地图导航APP为何要收集用户的电话号码和通讯录信息?健身软件“偷”了你行程信息吗?APP窃取用户个人信息的现象愈发严重,而APP的“使用条款”对用户来讲常常是一纸空文。在用户与APP力量悬殊的情况下,使用者的利益如何被保护?
3月22日,国家互联网信息办公室等四部门联合印发《常见类型移动互联网应用程序必要个人信息范围规定》(下称《规定》),明确移动互联网应用程序(APP)运营者不得因用户不同意收集非必要个人信息而拒绝用户使用APP基本功能服务。《规定》明确了39种常见类型APP的必要个人信息范围,将自今年5月1日起施行。
“这里很重要的一个问题是,什么是APP所必需的信息,符合合法、正当、必要原则吗?企业和个人对此的解释往往是不一样的。从实践中看,很多企业对此作扩充解释,企业认为必要的信息,但用户认为不必要。因为APP的应用场景不同,也很难笼统解释,国家通过具体的分类,为执法提供了具体的细则。”上海段和段律师事务所律师刘春泉告诉第一财经记者。
比如,根据《规定》,地图导航类,基本功能服务为“定位和导航”,必要个人信息为:位置信息、出发地、到达地。
婚恋相亲类,基本功能服务为“婚恋相亲”,必要个人信息包括:注册用户移动电话号码;婚恋相亲人的性别、年龄、婚姻状况。
投资理财类投资理财类APP基本功能服务为“股票、期货、基金、债券等相关投资理财服务”,必要个人信息包括:注册用户移动电话号码;投资理财用户姓名、证件类型和号码、证件有效期限、证件影印件;投资理财用户资金账户、银行卡号码或支付账号。
网络游戏类APP基本功能服务为“提供网络游戏产品和服务”,必要个人信息为:注册用户移动电话号码。
2016年出台的《中华人民共和国网络安全法》规定了“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则”,“网络运营者不得收集与其提供的服务无关的个人信息”。
2020年的国家标准《个人信息安全规范》规定“收集个人信息的最小必要”,规定收集的个人信息的类型应与实现产品或服务的业务功能直接关联,“直接关联是指没有上述个人信息的参与,产品或服务的功能无法实现”。
上海大邦律师事务所高级合伙人张黔林认为,《规定》的主要内容是对“必要”和“直接关联”的范围进行了界定,第三条明确“本规定所称必要个人信息,是指保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务。具体是指消费侧用户个人信息,不包括服务供给侧用户个人信息。”未被列入的则为非必要个人信息,如果收集即可能非法。
上海大邦律师事务所高级合伙人、律师游云庭认为,网络安全法对于APP的数据获取有必要原则和最小限度原则,但具体哪些是必要的,哪些是最小限度的法律上并不明确,这个规定出来以后最小限度的必要界限在哪里就非常明确了。
《规定》出台的背景是近年随着互联网应用程序的不断丰富和发展,人们在获得更加便捷的服务的同时,个人信息被滥用和非法收集的趋势也越来越引起更多的关注。
早在2018年11月,中国消费者协会曾发布《100款App个人信息收集与隐私政策测评报告》,显示多达91款App列出的权限涉嫌“越界”,即存在过度收集用户个人信息问题。其中,“位置信息”“通信录信息”和“手机号码”等三种个人信息是过度收集或使用最常见的内容。
因为个人信息被过度收集,以及泄露,用户常常莫名接到推销电话,甚至遭遇诈骗危险。央视“315”晚会就曾曝光求职者简历信息被泄露的情况,求职者的姓名、性别、年龄、照片、联系方式、工作经历、教育经历等信息一应俱全。
刘春泉认为,实际上,用户使用APP时常常处于弱势地位,面对APP提供的协议,用户只有同意的权利,没有不同意的权利,实际上是一种强制性的同意。
“要遵守合法、正当、必要的原则,合法的一个重要手段是要征得用户的同意。但目前APP使用中的同意制度实际上是无效的,因为除非用户不用APP,否则都得同意APP的规则。”刘春泉说。
中国政法大学知识产权研究中心特约研究员李俊慧认为,特别值得注意的是该《规定》规定了哪些APP不需要个人信息。
根据《规定》,网络直播类、在线影音类、短视频类、新闻资讯类、运动健身类、浏览器类、输入法类、安全管理类、电子图书类、拍摄美化类、应用商店类、实用工具类、女性健康类等13类APP无须个人信息,即可使用基本功能服务。
“这个规定对于解决APP过度收集个人信息将发挥积极作用,其中对很多常见应用领域的APP都明确了在特定使用功能之下无需收集个人信息,比如新闻资讯类、短视频类等。”李俊慧表示。
刘春泉也认为,从实务上看有大量APP将面临整改。
“目前只有很少数APP不收集或者少收集个人信息,建议企业对照规定进行合规,规定的实施期是5月1日,也是监管给这些APP时间来做调整,不然面临的可能就是处罚。”刘春泉说。