首 页 资讯 宏观 金融 行业 国企 民企 人物 新资讯

首页>经济>宏观

四部门明确App必要个人信息范围:

个人隐私保护加码

2021年03月26日 09:01  |  作者:孙琳  |  来源:人民政协网
分享到: 

随着移动互联网快速发展,各类应用程序迅速普及应用,在促进经济社会发展、服务民生等方面发挥了重要作用。但同时,App超范围收集用户个人信息问题十分突出。今年全国两会期间,有关数据信息安全以及个人隐私保护话题就一度成为代表委员关注的焦点。

久久不忘,必有回响。

就在全国两会刚结束不久,国家网信办、工信部、公安部、国家市场监管总局四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称“规定”),明确了地图导航、网络约车、即时通信、网络购物等39类常见类型移动应用程序必要个人信息范围,并要求App不得因为用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务。

那么此次规定出台的背景是什么?此时出台有哪些重要意义?下一步该如何落实,人民政协报记者第一时间就上述问题采访了全国政协委员、上海市信息安全行业协会名誉会长谈剑锋。

记者:今年全国两会期间您一直关注数据信息安全话题,特别是对个人隐私保护提出了很多呼吁。您认为在全国两会闭幕不久此项规定出台有何背景和意义?

谈剑锋:App超范围收集用户个人信息这个问题已经存在有一段时间了,用户的投诉和相关诉讼这几年也是日益增多,原先的《网络安全法》、《电信和互联网用户个人信息保护规定》等法规有相关的要求,但是缺乏可衡量和可参考的依据,随着数字化经济的蓬勃发展则需要有更为精准的法律武器给相关方面作为依据。

此次《常见类型移动互联网应用程序必要个人信息范围规定》的出台,可以说是对《中华人民共和国网络安全法》中关于个人信息收集合法、正当、必要的原则,规范移动互联网应用程序(App)个人信息收集行为,保障公民个人信息安全的进一步落实,将为进一步规范互联网应用和平台的业务和行为提供有力支撑,也为互联网用户保护个人隐私提供有力依据。

记者:在《常见类型移动互联网应用程序必要个人信息范围规定》第三条中提到“必要个人信息”,我们该如何理解“必要”这个词?

谈剑锋:“必要”是指保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务。具体可以从四个方面理解:首先初心是否可鉴,App服务提供商的数据处理行为的“必要性”需要基于服务合同目的本身进行判断,而不能本末倒置将数据处理行为作为合同的目的。

第二是客观性,“必要性”必须是客观上的必要:一方面判断这种必要性是假定了一个合理的App服务提供者在其与用户订立合同时,就客观上期待和判断这项服务中必须要进行的数据处理行为。另一方面,App服务提供者需要承担举证责任来证明某一项数据处理行为如果没有进行,合同就会无法履行或者无法订立。

第三是最小化,如果合同目的可以不需要进行该数据处理行为即可以完成,或者是该合同目的可以通过另外一种对App用户影响更小的数据处理行为完成,则该等数据处理行为不具有客观上的“必要性”。

第四是生命周期的视角,一旦合同终止后,因为App服务提供者不再存在任何履约的“必要性”,所以数据处理行为必须停止,除非有法律、法规特殊规定的例外情况。

记者:四部门已经明确App必要个人信息范围,同时也明确了该规定将于2021年5月1日起施行。那么从下一步落实来看,您认为还要注意哪些方面?

谈剑锋:从落地实施来看,可能仍然面临不小的挑战。监管的基本要求是从反向限制,即App不得因为用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务,但并不能阻止App运营者采取规避措施,诱导客户授权。此外,《个人信息安全规范》对基本业务的界定带有一定的主观性、时效性。现有规定将“必要信息”进行固化,是否可以满足不断变化的业务需求,这也是需要考虑的。

因此,我建议,从相关监管部门层面,可以推进相关对应细化措施的出台,在安全隐私的原则基础上,运用监管科技手段,建设相关监管科技基础设施,加强对相关领域进行监控,并结合典型案例的处理开展规定的宣传工作;从行业协会层面,积极组织相关监管单位、第三方服务企业、个人信息处理者等机构开展相关政策研讨、宣传、培训,加强行业自律;配合监管部门进行行业监管平台的建设。从第三方服务企业层面,结合规定要求运用大数据、人工智能、区块链等技术开发相应科技产品以及法律、咨询、取证等服务,提升监管部门能力以及App服务提供者的隐私保护能力以及公民个人信息保护能力。  

编辑:秦云

关键词:个人隐私保护


人民政协报政协号客户端下载 >

相关新闻