不久前,國家網信辦發布了33款App違法違規收集使用個人信息情況的通報。此次被通報的App主要涉及輸入法類、地圖導航類、即時通信類。從違法情形看,主要是涉事App違反必要原則,收集與其提供的服務無關的個人信息。
必要原則是個人信息保護相關法律法規中的一項重要的基本原則。這是因為,在網絡信息科技高度發達的現代社會中,個人信息的收集、存儲、加工、使用等處理行為,很容易對自然人的人格尊嚴、隐私權和人身财産安全造成難以預測的危險和損害。因此,為了防患于未然,法律上要求對個人信息的收集、使用等行為必須遵循必要原則,即對個人信息的處理應當限定在為了實現處理目的所必要的範圍内,并且采取對個人權益影響最小的方式進行。
比如,就互聯網企業而言,其在收集個人信息時,所收集的個人信息必須是實現其産品或服務基本業務功能所必需的,即如果不收集這些個人信息,那麼産品或服務的基本業務功能就無法實現。也就是說,如果不需要收集任何個人信息或者收集少數的一些個人信息,也完全可以實現基本業務功能的,處理者就不能收集或者不能多收集個人信息。否則,處理者的行為就是違法的。
對于哪些個人信息是必要的個人信息,目前國家已有一些規定。例如,2021年3月,國家網信辦秘書局、工信部辦公廳、公安部辦公廳、國家市場監管總局辦公廳聯合印發的《常見類型移動互聯網應用程序必要個人信息範圍規定》就明确指出,對于App而言,所謂必要個人信息就是指保障App基本功能服務正常運行所必需的個人信息,缺少該信息App即無法實現基本功能服務。同時,該規定針對目前我國App市場上最為常見的39類App的基本功能,以及為實現該基本功能所需的必要的個人信息的範圍作出了明确列舉。以本次國家網信辦通報的違反必要原則收集個人信息的輸入法類App為例,其基本功能服務就是“文字、符号等輸入”。要實現這一基本功能,完全不需要任何個人信息就可以做到。然而,本次查處的多款輸入法App,如訊飛輸入法、搜狗輸入法、QQ輸入法,卻完全無視必要原則,過度收集個人信息,這種行為顯然是違法的。國家網信部門責令其下架,要求App運營者依法整改,對于防止過度收集個人信息,保護個人信息權益,是非常必要的。
我國個人信息保護的相關立法曆來都非常明确地将必要原則作為個人信息處理的一項基本原則,要求企業等組織或個人在收集、使用個人信息時必須予以遵循。2012年頒布的全國人大常委會關于加強網絡信息保護的決定明确指出,網絡服務提供者和其他企業事業單位在業務活動中收集、使用公民個人電子信息時,應當遵循合法、正當、必要的原則。2016年頒布的網絡安全法再次重申,網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則。今年1月1日起施行的民法典亦明确規定,處理個人信息的,應當遵循合法、正當、必要原則,不得過度處理。
當前,我國正在起草個人信息保護法,個人信息保護法(草案二次審議稿)(以下簡稱《二審稿》)不僅在第一章“一般規定”中明确了必要原則是個人信息處理的基本原則,還結合具體的個人信息處理行為,就必要原則的貫徹落實作出了更細緻的規定。首先,《二審稿》明确要求處理個人信息應當具有明确、合理的目的,并應當限于實現處理目的所必要的最小範圍、采取對個人權益影響最小的方式,不得進行與處理目的無關的個人信息處理。其次,就個人信息的保存,《二審稿》要求保存期限應當限制在為實現處理目的所必要的最短時間,除非法律行政法規另有規定。再次,《二審稿》要求,個人信息處理者具有特定的目的和充分的必要性,方可處理敏感個人信息,且必須将必要性向個人加以告知。最後,當個人信息對于實現處理目的而言,不再必要時,處理者應當主動删除該個人信息。《二審稿》目前雖然尚未通過,但可以由此看出立法層面試圖為用戶織就嚴密個人信息保護網的價值取向。
個人信息保護一直是世界各國高度關注的問題,而要更好地保護個人信息,就必須真正貫徹落實必要原則,對于那些違反必要原則,過度收集個人信息的行為,國家網信部門應當依法進行查處并予以處罰。隻有這樣才能從源頭預防各類違法違規處理個人信息的行為,有效保護用戶個人信息權益,促進數字經濟健康發展。
本文來源:《法治日報》6月23日第5版 聲音
