5月21日,國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布通報(bào)稱,近期,針對(duì)人民群眾反映強(qiáng)烈的App非法獲取、超范圍收集、過(guò)度索權(quán)等侵害個(gè)人信息現(xiàn)象,國(guó)家網(wǎng)信辦依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》等法律和有關(guān)規(guī)定,集中對(duì)短視頻、瀏覽器、求職招聘等公眾大量使用部分App的個(gè)人信息收集使用情況進(jìn)行了檢測(cè),共發(fā)現(xiàn)105款A(yù)pp不同程度存在違法違規(guī)收集使用個(gè)人信息情況。
針對(duì)檢測(cè)發(fā)現(xiàn)的問(wèn)題,國(guó)家網(wǎng)信辦要求相關(guān)App運(yùn)營(yíng)者盡快整改。筆者認(rèn)為,若要杜絕此類事件再次發(fā)生,真正保護(hù)好網(wǎng)絡(luò)用戶的個(gè)人信息安全,應(yīng)該嚴(yán)格遵守“必要原則”。什么是“必要原則”?中國(guó)人民大學(xué)教授王利明在《論個(gè)人信息權(quán)在人格權(quán)法中的地位》一文中解釋說(shuō),“必要原則”是指網(wǎng)絡(luò)平臺(tái)經(jīng)營(yíng)者或服務(wù)商可以使用也可以不使用個(gè)人信息時(shí),應(yīng)盡量不使用;在必須使用并征得權(quán)利人許可時(shí),要盡量少使用;獲取的信息量,以滿足使用目的為必要;為達(dá)到目的只需要使用權(quán)利人的非私密個(gè)人信息的,就不應(yīng)該擴(kuò)大信息收集和使用的范圍。
我國(guó)有關(guān)立法均吸納了這一原則,比如《中華人民共和國(guó)民法典》第一千零三十五條規(guī)定,“處理個(gè)人信息的,應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則,不得過(guò)度處理”。《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第四十一條第二款明確規(guī)定:“網(wǎng)絡(luò)運(yùn)營(yíng)者不得收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人信息。”《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》第九條第三款明確規(guī)定:“電信業(yè)務(wù)經(jīng)營(yíng)者、互聯(lián)網(wǎng)信息服務(wù)提供者不得收集其提供服務(wù)所必需以外的用戶個(gè)人信息或者將信息用于提供服務(wù)之外的目的。”筆者認(rèn)為,為實(shí)現(xiàn)上述立法目的,具體適用“必要原則”時(shí),還應(yīng)做好以下三方面工作:
首先,收集的信息對(duì)實(shí)現(xiàn)正常服務(wù)而言是“充分”的。我們不能因噎廢食,盡管個(gè)人信息存在被違法收集使用的風(fēng)險(xiǎn),但不能就此禁止一切收集個(gè)人信息的活動(dòng),這也并非“必要原則”應(yīng)有之義。現(xiàn)在社會(huì)已經(jīng)高度智能化,網(wǎng)絡(luò)平臺(tái)經(jīng)營(yíng)者或服務(wù)商借助必要的信息可以為用戶提供優(yōu)質(zhì)的個(gè)性化服務(wù),方便大家日常生活。因此,法律應(yīng)當(dāng)允許網(wǎng)絡(luò)平臺(tái)經(jīng)營(yíng)者或服務(wù)商為保障某一類型服務(wù)正常運(yùn)行收集相關(guān)的個(gè)人信息。這是因?yàn)橐坏┤鄙俦匾沫h(huán)節(jié)可能導(dǎo)致相應(yīng)類型服務(wù)無(wú)法實(shí)現(xiàn)或正常運(yùn)行,從而給用戶生活帶來(lái)不便。比如在使用外賣(mài)App過(guò)程中,若用戶不提供自己的實(shí)時(shí)位置信息,商家便不能準(zhǔn)確地將商品送到客戶手中;再如打車(chē)App,若不能準(zhǔn)確定位用戶的位置,網(wǎng)約車(chē)便不能及時(shí)搭載乘客。
其次,收集個(gè)人信息的范圍限于與提供這項(xiàng)產(chǎn)品和服務(wù)密切關(guān)聯(lián)。基于個(gè)性化的差異,每個(gè)人所具有的特征信息是不一樣的。對(duì)商家而言,盡管占有目標(biāo)客戶的信息越準(zhǔn)確、豐富,就可以更具有針對(duì)性地推銷(xiāo)自己的產(chǎn)品,但在收集過(guò)程中,必須掌握一個(gè)“度”,即收集的個(gè)人信息只能是用于與提供這項(xiàng)產(chǎn)品和服務(wù)密切關(guān)聯(lián)的,與此無(wú)關(guān)的信息不應(yīng)納入收集范疇,否則就違反了“必要原則”中的相關(guān)性。例如微軟必應(yīng)App不應(yīng)收集個(gè)人的位置信息和聲音信息,這兩類信息都與其提供的服務(wù)無(wú)直接聯(lián)系。
最后,應(yīng)確保收集的個(gè)人信息是“適當(dāng)”的。毫無(wú)疑問(wèn),網(wǎng)絡(luò)平臺(tái)經(jīng)營(yíng)者或服務(wù)商對(duì)個(gè)人信息的收集與其需要實(shí)現(xiàn)的目的之間應(yīng)保持一種“適當(dāng)”關(guān)系,即信息對(duì)于目的的實(shí)現(xiàn)是必要且不可替代的,若超出這一范疇,即使與服務(wù)密切關(guān)聯(lián),也應(yīng)在法律上認(rèn)定其為違法收集。同時(shí),收集者不能無(wú)限制地去設(shè)定自己的商業(yè)目的,也應(yīng)遵守相應(yīng)法律規(guī)定。比如《信息安全技術(shù)移動(dòng)互聯(lián)網(wǎng)應(yīng)用(App)收集個(gè)人信息基本規(guī)范》明確列舉了21款常見(jiàn)App的服務(wù)類型以及服務(wù)類型對(duì)應(yīng)的最少使用信息,且當(dāng)用戶同意App收集某服務(wù)類型的最少信息時(shí),App不得因用戶拒絕提供最少信息之外的個(gè)人信息而拒絕提供該類型服務(wù)。
(作者單位:西南政法大學(xué)公法研究中心)