辛省志

日前，國(guó)家網(wǎng)信辦等部門聯(lián)合發(fā)布《常見類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》，針對(duì)常見App類型詳細(xì)規(guī)定了其必要個(gè)人信息范圍，2021年5月1日起生效。

這一規(guī)定根據(jù)提供的服務(wù)功能把常見的App分為39類，針對(duì)每一類別規(guī)定了相應(yīng)的“必要個(gè)人信息”范圍，并規(guī)定App不得因?yàn)橛脩舨煌馓峁┓潜匾獋€(gè)人信息，而拒絕用戶使用其基本功能服務(wù)。其中網(wǎng)絡(luò)直播、在線影音、新聞資訊以及輸入法等13類App無(wú)須個(gè)人信息即可使用基本功能服務(wù)，還有多類App只需要用戶提供手機(jī)號(hào)碼注冊(cè)即可使用基本功能。

近年來(lái)，手機(jī)App過(guò)度收集用戶個(gè)人信息、侵犯用戶隱私的問(wèn)題引起越來(lái)越多關(guān)注。很多App強(qiáng)制用戶提供很多個(gè)人信息、授權(quán)很多權(quán)限才允許用戶使用。而這些信息、權(quán)限并不是軟件功能運(yùn)行所必需的，只是為了使服務(wù)提供商針對(duì)用戶進(jìn)行精準(zhǔn)營(yíng)銷。過(guò)度的信息收集讓用戶在互聯(lián)網(wǎng)上，甚至在現(xiàn)實(shí)中的一舉一動(dòng)都被監(jiān)控、分析，個(gè)人信息幾乎是在“裸奔”。

隨著民眾個(gè)人信息保護(hù)意識(shí)的增強(qiáng)，保護(hù)個(gè)人信息的相關(guān)法規(guī)也逐漸出臺(tái)，收集個(gè)人信息的“最小必要”“知情同意”等原則逐步確立。2017年生效的網(wǎng)絡(luò)安全法就規(guī)定：網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，經(jīng)被收集者同意，并公開收集、使用規(guī)則，不得收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人信息。

2019年，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布《網(wǎng)絡(luò)安全實(shí)踐指南——移動(dòng)互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范》，把App根據(jù)基本業(yè)務(wù)功能劃分成16類，規(guī)定了每類App的必要信息范圍。此次四部門發(fā)布的規(guī)定，對(duì)App進(jìn)行了更詳細(xì)的功能劃分，而且具有強(qiáng)制力。

值得注意的是，即使是網(wǎng)絡(luò)支付、手機(jī)銀行等App，規(guī)定都沒有將用戶的人臉信息、指紋等個(gè)人生物特征列入必要個(gè)人信息。這意味著對(duì)個(gè)人生物信息的特殊保護(hù)，任何App都不能因?yàn)橛脩艟芙^提供個(gè)人生物信息而拒絕用戶使用。人臉信息、指紋信息等不可更改的個(gè)人信息，是極為重要的個(gè)人信息，一旦泄露會(huì)給用戶帶來(lái)終身危害。因此對(duì)這些信息必須嚴(yán)加保護(hù)，除非極其必要，都不應(yīng)該進(jìn)行收集和處理。

然而，現(xiàn)實(shí)中對(duì)公民人臉信息的違規(guī)收集和處理卻比比皆是。2021年央視“3·15”晚會(huì)上曝光了科勒衛(wèi)浴、寶馬、MaxMara商店等非法收集用戶人臉數(shù)據(jù)，近日名創(chuàng)優(yōu)品等門店也被查出存在類似情況。此前還有媒體報(bào)道有城市小區(qū)的垃圾桶、公廁發(fā)放廁紙也用上了人臉識(shí)別系統(tǒng)，更不用提很多小區(qū)、企業(yè)采用了人臉識(shí)別門禁系統(tǒng)。

事實(shí)上，對(duì)人臉信息的違法收集更多地發(fā)生在線下場(chǎng)景。隨著物聯(lián)網(wǎng)的普及，智能終端設(shè)備早已經(jīng)不限于手機(jī)等移動(dòng)設(shè)備。對(duì)個(gè)人信息的保護(hù)需要擴(kuò)展到更多的場(chǎng)景。這需要盡快出臺(tái)綜合性的個(gè)人信息保護(hù)法。

此外，個(gè)人信息概念的外延也需要擴(kuò)充。當(dāng)前法律定義的個(gè)人信息，主要是那些能夠識(shí)別特定自然人的信息，比如姓名、身份證號(hào)碼等。而有些信息盡管并不會(huì)與個(gè)人身份直接關(guān)聯(lián)，但是也屬于用戶不想讓App收集的，比如用戶輸入的內(nèi)容。事實(shí)上，有不少應(yīng)用通過(guò)收集、分析用戶輸入的內(nèi)容來(lái)進(jìn)行精準(zhǔn)廣告推送，比如很多郵箱通過(guò)分析用戶郵件內(nèi)容來(lái)向用戶推送廣告。工信部副部長(zhǎng)劉烈宏在不久前的一個(gè)App個(gè)人信息保護(hù)監(jiān)管座談會(huì)上也表示，一些App在未經(jīng)用戶同意違規(guī)獲取語(yǔ)音等輸入信息，并進(jìn)行廣告精準(zhǔn)推送。

法律上關(guān)于個(gè)人信息的定義也是不斷擴(kuò)充的。2021年生效的民法典中關(guān)于個(gè)人信息的定義，相比網(wǎng)絡(luò)安全法，就多了“電子郵箱、健康信息、行蹤信息”等。為了更好地保護(hù)用戶個(gè)人信息，有必要將用戶輸入內(nèi)容等也納入個(gè)人信息的保護(hù)范圍。這些也應(yīng)該在新的個(gè)人信息保護(hù)法中加以規(guī)定。