M88 Malaysia——企业可以收集哪些个人信息(兼论“必要原则”)
2021.01.25 杨锦文 高健 李圆圆
一、 前言
随着移动互联网应用程序(以下简称“App”)在人们生活中的重要性日渐提升,App为工作生活带来方便的同时,其中蕴含的个人M88 Malaysia安全保护问题也逐步凸显。目前,App收集使用个人M88 Malaysia方面乱象丛生,多收集、乱收集、M88 Malaysia泄露等情况时有发生,引起了政府部门和广大App用户的重视。企业通过App收集使用个人M88 Malaysia不管是对于个人M88 Malaysia安全保护还是企业合规要求来说都是至关重要的一环,而这其中,“必要原则”是App收集个人M88 Malaysia的基本原则之一,需要企业给予高度关注。本文旨在对App收集使用个人M88 Malaysia的“必要原则”进行梳理和总结,以期对企业通过App收集使用个人M88 Malaysia的合规实务有所助益。
从国外立法动向来看,“必要原则”不仅是中国对于个人M88 Malaysia收集使用的规定,也是国际上处理个人数据的一个原则。例如,欧盟的《一般数据保护条例》(General Data Protection Regulation,以下简称“GDPR”)中规定了处理个人M88 Malaysia数据的七大原则,其中有“数据最小化”原则,其精神和内涵与“必要原则”有异曲同工之处。GDPR第二章第5条第一款中规定,“个人数据的处理应当是为了实现数据处理目的而适当的、相关的和必要的(“数据最小化”)”。根据这条原则,数据控制者和处理者不应当收集任何非必须的个人数据。
从国内立法动向来看,《民法典》、《网络安全法》、《M88 Malaysia安全技术 个人M88 Malaysia安全规范》(以下简称“《个人M88 Malaysia安全规范》”)等法律和国家标准确立了收集使用M88 Malaysia的“必要原则”。从2019年开始,针对企业通过App收集使用个人M88 Malaysia这一问题,政府部门出台了一系列法规和国家标准对其进行规制。其中主要法规如下表所示,值得企业重点关注:
序号 | 发布时间 | 法规名称 |
1 | 2019年11月28日 | 《App违法违规收集使用个人M88 Malaysia行为认定方法》(以下简称“《认定方法》”) |
2 | 2020年12月1日 | 关于《常见类型移动互联网应用程序(App)必要个人M88 Malaysia范围》公开征求意见的通知(以下简称“《App必要个人M88 Malaysia范围》”) |
3 | 2020年1月20日 | 关于征求《M88 Malaysia安全技术 移动互联网应用(App)收集个人M88 Malaysia基本规范》国家标准意见的通知(信安字〔2020〕003号)(以下简称“《App收集个人M88 Malaysia基本规范》”) |
4 | 2020年3月30日 | 关于《网络安全标准实践指南—移动互联网应用程序(App)个人M88 Malaysia安全防范指引(征求意见稿)》公开征求意见的通知(以下简称“《安全防范指引》”) |
5 | 2020年7月22日 | 关于发布《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人M88 Malaysia自评估指南》的通知(信安秘字〔2020〕40号)(以下简称“《自评估指南》”) |
二、 App违法违规收集使用个人M88 Malaysia的现状
(一) 目前App违反“必要原则”收集使用个人M88 Malaysia的主要问题
根据2020年App违法违规收集使用个人M88 Malaysia治理工作启动会1及用户广泛反映投诉问题,当前App数量已超500万款,超过“必要原则”违法违规收集使用个人M88 Malaysia的问题仍广泛存在,例如:
1)大量存在App超过必要范围收集与功能无关的个人M88 Malaysia的现象。
2)App强制索要或频繁索要与功能无关的权限,例如定位、麦克风、相机、发送通知等。
3)App设置“不同意采集个人M88 Malaysia就无法安装使用App”的“霸王条款”2。
4)App存在不合理的免责条款,存在默认捆绑功能并一揽子同意的情况3。
