2020年12月21日,深圳市公安局对于深圳某公司旗下一款APP“某某学堂”隐私政策中未逐一列出第三方收集个人信息的目的、方式、范围的违规行为予以行政处罚。而从既往案例来看这样的处罚决定还有很多,比如,2020年8月11日,温州市公安局对于温州某公司网络运营者、网络产品或者服务提供者不履行个人信息保护义务的行为予以行政处罚;2020年6月5日,上海市通信管理局对于上海某公司所运营管理的移动互联网App应用违法违规收集使用个人信息;App应用未公开个人信息的收集使用规则,未明示收集使用个人信息的目的、方式和范围,未经用户同意收集使用个人信息的行为予以行政处罚。诸如此类的行政处罚决定不胜枚举。从前述的处罚决定书不难看出,相关部门对于个人信息保护力度的加大,而从依法治国的十六字方针以及最新的立法动向都可以预见个人信息保护方面的立法会日趋完善。
2016年6月1日生效的《网络安全法》以及2021年1月1日生效的《民法典》都对个人信息予以了明确的、指导性的立法规定。
2021年3月12日,国家互联网信息办公室等四部委联合发布了《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称“《规定》”),该规定于2021年5月1日正式生效。该《规定》明确了何为必要个人信息,并梳理了39类互联网应用程序(APP)必要个人信息范围。对于这一最新的针对个人信息保护的立法,无论是作为APP的运营商或是普通客户的我们都息息相关。
Part
1
必要的个人信息范围
对于《规定》中39类的互联网应用程序(APP)必要个人信息范围,我们从APP类型、基本功能、信息范围、相关APP等几方面以表格形式明晰并做以下解读:
在《规定》所列的39类APP中大致可以分为两大类,一类是需要APP用户提供特定必要个人信息方可实现相应基本功能的APP,另一类是无需APP用户提供任何个人信息即可实现相应基本功能的APP。
| 常见类型移动互联网应用程序必要个人信息范围 | |||
| 需要提供特定必要个人信息的APP | |||
| APP类型 | 基本功能 | 必要个人信息范围 | 相关APP示例 |
| 地图导航 | 定位和导航 | 位置信息、出发地、到达地 | 百度地图 |
| 网络约车 | 网络预约出租汽车服务、巡游出租汽车电召服务 | 移动电话号码;乘车人出发地、到达地、位置信息、行踪轨迹;支付时间、支付金额、支付渠道等支付信息 | 滴滴出行 |
| 即时通信 | 提供文字、图片、语音、视频等网络即时通信服务 | 移动电话号码;账号信息:账号、即时通信联系人账号列表 | 微信 |
| 网络社区 | 博客、论坛、社区等话题讨论、信息分享和关注互动 | 移动电话号码 | 微博 |
| 网络支付 | 网络支付、提现、转账等功能 | 移动电话号码;姓名、证件类型和号码、证件有效期限、银行卡号码 | 支付宝 |
| 网上购物 | 购买商品 | 移动电话号码;收货人姓名(名称)、地址、联系电话;支付时间、支付金额、支付渠道等支付信息 | 淘宝 |
| 餐饮外卖 | 餐饮购买及外送 | 移动电话号码;.收货人姓名(名称)、地址、联系电话;支付时间、支付金额、支付渠道等支付信息 | 美团 |
| 邮件快件寄递 | 信件、包裹、印刷品等物品寄递服务 | 寄件人姓名、证件类型和号码等身份信息;寄件人地址、联系电话;收件人姓名(名称)、地址、联系电话;寄递物品的名称、性质、数量 | 菜鸟裹裹 |
| 交通票务 | 交通相关的票务服务及行程管理 | 移动电话号码;旅客姓名、证件类型和号码、旅客类型。旅客类型通常包括儿童、成人、学生等;旅客出发地、目的地、出发时间、车次/船次/航班号、席别/舱位等级、座位号(如有)、车牌号及车牌颜色(ETC服务);支付时间、支付金额、支付渠道等支付信息 | 铁路12306 |
| 婚恋相亲 | 婚恋相亲 | 移动电话号码;婚恋相亲人的性别、年龄、婚姻状况 | 珍爱网 |
