近年来,手机App过度收集用户个人信息、侵犯用户隐私的问题引起越来越多关注。(人民视觉/图)
日前,国家网信办等部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》,针对常见App类型详细规定了其必要个人信息范围,2021年5月1日起生效。
这一规定根据提供的服务功能把常见的App分为39类,针对每一类别规定了相应的“必要个人信息”范围,并规定App不得因为用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务。其中网络直播、在线影音、新闻资讯以及输入法等13类App无须个人信息即可使用基本功能服务,还有多类App只需要用户提供手机号码注册即可使用基本功能。
近年来,手机App过度收集用户个人信息、侵犯用户隐私的问题引起越来越多关注。很多App强制用户提供很多个人信息、授权很多权限才允许用户使用。而这些信息、权限并不是软件功能运行所必需的,只是为了使服务提供商针对用户进行精准营销。过度的信息收集让用户在互联网上,甚至在现实中的一举一动都被监控、分析,个人信息几乎是在“裸奔”。
随着民众个人信息保护意识的增强,保护个人信息的相关法规也逐渐出台,收集个人信息的“最小必要”“知情同意”等原则逐步确立。2017年生效的网络安全法就规定:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,经被收集者同意,并公开收集、使用规则,不得收集与其提供的服务无关的个人信息。
2019年,全国信息安全标准化技术委员会发布《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》,把App根据基本业务功能划分成16类,规定了每类App的必要信息范围。此次四部门发布的规定,对App进行了更详细的功能划分,而且具有强制力。
值得注意的是,即使是网络支付、手机银行等App,规定都没有将用户的人脸信息、指纹等个人生物特征列入必要个人信息。这意味着对个人生物信息的特殊保护,任何App都不能因为用户拒绝提供个人生物信息而拒绝用户使用。人脸信息、指纹信息等不可更改的个人信息,是极为重要的个人信息,一旦泄露会给用户带来终身危害。因此对这些信息必须严加保护,除非极其必要,都不应该进行收集和处理。
然而,现实中对公民人脸信息的违规收集和处理却比比皆是。2021年央视“3·15”晚会上曝光了科勒卫浴、宝马、MaxMara商店等非法收集用户人脸数据,近日名创优品等门店也被查出存在类似情况。此前还有媒体报道有城市小区的垃圾桶、公厕发放厕纸也用上了人脸识别系统,更不用提很多小区、企业采用了人脸识别门禁系统。
事实上,对人脸信息的违法收集更多地发生在线下场景。随着物联网的普及,智能终端设备早已经不限于手机等移动设备。对个人信息的保护需要扩展到更多的场景。这需要尽快出台综合性的个人信息保护法。
此外,个人信息概念的外延也需要扩充。当前法律定义的个人信息,主要是那些能够识别特定自然人的信息,比如姓名、身份证号码等。而有些信息尽管并不会与个人身份直接关联,但是也属于用户不想让App收集的,比如用户输入的内容。事实上,有不少应用通过收集、分析用户输入的内容来进行精准广告推送,比如很多邮箱通过分析用户邮件内容来向用户推送广告。工信部副部长刘烈宏在不久前的一个App个人信息保护监管座谈会上也表示,一些App在未经用户同意违规获取语音等输入信息,并进行广告精准推送。
法律上关于个人信息的定义也是不断扩充的。2021年生效的民法典中关于个人信息的定义,相比网络安全法,就多了“电子邮箱、健康信息、行踪信息”等。为了更好地保护用户个人信息,有必要将用户输入内容等也纳入个人信息的保护范围。这些也应该在新的个人信息保护法中加以规定。
辛省志
