不久前,国家网信办发布了33款App违法违规收集使用个人信息情况的通报。此次被通报的App主要涉及输入法类、地图导航类、即时通信类。从违法情形看,主要是涉事App违反必要原则,收集与其提供的服务无关的个人信息。
必要原则是个人信息保护相关法律法规中的一项重要的基本原则。这是因为,在网络信息科技高度发达的现代社会中,个人信息的收集、存储、加工、使用等处理行为,很容易对自然人的人格尊严、隐私权和人身财产安全造成难以预测的危险和损害。因此,为了防患于未然,法律上要求对个人信息的收集、使用等行为必须遵循必要原则,即对个人信息的处理应当限定在为了实现处理目的所必要的范围内,并且采取对个人权益影响最小的方式进行。
比如,就互联网企业而言,其在收集个人信息时,所收集的个人信息必须是实现其产品或服务基本业务功能所必需的,即如果不收集这些个人信息,那么产品或服务的基本业务功能就无法实现。也就是说,如果不需要收集任何个人信息或者收集少数的一些个人信息,也完全可以实现基本业务功能的,处理者就不能收集或者不能多收集个人信息。否则,处理者的行为就是违法的。
对于哪些个人信息是必要的个人信息,目前国家已有一些规定。例如,2021年3月,国家网信办秘书局、工信部办公厅、公安部办公厅、国家市场监管总局办公厅联合印发的《常见类型移动互联网应用程序必要个人信息范围规定》就明确指出,对于App而言,所谓必要个人信息就是指保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务。同时,该规定针对目前我国App市场上最为常见的39类App的基本功能,以及为实现该基本功能所需的必要的个人信息的范围作出了明确列举。以本次国家网信办通报的违反必要原则收集个人信息的输入法类App为例,其基本功能服务就是“文字、符号等输入”。要实现这一基本功能,完全不需要任何个人信息就可以做到。然而,本次查处的多款输入法App,如讯飞输入法、搜狗输入法、QQ输入法,却完全无视必要原则,过度收集个人信息,这种行为显然是违法的。国家网信部门责令其下架,要求App运营者依法整改,对于防止过度收集个人信息,保护个人信息权益,是非常必要的。
我国个人信息保护的相关立法历来都非常明确地将必要原则作为个人信息处理的一项基本原则,要求企业等组织或个人在收集、使用个人信息时必须予以遵循。2012年颁布的全国人大常委会关于加强网络信息保护的决定明确指出,网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息时,应当遵循合法、正当、必要的原则。2016年颁布的网络安全法再次重申,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则。今年1月1日起施行的民法典亦明确规定,处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理。
当前,我国正在起草个人信息保护法,个人信息保护法(草案二次审议稿)(以下简称《二审稿》)不仅在第一章“一般规定”中明确了必要原则是个人信息处理的基本原则,还结合具体的个人信息处理行为,就必要原则的贯彻落实作出了更细致的规定。首先,《二审稿》明确要求处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,不得进行与处理目的无关的个人信息处理。其次,就个人信息的保存,《二审稿》要求保存期限应当限制在为实现处理目的所必要的最短时间,除非法律行政法规另有规定。再次,《二审稿》要求,个人信息处理者具有特定的目的和充分的必要性,方可处理敏感个人信息,且必须将必要性向个人加以告知。最后,当个人信息对于实现处理目的而言,不再必要时,处理者应当主动删除该个人信息。《二审稿》目前虽然尚未通过,但可以由此看出立法层面试图为用户织就严密个人信息保护网的价值取向。
个人信息保护一直是世界各国高度关注的问题,而要更好地保护个人信息,就必须真正贯彻落实必要原则,对于那些违反必要原则,过度收集个人信息的行为,国家网信部门应当依法进行查处并予以处罚。只有这样才能从源头预防各类违法违规处理个人信息的行为,有效保护用户个人信息权益,促进数字经济健康发展。
本文来源:《法治日报》6月23日第5版 声音