| 求职招聘 | 求职招聘信息交换 | 移动电话号码;求职者提供的简历 | 前程无忧 |
| 网络借贷 | 通过互联网平台实现的用于消费、日常生产经营周转等的个人申贷服务 | 移动电话号码;借款人姓名、证件类型和号码、证件有效期限、银行卡号码 | 苏宁金融 |
| 房屋租售 | 个人房源信息发布、房屋出租或买卖 | 移动电话号码;房源基本信息:房屋地址、面积/户型、期望售价或租金 | 安居客 |
| 二手车交易 | 二手车买卖信息交换 | 移动电话号码;购买方姓名、证件类型和号码;出售方姓名、证件类型和号码、车辆行驶证号、车辆识别号码 | 瓜子二手车 |
| 问诊挂号 | 在线咨询问诊、预约挂号 | 移动电话号码;挂号时需提供患者姓名、证件类型和号码、预约挂号的医院和科室;问诊时需提供病情描述 | 健康之路 |
| 旅游服务 | 旅游服务产品信息的发布与订购 | 移动电话号码;出行人旅游目的地、旅游时间;出行人姓名、证件类型和号码、联系方式 | 携程旅行 |
| 酒店服务 | 酒店预订 | 移动电话号码;住宿人姓名和联系方式、入住和退房时间、入住酒店名称 | 爱彼迎 |
| 网络游戏 | 提供网络游戏产品和服务 | 移动电话号码 | 王者荣耀 |
| 学习教育 | 在线辅导、网络课堂等 | 移动电话号码 | 作业帮 |
| 本地生活 | 家政维修、家居装修、二手闲置物品交易等日常生活服务 | 移动电话号码 | 19楼 |
| 用车服务 | 共享单车、共享汽车、租赁汽车等服务 | 移动电话号码;使用共享汽车、租赁汽车服务用户的证件类型和号码,驾驶证件信息;支付时间、支付金额、支付渠道等支付信息;使用共享单车、分时租赁汽车服务用户的位置信息 | 哈啰出行 |
| 投资理财 | 股票、期货、基金、债券等相关投资理财服务 | 移动电话号码;投资理财用户姓名、证件类型和号码、证件有效期限、证件影印件;投资理财用户资金账户、银行卡号码或支付账号 | 同花顺 |
| 手机银行 | 通过手机等移动智能终端设备进行银行账户管理、信息查询、转账汇款等服务 | 移动电话号码;用户姓名、证件类型和号码、证件有效期限、证件影印件、银行卡号码、银行预留移动电话号码;转账时需提供收款人姓名、银行卡号码、开户银行信息 | 中国工商银行 |
| 邮箱云盘 | 邮箱、云盘等 | 移动电话号码 | QQ邮箱 |
| 远程会议 | 通过网络提供音频或视频会议 | 移动电话号码 | 腾讯会议 |
| 演出票务 | 演出购票 | 移动电话号码;观演场次、座位号(如有);支付时间、支付金额、支付渠道等支付信息 | 大麦 |
| 无须用户提供任何个人信息,即可使用基本功能服务的APP | |||
| APP类型 | 基本功能 | 相关APP示例 | |
| 网络直播 | 向公众持续提供实时视频、音频、图文等形式信息浏览服务 | 腾讯NOW直播 | |
| 在线影音 | 影视、音乐搜索和播放 | 腾讯视频 | |
| 短视频 | 不超过一定时长的视频搜索、播放 | 抖音 | |
| 新闻资讯 | 新闻资讯的浏览、搜索 | 腾讯新闻 | |
| 运动健身 | 运动健身训练 | Keep | |
| 浏览器 | 浏览互联网信息资源 | UC浏览器 | |
| 输入法 | 文字、符号等输入 | 搜狗输入法 | |
| 安全管理 | 查杀病毒、清理恶意插件、修复漏洞等 | 腾讯手机管家 | |
| 电子图书 | 电子图书搜索、阅读 | 百度阅读 | |
| 拍摄美化 | 拍摄、美颜、滤镜等 | 美图秀秀 | |
| 应用商店 | App搜索、下载 | App Store | |
| 实用工具 | 日历、天气、词典翻译、计算器、遥控器、手电筒、指南针、时钟闹钟、文件传输、文件管理、壁纸铃声、截图录屏、录音、文档处理、智能家居助手、星座性格测试等 | 网易有道词典 | |