5)面部特征等生物特征M88 Malaysia收集使用不规范,App后台自启动、关联启动、私自调用权限上传个人M88 Malaysia,录音、拍照等敏感权限滥用4等。
(二) App违法违规收集使用个人M88 Malaysia的举报途径和通报案例
针对App违法违规收集个人M88 Malaysia的行为,相关监管部门设置了相应的用户举报渠道(例如App违法违规收集使用个人M88 Malaysia治理工作组设置了公众号“App个人M88 Malaysia举报”和网站pip.tc260.org.cn,中央网信办设置了违法和不良M88 Malaysia举报中心,中国互联网协会受工业和M88 Malaysia化部委托设置了网络不良与垃圾M88 Malaysia举报受理中心等)接受用户投诉举报并进行相应处理。
目前,仍然存在大量App因违法违规收集使用个人M88 Malaysia的行为而被通报批评、要求整改的情况。例如,2020年App违法违规收集使用个人M88 Malaysia治理工作组曾通过上述公众号和网站通告了177款App违法违规收集使用个人M88 Malaysia,建议相关App运营者及时对存在的问题进行整改,并将对整改情况进行核验,向相关部门提交复核结果,对不能有效整改的建议依法予以处置。其中,我们注意到大量App因违反“必要原则”收集使用个人M88 Malaysia而被通报,不乏人们日常常用的下载量较大的App。我们选取了部分此类通报案例归纳整理如下表:
序号 | App名称 | 违反“必要原则”收集使用个人M88 Malaysia的情况 |
1 | 某WiFi密码App | 申请打开的麦克风权限与现有业务功能无关。 |
2 | 某软件下载App | 收集的用户真实姓名、身份证号等个人敏感M88 Malaysia与现有业务功能无关。 |
3 | 某博客App | 以不正当方式误导用户同意收集个人M88 Malaysia:在隐私政策中以“在你发送微博、使用微博提供的位置定位服务时,我们会收集你的位置M88 Malaysia、设备M88 Malaysia”为由收集用户设备M88 Malaysia。 |
4 | 某航班M88 Malaysia管理App | 用户明确表示不同意打开存储等权限后,仍频繁征求用户同意,干扰用户正常使用。 |
5 | 某二手车App | 因用户不同意打开非必要的存储、电话、位置等权限,拒绝提供所有业务功能。 |
6 | 某读书软件App | 收集的用户收货地址与所提供的业务功能无关。 |
7 | 某房产中介App | 用户明确表示不同意打开位置权限后,仍频繁征求用户同意,干扰用户正常使用。 |
8 | 某手机金融App | (1)贷款业务功能向用户申请与该业务功能无关的手机短信权限。 (2)收集用户地理位置等个人M88 Malaysia频度超出业务功能实际需要。 |
9 | 某银行手机App | (1)收集设备IMEI号、IMSI号、地理位置等个人M88 Malaysia的频度超出业务功能实际需要。 (2)因用户不同意收集非必要的常用微信号等个人M88 Malaysia,拒绝提供“周边游”业务功能。 |
10 | 某招聘App | 首次打开App时,强制要求用户输入月薪等非必要个人M88 Malaysia。 |
三、 循道不违——“必要原则”的基本规范和要求
(一) “必要原则”的内涵
《网络安全法》第四十一条与《民法典》第一千零三十五条均规定,处理个人M88 Malaysia的,应当遵循合法、正当、必要原则,不得过度处理。
《个人M88 Malaysia安全规范》提出了个人M88 Malaysia安全基本原则之一为“最小必要”,即只处理满足个人M88 Malaysia主体授权同意的目的所需的最少个人M88 Malaysia类型和数量。目的达成后,应及时删除个人M88 Malaysia。针对这一原则,该国家标准要求个人M88 Malaysia控制者做到以下几点:
1) 收集的个人M88 Malaysia的类型应与实现产品或服务的业务功能有直接关联;直接关联是指没有上述个人M88 Malaysia的参与,产品或服务的功能无法实现;
2) 自动采集个人M88 Malaysia的频率应是实现产品或服务的业务功能所必需的最低频率;
3) 间接获取个人M88 Malaysia的数量应是实现产品或服务的业务功能所必需的最少数量。
(二) “必要原则”的具体要求
