banner

个人信息收集使用须“最小够用”

  总的来说,认定办法细化了“最小够用”“正当必要”等原则,有利于提高收集和使用个人信息的规范性。但能不能落实到位,还有待观察。毕竟这只是一则部门规章,没有涉及具体的执法层面。而经验告诉我们,如果只有规定没有代价,规定仍然有被架空的可能性。

  此外,为更好地维护用户权益,《办法》提出了“未按法律规定提供删除或更正个人信息功能”的认定条款。这类似于“被遗忘权”,当一个人决定从某个App上退出的时候,他有没有被App“遗忘”的权利呢?答案是有的,在欧盟制定的专门保护个人数据权利的法律中,软件可以选择注销,然后企业删除数据。但在我们这里,“遗忘”是件奢侈的事情,虽然并无技术难度,但很少有软件主动提供。在这一点上,此次认定办法也有一定的前瞻性。

  为何这么说呢?此前,对于网络平台收集用户个人信息的边界,法律不缺乏原则性要求。去年实施的《信息安全技术个人信息安全规范》明确规定,个人信息控制者开展个人信息处理活动时,应遵循最少够用原则;2017年6月正式生效的《网络安全法》也规定:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则。但在实践过程中,什么是“最少够用”,什么是“正当必要”,存在一定模糊性,导致对信息收集者的实际约束力不足。

  这样的例子比比皆是。一些App虽然出具了隐私条款,但是文字过小过密、颜色过淡、模糊不清,让人“一揽子”打包同意,其实就有侵权之嫌;还有一些App,用户不交出个人信息就无法使用,实际上构成了对用户信息的“勒索”;还有,市面上大部分App没有注销选项,消费者想删除个人信息却无从下手;至于被收集的个人信息有多少用作精准营销,有多少被暗中贩卖,更无从得知了。种种情况说明,“最小够用”的原则性要求被架空了。

  日前,网信办、工信部等4部门联合印发了《App违法违规收集使用个人信息行为认定方法》,界定了App违法违规收集使用个人信息行为的六大类方法。这为移动互联网时代的个人信息收集、使用明确划出了红线,是个人信息保护发展历程中的关键一步。

  值得注意的是,《方法》也提出了可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”的情形。比如“收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关”,“因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能”等,这对大众来说相当有共鸣。如今,一个图片软件也收集地理位置,一个视频软件也索取人脸图像,必要性何在?有了这款规定,企业必须出具相应的解释说明,允许用户表达拒绝。

  这就凸显了认定方法的重要性。隐私政策难以访问,可被认定为“未公开收集使用规则”;未逐一列出规则,或者艰涩难懂,可被认定为“未明示收集使用个人信息的目的、方式和范围”;以默认选择征求用户同意等,是“未经用户同意收集使用个人信息”;通过第三方代码、插件等方式向第三方提供个人信息,是“未经同意向他人提供个人信息”……办法列出的几种认定方法,基本涵盖了我们生活中的困惑,直白明了,简单易懂,实操性很强。

  个人信息收集使用须“最小够用”