保護個人信息，為App劃出紅線之外，還應(yīng)盡快出臺法律

辛省志

日前，國家網(wǎng)信辦等部門聯(lián)合發(fā)布《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》，針對常見App類型詳細規(guī)定了其必要個人信息范圍，2021年5月1日起生效。

這一規(guī)定根據(jù)提供的服務(wù)功能把常見的App分為39類，針對每一類別規(guī)定了相應(yīng)的“必要個人信息”范圍，并規(guī)定App不得因為用戶不同意提供非必要個人信息，而拒絕用戶使用其基本功能服務(wù)。其中網(wǎng)絡(luò)直播、在線影音、新聞資訊以及輸入法等13類App無須個人信息即可使用基本功能服務(wù)，還有多類App只需要用戶提供手機號碼注冊即可使用基本功能。

近年來，手機App過度收集用戶個人信息、侵犯用戶隱私的問題引起越來越多關(guān)注。很多App強制用戶提供很多個人信息、授權(quán)很多權(quán)限才允許用戶使用。而這些信息、權(quán)限并不是軟件功能運行所必需的，只是為了使服務(wù)提供商針對用戶進行精準(zhǔn)營銷。過度的信息收集讓用戶在互聯(lián)網(wǎng)上，甚至在現(xiàn)實中的一舉一動都被監(jiān)控、分析，個人信息幾乎是在“裸奔”。

隨著民眾個人信息保護意識的增強，保護個人信息的相關(guān)法規(guī)也逐漸出臺，收集個人信息的“最小必要”“知情同意”等原則逐步確立。2017年生效的網(wǎng)絡(luò)安全法就規(guī)定：網(wǎng)絡(luò)運營者收集、使用個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，經(jīng)被收集者同意，并公開收集、使用規(guī)則，不得收集與其提供的服務(wù)無關(guān)的個人信息。

2019年，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布《網(wǎng)絡(luò)安全實踐指南——移動互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范》，把App根據(jù)基本業(yè)務(wù)功能劃分成16類，規(guī)定了每類App的必要信息范圍。此次四部門發(fā)布的規(guī)定，對App進行了更詳細的功能劃分，而且具有強制力。

值得注意的是，即使是網(wǎng)絡(luò)支付、手機銀行等App，規(guī)定都沒有將用戶的人臉信息、指紋等個人生物特征列入必要個人信息。這意味著對個人生物信息的特殊保護，任何App都不能因為用戶拒絕提供個人生物信息而拒絕用戶使用。人臉信息、指紋信息等不可更改的個人信息，是極為重要的個人信息，一旦泄露會給用戶帶來終身危害。因此對這些信息必須嚴(yán)加保護，除非極其必要，都不應(yīng)該進行收集和處理。

然而，現(xiàn)實中對公民人臉信息的違規(guī)收集和處理卻比比皆是。2021年央視“3·15”晚會上曝光了科勒衛(wèi)浴、寶馬、MaxMara商店等非法收集用戶人臉數(shù)據(jù)，近日名創(chuàng)優(yōu)品等門店也被查出存在類似情況。此前還有媒體報道有城市小區(qū)的垃圾桶、公廁發(fā)放廁紙也用上了人臉識別系統(tǒng)，更不用提很多小區(qū)、企業(yè)采用了人臉識別門禁系統(tǒng)。

事實上，對人臉信息的違法收集更多地發(fā)生在線下場景。隨著物聯(lián)網(wǎng)的普及，智能終端設(shè)備早已經(jīng)不限于手機等移動設(shè)備。對個人信息的保護需要擴展到更多的場景。這需要盡快出臺綜合性的個人信息保護法。

此外，個人信息概念的外延也需要擴充。當(dāng)前法律定義的個人信息，主要是那些能夠識別特定自然人的信息，比如姓名、身份證號碼等。而有些信息盡管并不會與個人身份直接關(guān)聯(lián)，但是也屬于用戶不想讓App收集的，比如用戶輸入的內(nèi)容。事實上，有不少應(yīng)用通過收集、分析用戶輸入的內(nèi)容來進行精準(zhǔn)廣告推送，比如很多郵箱通過分析用戶郵件內(nèi)容來向用戶推送廣告。工信部副部長劉烈宏在不久前的一個App個人信息保護監(jiān)管座談會上也表示，一些App在未經(jīng)用戶同意違規(guī)獲取語音等輸入信息，并進行廣告精準(zhǔn)推送。

法律上關(guān)于個人信息的定義也是不斷擴充的。2021年生效的民法典中關(guān)于個人信息的定義，相比網(wǎng)絡(luò)安全法，就多了“電子郵箱、健康信息、行蹤信息”等。為了更好地保護用戶個人信息，有必要將用戶輸入內(nèi)容等也納入個人信息的保護范圍。這些也應(yīng)該在新的個人信息保護法中加以規(guī)定。