胡立彪
针对App强制授权、过度索权、超范围收集个人信息等问题,日前工信部就《移动互联网应用程序(App)个人信息保护管理暂行规定》(以下简称《暂行规定》)征求意见。《暂行规定》最大的亮点,是明确了“最小必要”这一个人信息保护基本原则。
所谓“最小必要”原则,就是要求从事App个人信息处理活动,应当具有明确合理的控制,不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。分析人士指出,这一原则是国际社会普遍采纳的原则,我国在移动互联网应用程序(App)个人信息保护领域引入这样的原则,既划出了底线,明确了红线,也对市场给出明确预期,从而可以降低市场合规成本,更好地促进App市场、移动互联网市场和数字经济健康发展。
据了解,目前我国境内App上架数量已超过350万款。这些App中有不少存在文首提到的问题。2020年7月,中央网信办、工信部、公安部、市场监管总局4部门启动App违法违规收集使用个人信息治理工作,截至2020年12月,已经对52万款App进行了技术检测工作,责令1571款违规App进行整改,公开通报了500款App,下架120款整改不到位及拒不整改的App。
然而,即使监管部门一直在加强治理,但App过度索权等侵害消费者权益问题依然存在,未能根除。原因何在?现在是数字化时代,数据对于企业尤其是互联网企业的重要性不言而喻。从某种意义上说,数据的多寡直接关系到互联网企业的资本估值。正是基于对数据价值的重视,很多互联网企业将萃取汇集大数据作为企业的核心资本。这些数据包括消费者的隐私信息或个人信息集成,比如财产收入状况、居住地址、年龄、消费偏好、每日活动轨迹等。企业利用黏性设计,把众多的消费人群吸引住,然后再萃取更多数据。手中握有足够多的数据,一些企业难免有变现的冲动,于是便不顾用户利益,擅自使用用户信息进行推广、经营等活动。而随着追踪功能的日益强大,数字用户个人信息遭泄露、隐私被侵犯的事件也大量发生。
从市场逻辑上讲,互联网企业需要用户信息,若无这些信息,企业就无法开发适合用户使用的App及其他程序。片面强调消费者个人信息权和隐私权,必会压抑企业开发大数据的积极性和创造性。有人说,互联网的便利是建立在个人适度让渡隐私基础上的,如果不肯让渡,那就只能失去互联网的便利。这有一定道理,但需要强调的是,企业的大数据与消费者的隐私权当并行不悖,而消费者个人信息权保护是源,企业的大数据产权保护是流,只有这两者都做好,互联网经济才能发展得更好。
在这种情况下,“度”就显得非常重要了。用户个人信息让渡有“度”,企业索取信息更要有“度”。对于企业而言,“度”的标准,就是“最小必要”原则。2020年12月,工信部曾发布《App收集使用个人信息最小必要评估规范》8项系列标准,就App收集使用用户人脸、通讯录、短信、位置等信息作出“最小必要”评估规范。而《暂行规定》不仅确立了“最小必要”原则,还将该原则从契约原则上升为法定原则。在处置措施方面,《暂行规定》明确对拒不改正的App进行下架处理,20天之内不得以任何形式重新上网,这对App企业有很大的震慑作用。
古人云:“不以规矩,不能成方圆。”互联网领域也需要立规矩。“最小必要”原则是善意原则,要求App方应奉行“勤勉原则”,并履行“照顾义务”,以符合专业精神的合理安排判断个人信息采集的范围、管理及守密等。这一强制和法定义务的确立,有助于扭转和平衡双方契约地位,朝着更公正和更有约束力的平等契约精神迈进。
