陷入違法收集或過度收集的風險之中。特別是,如果是違法、過度收集特定類型個人信息收集量持續增加,可能不僅危害個人信息權益,也危害著社會公共利益與國家安全,所面臨的也不僅僅是民事賠償或行政處罰,甚至有可能涉嫌刑事犯罪。因此,企業在日常開展業務過程中,應牢記個人信息處理“最小必要”這一度量衡,并做好個人信息權益影響評估工作。 此外,近年來,國家不斷加強對網絡安全、數據安全、個人信息的保護力度,先后頒布了《網絡安全法》、《數據安全法》、《個人信息保護法》、《關鍵信息基礎設施安全保護條例》、《網絡安全審查辦法》、《數據出境安全評估辦法》等法律法規,不少個人信息保護與數據合規的相關規定(如:《網絡數據安全管理條例》(征)、《個人信息出境標準合同規定》(征))相信在不久的將來也將靴子落地,企業應密切關注相關立法與監管動態,及時調整企業現有信息個人信息保護制度與最新立法規定之間的間隙,如需要,可借助外部資源的力量,提供必要幫助。 最后,從近期國家網信辦對某互聯網平臺公司處以80.26億罰款的處罰決定答記者問內容中,我們了解到,主管部門將依法加大網絡安全、數據安全、個人信息保護等領域執法力度,各地的網信部門也正相繼開展年度網絡安全專項檢查活動,如遇抽檢,企業應以積極、配合的心態配合主管部門進行了解企業合規工作情況以及不足之處,這也有助于促進企業健康、合規、規范、有序發展。
注釋 [1] 楊合慶主編:《中華人民共和國個人信息保護法釋義》,法律出版社,第25頁。 [2] General Data Protection Regulation (GDPR) of EU, available at https://gdpr.eu,last visited on 23 Jul.2022. [3] The California Consumer Privacy Act (CCPA)of 2018,available at https://www.consumerprivacyact.com/section-1798-140-definitions/, last visited on 23 Jul.2022. [4] The California Privacy Rights Act (CPRA) of 2020,available at https://www.caprivacy.org/annotated-cpra-text-with-ccpa-changes/ , last visited on 23 Jul.2022. [5] 指數據控制者可以對數據執行被認為與收集數據時的初始目的相互兼容的所有操作。 [6] 當個人信息的后續處理與收集時的初始目的或收集時的場景相符,即可被認定為是正當的信息處理活動。 [7] 郭兵、杭州野生動物世界有限公司服務合同糾紛民事二審民事判決書,浙江省杭州市中級人民法院(2020)浙01民終10940號。
