前不久,針對當前移動互聯網應用中存在的超范圍收集、強制授權、過度索權等個人信息收集安全問題,全國信息安全標準化技術委員會發布了《網絡安全實踐指南——移動互聯網應用基本業務功能必要信息規范》(以下簡稱《規范》)。
《規范》出臺的背景是什么?有哪些亮點和意義?《法制日報》記者對此采訪了業內相關專家。
明確收集信息原則
增強法律可操作性
《規范》依據《中華人民共和國網絡安全法》中的相關要求以及個人信息最少夠用原則,針對App的基本業務功能,明確界定了保障其正常運行所需收集的個人信息,給出了每類業務功能相關的必要信息范圍,其中包括地圖導航等16個類型。
北京師范大學法學院教授劉德良分析稱,《規范》的出臺是對網絡安全法相關規定和《信息安全技術個人信息安全規范》的細化和具體落實,如網絡安全法中規定的合法、正當、必要的原則如何具體界定?同時,《信息安全技術個人信息安全規范》中也沒有關于個人信息使用的具體標準。
中國政法大學傳播法研究中心副主任朱巍也認為,《規范》出臺的主要目的是為了落實網絡安全法中對合法性、正當性、必要性作基本規范。
在中國傳媒大學政法學院法律系副主任鄭寧看來,近年來,移動互聯網應用中存在超范圍收集、強制授權、過度索權等個人信息收集安全問題,給用戶的個人信息安全造成嚴重威脅和侵害,而網絡安全法的規定又較為原則,需要具體細化。在此背景下,《規范》應運而生。
記者注意到,《規范》中明確了應用可獲取的必要信息。如地圖導航類應用其基本業務功能必要信息僅為位置信息,短視頻類應用只能獲取用戶關注的賬號信息,但自媒體用戶則需要提供姓名、證件和證件號碼等用于實名認證的信息。
對此,劉德良說:“《規范》對16種不同的常見業務類型明確了收集個人信息的原則,增強了可操作性。”
在朱巍看來,《規范》的最大亮點是對抽象事物的具體落實,是一個具體到位的規范。對于常見的各種App,根據功能、用途不同,作了類型化的分類,基本涉及各個領域。此外,還明確了具體的搜集原則,如《規范》提到的權責一致原則,特別是最小夠用原則,之前只是理論上的名詞,現在明確在適用中,這些是《規范》的最大亮點。
鄭寧對此看法相同,她認為給出地圖導航、網絡約車、即時通訊社交、社區社交、網絡支付、新聞資訊、網上購物、短視頻、快遞配送、餐飲外賣、交通票務、婚戀相親、求職招聘、金融借貸、房產交易、汽車交易16類基本業務功能正常運行所需的必要個人信息范圍,是《規范》的主要亮點。
引導發展合規業務
參考查處相關案件
那么,《規范》的出臺具有哪些意義呢?
朱巍說:“有了基本標準之后,在判斷一個App收集使用個人信息是否遵循了合法性、正當性、必要性原則時,就一目了然了。《規范》提到了最小夠用原則和權責一致原則,也明確了哪種類型的App只能收集哪些信息,App不能過分收集。”
朱巍說,《規范》把App收集個人信息的底線問題規定得很清楚,簡單直白,每個人都看得懂,而且以后再出現相關問題,有關部門在查處時會發現《規范》其實就是一個底線。
“但《規范》畢竟是一個標準,不一定具有司法上和執法上的強制性,也許只能作為一個參考。《規范》是App個人信息使用邊界問題以及在個人信息保護法出來之前的一個實踐指南,起到指引作用,這是它的重要性所在。”朱巍說。
鄭寧也認為,《規范》只是給行業提供了一份有益參考,沒有法律上的強制約束力。但《規范》的意義不容忽視,首先,為互聯網常見企業的個人信息合規業務提供了較為明確的指引;其次,為執法機關和司法機關處理相關案件提供了行業標準的參考;最后,有利于保障個人信息安全,維護用戶合法權益,從根本上保障了網絡安全。