针对App收集使用个人M88 Malaysia,《认定方法》、《自评估指南》和《安全防范指引》等法律法规对“必要原则”做出了进一步的细化规定。根据《安全防范指引》,超过“必要原则”的收集使用行为包括但不限于以下这三种情形:
1)收集无关M88 Malaysia。收集的个人M88 Malaysia类型或申请的系统权限与App提供的业务功能无关。
2)强制收集非必要M88 Malaysia。因用户不同意收集非必要个人M88 Malaysia或打开非必要权限,App拒绝提供业务功能。
3)收集频率不合理。收集个人M88 Malaysia的频率超出App业务功能实际需要。
根据《认定方法》和《自评估指南》等法律法规,我们对企业通过App收集使用个人M88 Malaysia的“必要原则”的相关规范和具体要求进行了如下梳理。
基本规范 | 规范要点 | 具体要求 |
遵循必要原则,仅收集与其提供的服务相关的个人M88 Malaysia | 1.不应收集与业务功能无关的个人M88 Malaysia |
|
2.用户应当可拒绝收集非必要M88 Malaysia或打开非必要权限 |
| |
3.不应以非正当方式强迫收集用户个人M88 Malaysia |
| |
4.收集个人M88 Malaysia的频度不应超出业务功能实际需要 |
|
企业违反“必要原则”收集个人M88 Malaysia,属于违法违规收集个人M88 Malaysia,可能面临监管部门的公开通报、敦促整改、约谈、警告、下架、罚款等监管措施。如果进一步涉及非法滥用个人M88 Malaysia或者倒卖个人M88 Malaysia等情况,则可能触及非法提供公民个人M88 Malaysia罪、非法获取公民个人M88 Malaysia罪、拒不履行M88 Malaysia网络安全管理义务罪等刑事责任。
四、 正面清单——各类App收集使用个人M88 Malaysia的必要范围
尚在征求意见中的《App收集个人M88 Malaysia基本规范》和《App必要个人M88 Malaysia范围》对各类App能够收集的个人M88 Malaysia的范围作出了具体限制。《App收集个人M88 Malaysia基本规范》对App收集个人M88 Malaysia时应满足的基本要求,例如最小必要M88 Malaysia5 、最小必要权限范围6和使用要求作出了详细规定。《App必要个人M88 Malaysia范围》则以“正面清单”的形式列举了各种类型的App能够收集的必要个人M88 Malaysia7范围,并明确只要用户同意收集必要个人M88 Malaysia,App不得拒绝用户安装使用。
下表归纳了《App必要个人M88 Malaysia范围》中提出的几类常见App的基本功能服务和其能够收集的必要个人M88 Malaysia。这些具体的规定旨在落实《民法典》、《网络安全法》等法律法规关于收集使用个人M88 Malaysia合法、正当、必要的原则,规范App的个人M88 Malaysia收集使用行为,保障公民个人M88 Malaysia安全。
App类型 | 基本功能服务 | 必要个人M88 Malaysia |
即时通信类 | 提供文字、图片、语音、视频等即时通信服务 | (1)注册用户移动电话号码或其他真实身份M88 Malaysia(App提供者提供多种选项,由用户选择其一)。 (2)账号M88 Malaysia:账号、联系人账号列表。 |
网络社区类 | 博客、论坛、社区等话题讨论、M88 Malaysia分享和关注互动 | 注册用户移动电话号码或其他真实身份M88 Malaysia(App提供者提供多种选项,由用户选择其一)。 |
网络支付类 | 收款人或付款人依托公共网络远程发起支付指令,由支付机构提供货币资金转移服务(如支付、提现、转账等) | (1)注册用户移动电话号码或其他真实身份M88 Malaysia(App提供者提供多种选项,由用户选择其一)。 (2)付款人姓名、证件类型和号码、证件有效期限、证件影印件、银行卡号码、银行预留移动电话号码。 (3)收款人姓名、银行卡号码。 |
网上购物类 | 购买商品 | (1)注册用户移动电话号码或其他真实身份M88 Malaysia(App提供者提供多种选项,由用户选择其一)。 (2)收货人姓名、地址、联系电话。 (3)支付M88 Malaysia。 |
