解读 该规定事关数十亿人,保护个人信息安全要懂法
2021-12-03 16:46:05 Author: www.freebuf.com(查看原文) 阅读量:14 收藏

一部手机在手,吃喝玩乐全都有。各类APP的应用服务堪比神仙做法,要啥有啥。但你有没有注意到,App超范围收集我们个人信息的现象好像越来越严重。特别是通过捆绑功能服务一揽子索取个人信息授权,吃个饭拍个照要授权获取你的联系方式、访问你的相册、关联你的支付宝,用户如果拒绝授权就无法使用,这是变相强制用户授权。

所以,为了聚焦解决App超范围收集个人信息问题,近日,国家四部门(国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局)联合发布《常见类型移动互联网应用程序必要个人信息范围规定》,这部法律就关于个人信息收集合法、正当、必要的原则,规范移动互联网应用程序(App)个人信息收集行为,保障我们公民的个人信息安全。

《规定》明确了地图导航、网络约车、即时通信、网络购物等39类常见类型APP必要个人信息的范围,要求APP运营者不得因用户不同意提供非必要个人信息,而拒绝用户使用App基本功能服务。该规定于今年5月1日开始施行。这也就是说,用户在使用各类APP应用程序时,遇到了强制收集不必要提供的个人信息时,可以随时向有关部门进行举报。

那么,什么样的APP对应应该收集哪些个人信息才能够使用功能服务呢?哪一些是不需要提供个人信息就能够使用的?小编已为大家整理好。把它收藏起来,遇到不确定是否被强制要求时就拿出来对照一下,当一个知法懂法的现代公民。

l 需提供个人信息的APP类型

1638773019_61adb11b4c3a0bc9bdff7.png!small?1638773019856

1638773034_61adb12a4aff1cce21bd6.png!small?1638773034714

l 无需提供个人信息的APP类型

1638773044_61adb134f0f90f03a92a0.png!small?1638773045295

答疑专区

问题一:《规定》所提到的“超范围收集个人信息”的“超范围”指哪些?

浙江大学教授王春晖 答:关于超范围收集个人信息有三类主要情形,分别是: APP收集无关信息、APP强制收集非必要信息、APP不合理频率收集个人信息。

l APP收集无关信息

APP实际收集的个人信息类型与现有业务功能无关,这里的“无关”,是指该类信息并非实现现有业务功能所必需。

l APP强制收集非必要信息

依据该《规定》,首先,网络运营者收集的个人信息必须严格限制在“必要个人信息”范围之内,不得超越;其次,网络运营者不得违反法律、行政法规的规定和双方的约定收集和使用个人信息;再次,在符合以上强制性规定的前提下,App收集个人信息之后,必须依法和依约,处理其保存的个人信息,确保个人信息的安全。

l APP不合理频率收集个人信息

许多App在用户使用业务功能时,收集个人信息的频率严重超出其业务功能的实际需要,以“网络预约出租汽车服务、巡游出租汽车电召服务”为例,其基本功能服务需要的必要个人信息有三类:一是注册用户移动电话号码;二是乘车人出发地、到达地、位置信息、行踪轨迹;三是支付时间、支付金额、支付渠道等支付信息等。如果每1秒上传一次用户的精确定位信息,就属于收集频率不合规。

还有相当数量的App,用户每次使用时,对于可选提供的系统权限,在用户已经拒绝之后,每当其重新打开App或进入相应界面时,仍然会不断地向用户索要或以弹窗等形式提示用户缺少相关权限,严重干扰了用户正常使用。

问题二:非基本功能的服务就可以随意收集用户个人信息吗?

中伦刘新宇律师:《规定》明确了“不得因用户不同意收集非必要个人信息,而拒绝用户使用App基本功能服务”,并界定了常见类型App的基本功能服务和必要个人信息范围,意味着常见类型App的基本功能服务收集的必要信息范围之外的信息以及非基本功能服务收集的个人信息均为非必要个人信息,在现行有效的以同意为主要合法性基础的法律框架下,要想收集使用该等个人信息均需要获得用户的同意,而且还需要受制于必要性原则的约束。

对于非基本功能服务,根据前述《网络安全法》第四十一条的规定,其首先不得收集与服务无关的个人信息;其次,参照前述《规定》第四条,可以尝试划分非基本功能服务的必要信息,如果用户不同意提供某项非基本功能服务的必要信息,App运营者可以拒绝提供该项非基本功能服务,但不能影响用户使用基本功能服务和其他非基本功能服务。

对此,可能会有人有疑问,如何划分非基本功能服务的必要信息?《规定》未作出相应规定,但我们理解,《规定》对基本功能服务必要信息的划分可予以参照。比如,某App其基本功能服务为网络支付,其非基本功能服务还包括网络借贷、投资理财,该App需要依据《规定》第五条第五项对必要信息的规定来界定其必要信息范围,而其网络借贷、投资理财两项功能服务可以分别参照《规定》第五条第十二项、第二十三项划定必要信息范围。

问题三: 《规定》列明的常见类型之外的App可以随意收集用户个人信息

中伦刘新宇律师:有人会认为,《规定》仅在第五条列明了三十九种常见类型App的基本功能服务和必要个人信息范围,这三十九种之外的App没有具体的细化限制,可以随意收集用户个人信息。这样的想法是不可取的,首先,《网络安全法》等相关法律法规对收集个人信息必要性的规定是通用的,不限于这三十九种App;其次,App的类型较多,全部划分其基本功能服务和必要个人信息范围比较困难,而且可能还会不断有新类型的App出现,因此《规定》划定三十九种常见的App,一方面将常见类型App进行了明确的规制;另一方面,对于三十九种之外的App,这三十九种App的规定具有很好的参照意义,宜参照相近类型App的相应规定,审视现有业务收集的个人信息是否属于必要个人信息以及拒绝提供该等个人信息的影响是否经得住必要性原则的考验。

问题四:如果遇到违反本规定的行为,如何进行举报?

答:依据规定第六条,任何组织和个人发现违反本规定行为的,可以向各地方网信部、公安部等部门举报。相关部门收到举报后,应当依法予以处理。

《网络安全法》第六十四条,对网络运营者、网络产品或者服务的提供者违反第四十一条的规定明确了以下法律责任:侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。


文章来源: https://www.freebuf.com/news/307100.html
如有侵权请联系:admin#unsafe.sh