作者: 段思宇
[ App收集个人信息监管加码。3月22日,国家互联网信息办公室等四部门联合印发《常见类型移动互联网应用程序必要个人信息范围规定》,对网络借贷类、投资理财类等39类常见类型App规定了“必要个人信息范围”。 ]
App收集个人信息监管加码。3月22日,国家互联网信息办公室等四部门联合印发《常见类型移动互联网应用程序必要个人信息范围规定》(下称《规定》),自5月1日起施行。
《规定》对网络借贷类、投资理财类等39类常见类型App规定了“必要个人信息范围”,其中关于金融理财的App有四类,涉及的“必要个人信息范围”主要包括注册用户移动电话号码、用户姓名、证件类型和号码、银行卡号码等。除了这些必要信息外,《规定》强调App不得因用户不提供非必要个人信息,就拒绝用户使用其基本功能服务。
接受第一财经记者采访的业内人士认为,《规定》的出台有利于解决以往存在的个人信息泄露、滥用等问题。中伦律师事务所合伙人刘新宇对记者称,《规定》从监管层面划定了信息收集的最小范围,即App只有在用户拒绝提供规定的必要信息的情况下,才能拒绝提供服务,进而对用户信息提供实质性保护。
四类金融理财类App信息收集受限
距离征求意见稿发布三个月有余,《规定》正式下发。根据中国网信网消息,这主要是为了落实《中华人民共和国网络安全法》关于个人信息收集合法、正当、必要的原则,规范移动互联网应用程序(App)个人信息收集行为,保障公民个人信息安全。
从内容上看,《规定》明确了地图导航、网络约车、即时通信、网络购物等39类常见类型移动应用程序必要个人信息范围,要求其运营者不得因用户不同意提供非必要个人信息,而拒绝用户使用App基本功能服务。
其中,在金融理财方面,有四大类App涉及其中,主要包括网络支付类、网络借贷类、投资理财类和手机银行类。
具体来看,对于网络借贷类App,必要个人信息包括:注册用户移动电话号码;借款人姓名、证件类型和号码、证件有效期限、银行卡号码;对于投资理财类App,必要个人信息包括:注册用户移动电话号码;投资理财用户姓名、证件类型和号码、证件有效期限、证件影印件;投资理财用户资金账户、银行卡号码或支付账号等。
针对网络支付类App,必要个人信息包括:注册用户移动电话号码;注册用户姓名、证件类型和号码、证件有效期限、银行卡号码;针对手机银行类App,必要个人信息包括注册用户移动电话号码;用户姓名、证件类型和号码、证件有效期限、证件影印件、银行卡号码、银行预留移动电话号码;转账时需提供收款人姓名、银行卡号码、开户银行信息。
“以往App出现问题,主要就是由于监管未明确其所属服务类型的必要信息而自行划定了信息收集情况,往往这个范围会比较有利于App运营者,且所收集的信息很多都超出了必要范围。”刘新宇说。而对于用户来说,很可能只是需要使用App中的某个基本功能,如此一来,就会出现App过度索权的问题。
用户个人在信息市场上处于相对弱势的地位,通常不清楚自己需要提供哪些个人信息,以及哪些信息会被收集,因此,在业内人士看来,App即使获得了用户的同意和授权,也需要在客观上加以限制,遵循必要性原则,这就意味着划定个人信息收集范围有其必要性。
不过,《规定》的出台也为App主体带来了更多挑战。刘新宇对记者称,App主体首先要明确划分好自己的基本功能服务是什么,同时还要调整现行隐私政策等个人信息授权文本中的表述。再者,部分类型的App可能会影响业务模式,如网络借贷。“《规定》要求的必要范围比行业实践中实际收集的信息范围要小得多,要严格执行这个规定,用户提供几项信息即可,如何在只有这几项信息的情况下进行贷款审批,可能涉及风控策略的调整。”他说道。
App个人信息收集持续严监管
近年来,随着移动互联网快速发展,各类应用程序迅速普及应用,在促进经济社会发展、服务民生等方面发挥了重要作用。但同时,App超范围收集用户个人信息问题十分突出。
不只是金融理财类App,包括地图导航类、网络约车类等App也存在信息过度收集的问题。特别是大量App通过捆绑功能服务一揽子索取个人信息授权,用户拒绝授权就无法使用App基本功能服务,变相强制用户授权,使得个人信息泄露、滥用等情形频频发生。
为治理此类乱象,早在2019年,相关部门就开展过专项治理工作。2019年1月,中央网络安全和信息化委员会办公室、工业和信息化部、公安部、国家市场监督管理总局联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,同时成立App专项治理工作组,在全国范围内组织开展App违法违规收集使用个人信息专项治理,至此,个人信息保护迎来强监管时代。
据悉,当时专项治理工作组建立了专门针对App违法违规收集使用个人信息行为的举报渠道,受理网民投诉举报。根据举报内容,网民反映较多的前五大典型问题分别为:超范围收集与功能无关个人信息、强制或频繁索要无关权限、存在不合理免责条款、无法注销账号、默认捆绑功能并一揽子同意。
对此,相关部门制定了《App违法违规收集使用个人信息行为认定方法》,将App违法违规收集使用个人信息行为概括为“未公开收集使用规则”、“未明示收集使用个人信息的目的、方式和范围”、“未经用户同意收集使用个人信息”、“违反必要原则,收集与其提供的服务无关的个人信息”、“未经用户同意向他人提供个人信息”、“未按法律规定提供删除或更正个人信息功能或未公布投诉、举报方式等信息”六类行为,为统一监管执法尺度提供了参考。
另外,专项治理工作还委托全国信息安全标准化技术委员会组织修订国家标准《个人信息安全规范》,编制国家标准《移动互联网应用程序(APP)收集个人信息基本规范》,明确App收集使用个人信息时应满足的基本要求,以及30类大众化 App基本业务功能可收集的最小必要信息。
如今,在前期要求的基础上,国家互联网信息办公室会同工业和信息化部、公安部、国家市场监督管理总局联合制定实施《规定》,聚焦解决App超范围收集个人信息问题,规范收集个人信息活动。在业内人士看来,这将为个人信息收集提供实质性保护。
不过,也有观点提及,App个人信息保护问题不仅与App自身有关,还涉及移动设备生产商(手机厂商)、App分发平台(应用商店)、第三方(第三方SDK、合作伙伴) 等多方主体,需要多方合力解决。
(董云龙 )