?
主頁 > 行業動態 > 熱點聚焦 >

熱點聚焦

App收集個人信息應該遵守三大原則

2019年09月09日

App收集個人信息應該遵守三大原則

 (網經社訊)我們可能都遇到過以下情況:用手機號碼注冊使用了一個App,接著就收到數不清的垃圾短信以及廣告電話;通過一個App購物,能夠看到另一個App上推薦類似的商品;沒必要收集位置信息的App,也在收集位置信息;有的網絡貸款App收集到聯系方式后,一旦有用戶未及時還款,網貸公司就打電話給該用戶的朋友,說其是一個欠債不還、不誠信的人。在這些案例中,我們能夠感受到自己在信息社會中“裸奔”。

出現上述問題的首要責任在于App,治理首先應從信息收集的源頭上解決。2019年8月8日,國家市場監督管理總局和中國國家標準化管理委員會聯合發布的《移動互聯網應用(App)收集個人信息基本規范(草案)》征求意見稿,其亮點之一是在附錄中列舉出21種常用App收集的最少信息,比如地圖導航、網約車、即時通信、博客論壇等。通讀這部國家標準,可以總結出App收集個人信息應該遵守的三大原則。

最少信息”“最小權限范圍”,體現比例原則

比例原則是行政法的基本原則,即選擇既能夠達成目的、對相對方侵害又最小的手段,但適用范圍已經溢出行政法領域。《移動互聯網應用(App)收集個人信息基本規范(草案)》提出“最少信息”“最小權限范圍”這兩個概念,前者即“保障某一服務類型正常運行所必需的個人信息”,后者即“保障某一服務類型正常運行所必需的最少系統權限”。這既滿足了App收集個人信息的必要性和合乎目的性,又要求必須盡可能少地收集信息,正是貫徹比例原則的體現。

App不能因用戶拒絕提供最少信息之外的個人信息而拒絕提供服務,不得收集與所提供服務無關的個人信息,防止其使用的第三方代碼、插件收集無關的個人信息,因為收集最少信息之外的個人信息以及與提供服務無關的個人信息,不具備必要性和合乎目的性。不可變更的設備唯一識別(如IMEI號、MAC地址)相當于手機的“身份證”,至關重要,是不可收集的。

授權才能收集”,保護用戶的知情權、同意權

其實,之所以要提出“最少信息”這個概念,是因為App收集的信息越多,用戶可能享受的服務類型就越多,但與此同時,信息也越不安全。有的人以為這種信息無關緊要,可以被收集,有的人卻認為這種信息是必須保密的。那么,在“最少信息”的底線上,可向用戶指出App要收集的個人信息數量,由用戶自己決定是否允許App收集更多的個人信息。

《移動互聯網應用(App)收集個人信息基本規范(草案)》從個人信息收集以及處置兩方面,保護了用戶的知情權、同意權。在收集方面,App要明示申請權限或收集信息的目的,收集的個人信息超出“最少信息”的部分,App要逐項征得用戶明示同意。第三方代碼、插件也要遵守這方面的規定。在處置方面,對外共享、轉入個人信息前,App要事先征得用戶明示同意;同意后,用戶可以通過獨立界面查詢數據接收方身份。

退出App后刪除個人信息或匿名化”,保護用戶的被遺忘權

被遺忘的前提是曾經存在過。一般來說,如果用戶未曾使用過某App,也就未曾在該App上留下過痕跡,那么也就談不上“被遺忘”了。“被遺忘權”賦予用戶在網絡工具中刪除自己的名字或相關歷史事件的權利。《移動互聯網應用(App)收集個人信息基本規范(草案)》有一款規定:“當用戶退出某服務類型后,App應終止該服務類型收集個人信息的活動,并對僅用于該服務的個人信息進行刪除或匿名化處理。”這也體現了“被遺忘權”的理念。

在我看來,這一款與比例原則也有關系。當用戶不再使用某款App,該App再保留其個人信息,也就沒有必要性以及合乎目的性,從保護個人信息安全的角度來看,App應當刪除個人信息,或進行匿名化處理。

《移動互聯網應用(App)收集個人信息基本規范(草案)》是自2019年1月23日國家網信辦、工信部、公安部以及國家市場監督管理總局聯合發布《關于開展App違法違規收集使用個人信息專項治理的公告》以來,從“如何做”的方面規定了App如何收集個人信息的國家標準。它雖然只是國家推薦性標準,并非強制性標準,但不僅可以作為App收集個人信息的企業合規經營的指南,還可以作為政府監管部門評估、檢查App的執法指南。

 

? 黄色动态图