网络借贷类 | 通过互联网平台实现的个人消费贷款 | (1)注册用户移动电话号码或其他真实身份M88 Malaysia(App提供者提供多种选项,由用户选择其一)。 (2)借款人姓名、证件类型和号码、证件有效期限、证件影印件、银行卡号码。 |
二手车交易类 | 二手车买卖 | (1)注册用户移动电话号码或其他真实身份M88 Malaysia(App提供者提供多种选项,由用户选择其一)。 (2)购买方姓名、证件类型和号码。 (3)出售方姓名、证件类型和号码、车辆行驶证号、车辆识别号码。 |
学习教育类 | 在线辅导、网络课堂等 | 注册用户移动电话号码或其他真实身份M88 Malaysia(App提供者提供多种选项,由用户选择其一)。 |
其中,网络直播类、在线影音类、短视频类、新闻资讯类、运动健身类、浏览器类、输入法类、安全管理类、电子图书类、拍摄美化类、应用商店类、实用工具类App无须个人M88 Malaysia即可使用基本功能服务,也就是说这些类型的App对于基本功能服务不应当收集用户个人M88 Malaysia。
《App收集个人M88 Malaysia基本规范》和《App必要个人M88 Malaysia范围》一旦生效,对于企业通过App收集个人M88 Malaysia的行为会产生较大的影响,需要企业提前予以关注。企业应当严格遵循“必要原则”,收集个人M88 Malaysia的内容应满足该法规的合规要求和范围限制,根据自身运营的App的类别对目前收集个人M88 Malaysia的行为予以规制。
五、 结语——对于企业通过App收集使用个人M88 Malaysia的合规建议
目前政府部门对于使用App过程中的个人M88 Malaysia保护问题高度重视。面对目前较为严格的监管动态,企业可采取以下措施:
(一)根据上述相关法律法规和国家标准,对照检查自身App有无违法违规收集使用个人M88 Malaysia的情形,如果存在应当积极进行规范整改。
(二)避免出现目前被广泛投诉的超过“必要原则”的收集使用行为,例如超范围收集与功能无关的个人M88 Malaysia、强制或频繁索要无关权限、默认捆绑功能并一揽子同意、设置“不同意采集个人M88 Malaysia就无法安装使用App”的条款、滥用录音、拍照等敏感权限等。
(三)积极参加App安全认证工作,获取明确标识和合规认证。如为教育类、金融类等特殊行业的App,则应当根据相应的备案要求进行备案。认证和备案的相关要求请详见本系列的上一篇文章《M88 Malaysia——企业如何上线App》。
(四)持续关注App方面的法律法规出台情况和监管动态,根据政府部门的监管动向随时调整App收集使用个人M88 Malaysia的规则和相应的程序操作处理规则。
注:
1.请参见《2020年App违法违规收集使用个人M88 Malaysia治理工作启动会在京召开》,http://www.cac.gov.cn/2020-07/25/c_1597240741055830.htm
2 请参见《按“最小必要”原则规范APP个人M88 Malaysia收集》,https://xw.qq.com/cmsid/20201217A01TDN00
3 请参见《网友举报5000余款App 涉违法违规收集个人M88 Malaysia》,http://epaper.oeeee.com/epaper/A/html/2020-08/11/content_23380.htm
4 请参见《2020年App违法违规收集使用个人M88 Malaysia治理工作启动会在京召开》,http://www.cac.gov.cn/2020-07/25/c_1597240741055830.htm
5.根据《App收集个人M88 Malaysia基本规范》,指的是用于收集某一服务类型最小必要M88 Malaysia且需要个人M88 Malaysia主体主动授予的智能移动终端操作系统权限。
6.根据《App必要个人M88 Malaysia范围》,指的是保障App基本功能正常运行所必须的个人M88 Malaysia,缺少该M88 MalaysiaApp无法提供基本功能服务。
7.根据《App必要个人M88 Malaysia范围》,指的是保障App基本功能正常运行所必须的个人M88 Malaysia,缺少该M88 MalaysiaApp无法提供基本功能服务。