| 女性健康 | 女性经期管理、备孕育儿、美容美体等健康管理服务 | 女性日记flo | |
对于前述《规定》,APP运营方需要知悉的是,基于必要的原则,仅在明示的范围内收集必要的个人信息,是一条红线。然而,何为“必要”,在实践中必然因为具体情况,具体需求的不同而有不同的界定,更会因为立场的差别,尤其是收集方和提供方冲突的立场,而存在不同的解读。
必要个人信息范围规定的意图就是尽可能在问题最突出的互联网领域,尤其是移动互联网领域,为常见场景划定收集个人信息的边界,压缩信息收集者自由解释的空间,规范个人信息收集行为,强化执法力度,减少争议空间。
当然,必要个人信息范围规定不可能穷尽所有状况,必然有大量场景超出列举的39种场景,而且APP亦不会是唯一的大量收集个人信息的工具。因此,对必要个人信息范围规定所确立的尺度、标准,所体现的主管部门的观点,也将是在其他场景、其他空间或平台,执法机关执法尺度的参考。
Part
2
律师解读
【关于非基本功能】
如以上分析,每一类APP的基本功能已经明确,此范围外的功能即为非基本功能。当前很多APP都呈现综合化趋势,以便增加用户粘性和商业价值。那么,具有多个功能的APP如何划定类别?目前此必要个人信息范围规定中尚无明确的规定,有待进一步解释或其他法规的补充。
仅立足于当前的规定,一款APP需要定义一个主要的类别,以便界定其“基本功能”,其他的多个功能将均属于非基本功能。进而,每一种“非基本功能”本身,又可以参考此必要个人信息范围规定,对每一种“非基本功能”的基本功能进行界定,进而确定对应的可收集的必要个人信息范围。
根据以上理解,假设,一个主营业务为演出票务类的网络运营商,需要开发一款新的APP,而除了本身的演出购票功能外又需要包含二手闲置物品交易、旅游服务等功能。那么,消费者用户必须同意的授权仅限于(1)注册用户移动电话号码;(2)观演场次、座位号(如有);(3)支付时间、支付金额、支付渠道等支付信息。该APP必须为消费者用户开通演出购票功能。其他功能所需的个人信息需要作区分,消费者可以拒绝提供。在此情况下,APP的运营商仅能关闭旅游服务功能,仍不得拒绝提供二手闲置物品交易功能,因为该功能所需的必要个人信息仅为注册用户移动电话号码,已包含在演出票务类APP的必要个人信息范围内。
【关于非必要个人信息】
根据《网络安全法》和必要个人信息范围规定,“非必要个人信息”与“必要个人信息”一样,是一种相对概念,其外延是动态的。在一种情况下的非必要个人信息,在另一种情况下可能变为必要个人信息,其依据将是服务的基本功能。
按此原则,一款APP可以要求消费者用户许可的最大的可收集个人信息范围将对应APP所有功能所对应的必要个人信息之和,在此之外的个人信息,将因为不符合网安法第四十一条的规定而不得收集。(“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则……网络运营者不得收集与其提供的服务无关的个人信息……”)
【关于此前已经收集的超出“必要范围”的个人信息】
在必要个人信息范围规定生效前已经收集的,超出了必要个人信息范围规定所确定的范围的信息,应如何处理?目前尚无清晰的规定。
从一种角度看,当时若已经获得用户的授权,用户收集者已经合法收集了此类信息,未来不可继续收集,则不再收集即可。已收集的信息应可以根据当时的授权继续使用。
然而,从另一种更谨慎的视角来看,超出必要个人信息范围规定的个人信息事实上属于不得收集的信息,与消费者授权与否无关。按法不溯及既往的原则,即便不追究过去的收集行为(对必要的范围有争议,理解不一致等等),但是,必要个人信息范围规定生效后,由于该等信息的性质已经发生了变化,继续使用和传输有可能在未来引起法律风险。因此,这一问题需要继续加以研究和关注。
本文仅作为交流学习之目的使用,文中观点不代表本所立场,亦非作者的正式法律意见。本文系邦信阳中建中汇律师原创文章,转载请完整注明作者信息及出处。