漫画:颜庆雄
引子:8月8日,全国信息安全标准化技术委员会发布通知,开始对国家标准《信息安全技术移动互联网应用(APP)收集个人信息基本规范(草案)》征求意见。《草案》中明确,APP不得收集与所提供的服务无关的个人信息。对外共享、转让个人信息前,APP应事先征得用户明示同意。APP应对其使用的第三方代码、插件的个人信息收集行为负责。本期思与辨就该问题进行讨论。
主持人:王玥
嘉宾:傅子恒(市场资深研究人士,高级经济师)
肖俊(深圳大学管理学院副教授)
张继生(深圳市律师协会风险管理法律专业委员会委员)
《草案》实现了对于APP收集个人信息监管的从无到有的历史性突破
主持人:草案的亮点有哪些?
傅子恒:亮点主要在以下几个方面:一是《草案》涉及APP应用场景广泛,基本涵盖了互联网络与移动通讯日常应用的各个场景。二是规定了“最少信息”,超出最少信息之外,需逐项征得用户同意;并且明确, APP不得因用户拒绝提供最少信息之外的个人信息而拒绝提供该类型服务。这个强制性规定,是《草案》最大的亮点所在。三是当用户退出某服务类型后,APP应终止该服务类型收集个人信息的活动,并对仅用于该服务的个人信息进行删除或匿名化处理,以实现充分保护用户隐私的目的。
肖俊:《草案》的亮点主要是明确了与隐私有关的两个基本概念:最少信息、最小权限范围。在《草案》发布之前,关于手机APP强行要求机主授权、超范围获取个人信息以及缺乏个人信息保护规范的议论很多,但手机APP的权限究竟应该怎么规定,一直没有明确。《草案》就最少信息和最小权限范围作了规定之后,各种类型的手机APP的使用权限就基本明确了。确定了最少信息原则和最小权限范围之后,手机APP在开发和使用过程中究竟该如何保护个人信息、如何限制运营商过度获取个人信息就有法可依、有据可循。
张继生:《草案》针对常用的APP基本业务,实现了对于APP收集个人信息监管的从无到有的历史性突破,《草案》中的亮点主要体现在:第一,将APP收集个人信息划分为法律法规要求的必要个人信息和实现服务所需的必须个人信息,确定了最小够用、权责一致的收集原则。第二,《草案》首次明确,不应强制读取用户的通讯录。如果APP需要超出必要性范畴收集信息,必须有充分的理由,并且允许用户自主选择同意。第三,《草案》还规定用户明确拒绝使用某服务类型后,APP不得频繁征求用户同意使用该类型服务,并要保证其他服务正常使用。《草案》的这些明确规定,实现了对抽象事物的具体落实,是一个具体到位的规范。
合理收集个人信息的边界就是要做到合法、正当、必要
主持人:您如何看待“拿隐私换取便利和效率”这种说法?您认为合理收集个人信息的边界是什么?
张继生:从法律角度来看,我国《宪法》《民法总则》等基本法律均对于个人隐私有全面明确的法律保障。“拿隐私换取便利和效率”的说法分明就是个别APP为侵犯个人信息进行开脱的错误言论。并且用隐私交换来的便捷并不是“正宗”的便捷,数据滥用会带来不可控的后果。
合理收集个人信息的边界就是要做到合法、正当、必要,并且与其提供的服务有关联。这个是收集个人信息的底线和基础。尽管每个人对隐私的理解不同,愿意让渡隐私的边界也不尽相同,但是愿意提供隐私信息并不等于愿意泄露以及接受这些信息被倒卖,随着法律法规的完善,任何突破边界的行为都会受到应有的惩罚。
肖俊:任何商业行为及其产品都应遵循商业伦理,“拿隐私换取便利和效率”这种说法显然有悖于商业伦理。隐私涉及大量个人信息,如果隐私不被保护,那么个人信息就成了随意买卖的商品。最可怕的是,一旦形成这样的制度环境,个人权利可以随意被侵犯。
因此,商业机构收集个人信息必须是有边界的,这个边界就是用户同意与否。不过,由于个人力量很渺小,需要其他组织尤其是政府来保护。从经济理性的角度来说,各类商业性手机APP在开发时都会考虑如何实现利益最大化,因而有必要出台相应的管理制度规范手机APP的商业行为,遏制其通过侵犯隐私实现利益最大化的企图。
傅子恒:本人不同意“拿隐私换取便利和效率”这个说法。市场经济中的交换遵循公平、自愿原则,客户使用APP,APP开发商的目的得到了实现,双方的交换也得到了实现,客户最少隐私提供是为了便于APP提供相应服务,并不涉及隐私方面的交换,因此也就不存在“拿隐私换取便利和效率”的问题。
关于合理收集个人信息的边界,《草案》已经作出了明确规定,那就是“相关原则”和“最少信息”原则。前者是指与服务类型“直接相关”的个人信息提供;后者是保障某一服务类型正常运行所必需的个人信息,并且是一旦缺少将导致该类型服务无法实现或无法正常运行的个人信息。
《草案》需要对接外部相关法律,使《草案》中的规定有对应法律措施
主持人:您认为《草案》还有哪些方面需要进一步完善?
傅子恒:一是基于信息对称与知情原则,对于APP涉及个人隐私信息收集这一行为,方案应规定,APP应当在比较明显的位置或者以明确的流程方式,向客户进行说明,履行告知义务。二是对于违反方案的行为,可以设置处罚性条款,以此对违法行为进行威慑。
张继生:从立法层面来看,《草案》毕竟只是一个标准,在司法上和执法上并不具有强制性,没有强制约束力。《草案》需要对接外部相关法律,使《草案》中的规定有对应法律措施,对侵犯个人信息实现民事救济、行政制裁、刑罚手段相结合的综合性责任体系。从内容上来看,《草案》还可以进一步规范网络运营者对接入平台的监管责任,可以要求网络运营平台承担过错补充担保责任。同时对于APP收集的必要信息,以及适用行业范围,进一步细化明确,加强可操作性。另外对于《草案》的具体操作实施,需要进一步明确主管机关的监管责任并对接相应的法律处罚措施。
肖俊:《草案》从法律和技术层面已经做了较为全面的规定。不过,《草案》想真正产生实效,不仅需要在内容上趋于完备,还需要在监管机制和处罚规定方面也趋于完备。尤其是哪些违规内容或者行为触及并适用《信息安全法》,应受到什么样的处罚,要有更明确的规定。另外,并非所有的商业行为都能够依据法律法规作出非常清晰明确的规定。实际上很多商业行为可能不触及法律,但在伦理上存在不小的争议。这些争议会随着行业发展而逐渐暴露出来,需要在今后的法规修订中加以补充和完善。