《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)于2021年11月1日起施行。该法明确规定不得过度收集个人信息、大数据杀熟,对人脸信息等敏感个人信息的处理作出规制,完善了个人信息保护投诉、举报工作机制等。在《个人信息保护法》颁布之前,个人信息保护往往由2017年施行的《中华人民共和国网络安全法》(以下简称《网络安全法》)来进行规制。相较于《网络安全法》,《个人信息保护法》对个人信息的保护则更加严格,其第6条更是明确了个人信息收集的“最小必要原则”。因此,有必要对该原则的理解或适用进行探讨,以期对APP运营企业合法合规处理用户个人信息提示风险、提供保障。
一、法条解读
《个人信息保护法》第6条规定了两个“最小原则”,一个是收集个人信息“应当限于实现处理目的的最小范围”,另一个是处理个人信息“应当采取对个人权益影响最小的方式”。前者规范的是个人信息的“采集范围”,后者规范的是个人信息的“处理方式”。
而相较于草案二审稿中以“处理目的”作为规范基准,正式法案则以“过度收集”作为规范基准,这样的判断方式显然更加精准,表述也更精简、易于理解。
《个人信息保护法》第6条规定的“最小原则”,与《中华人民共和国网络安全法》(以下简称《网络安全法》)第41条规定“必要性原则”类似,但“最小”的表述相较于“必要性”,显然更加严格,保护范围也更广,这表明立法者在个人信息收集方面秉持更为严格的监管态度。
笔者认为,全国信息安全标准化技术委员会2020年3月6日发布的《信息安全技术 个人信息安全规范》规定的“最小必要”基本原则更能贴切的表达立法者对个人信息处理的态度,因此,将《个人信息保护法》第6条的规定归纳为“最小必要原则”。
二、相关案例
案例1:
2021年4月22日,最高人民检察院发布检察机关个人信息保护公益诉讼的11个典型案例,其中就涉及违法违规收集用户个人信息的案例。
2020年7月,南昌市人民检察院委托专业检测公司在人民监督员及公证人员的见证下,对本地企业开发经营的“贪玩蓝月”“地宝网”“洪城乐骑行”“江教在线”“魔题库”等6款手机APP进行详细检测,发现上述APP均存在《APP违法违规收集使用个人信息行为认定方法》规定的违法违规收集或使用公民个人信息的情形,包括未明示收集使用个人信息的目的、方式和范围;未经用户同意收集使用个人信息;违反必要原则,收集与提供的服务无关的个人信息;未经同意向他人提供个人信息等。根据《中华人民共和国网络安全法》等法律规定,结合相关部门“三定方案”和权力清单,南昌市人民检察院确定江西省通信管理局、南昌市公安局、南昌市互联网信息办公室未履行个人信息保护监督管理职责,分别向上述行政机构发出诉前检察建议,要求加强对个人信息收集行为的行政监管,并对涉案收集APP运营主体予以行政处罚。
案例2:
2021年6月11日,国家互联网信息办公室发布“关于关于Keep等129款App违法违规收集使用个人信息情况的通报”,要求相关APP运营者限期整改,逾期未整改的将被依法予以处置。
三、实务建议
在《个人信息保护法》相关细则及司法解释尚未颁布的情形下,如何判断个人信息处理是否符合“最小原则”,具有一定的难度。因此,相关企业可以参考相关部门颁布部门规章或部门规则进行自我审查。
(一) 常见类型App的必要个人信息范围
国家互联网信息办公室、 工业和信息化部、公安部、国家市场监督管理总局于2021年3月12日发布了《常见类型移动互联网应用程序必要个人信息范围规定》(2021年5月1日生效),其中第5条规定了“常见类型App的必要个人信息范围”如下:
除了上述具体信息类型外,该规定还对“必要信息”进行了总括性和兜底性的规定,即“是指保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务;具体是指消费侧用户个人信息,不包括服务供给侧用户个人信息。”
(二)违反“最小必要原则”,过度收集个人信息的具体情形
首先,可以参考国家互联网信息办公室、 工业和信息化部、公安部、国家市场监督管理总局联合发布的《APP违法违规收集使用个人信息行为认定方法》的相关规定。
第4条规定了“违反必要规则,收集与其提供的服务无关的个人信息”的6种情形:
相关影片资源迅雷下载推荐
关于移动应用变现,2022年我们最关心的16个问题|独家 ...
《Born To Be Global》是由Morketing Global推出的系列直播栏目,分为「应用出海」和「品牌出海」两个子系列,力求在2021年出海行业迷雾散去后的现在,抓住行业机遇、厘清行业发展方向。文丨 Claire过去半年间,全球 ...
APP运营,关于移动应用变现,2022年我们最关心的16个问题|独家 ...
1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;
2.因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;
3.App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;
4.收集个人信息的频度等超出业务功能实际需要;
5.仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;
6.要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。
其次,国家互联网信息办公室、 工业和信息化部、公安部、国家市场监督管理总局还成立了“App违法违规收集使用个人信息专项治理工作组”联合开展App违法违规收集使用个人信息专项治理工作。该工作组制定了《App违法违规收集使用个人信息自评估指南》(2019年3月3日发布并生效),用于App运营者对其他收集使用个人信息的情况进行自查自纠,该指南第7项规定了“收集个人信息应满足必要性要求”的评估点和评估标准,具体如下。
除了硬性的部门规定之外,全国信息安全标准化技术委员会作为工业和信息化部直属事业单位,还发布了《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》(2020年7月22日发布并生效),就APP运营商收集个人信息是否满足“必要性原则”提供了更细化的标准。该指南主要通过以下四点要素进行评估:
1. 是否收集与业务功能无关的个人信息;
2. 用户是否可拒绝收集非必要信息或打开非必要权限;
3. 是否以非正当方式强迫收集用户个人信息;
4. 收集个人信息的频度是否超出业务功能实际需要。
另外,全国信息安全标准化技术委员会于2020年3月20日发布的《信息安全技术 个人信息安全规范》第5.2条也对“个人信息收集的最小必要性”进行了阐述:
“对个人信息控制者的要求包括:
a) 收集的个人信息的类型应与实现产品或服务的业务功能有直接关联;直接关联是指没有上述个人信息的参与,产品或服务的功能无法实现;
b) 自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率;
c) 间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。”
四、结论
总体而言,APP运营企业对个人信息的收集,应当以“业务范围”为判断“是否过度收集个人信息”的基础与核心,同时还应当是否向用户提供拒绝的权限,最后还应当注意个人信息收集的“频率”是否符合业务需求和用户利益,尤其收集“频率”,往往会成为企业忽视的问题。总之,APP运营企业在制定个人信息收集范围、政策,以及实施用户个人信息收集时,应当时刻谨记“最小必要”原则,做到克制收集、审慎收集、适当收集。
相关影片资源迅雷下载推荐
地推拉新app推广接单平台27个项目合集(五十七期)
通过地推拉新app推广接单平台找项目非常的高效方便,下面给大家介绍下平台和10月份的地推app拉新项目资源。地推拉新app推广接单平台①资源平台介绍1.APP名称:U客直谈2.平台概述:汇聚了拉新行业60w 用户,10w 资源 ...
APP运营,地推拉新app推广接单平台27个项目合集(五十七期)
标签: APP运营 《个人信息保护法》施行下APP运营企业如何正确处理用户 ...
