国家互联网信息办公室会同工业和信息化部、公安部、国家市场监督管理总局,起草了《常见类型移动互联网应用程序必要个人信息范围(征求意见稿)》(以下简称《征求意见稿》),并向社会公开征求意见。此举旨在贯彻落实《中华人民共和国网络安全法》和《中华人民共和国个人信息保护法(草案)》的相关精神,进一步规范移动互联网应用程序(App)收集个人信息行为,保障公民个人信息安全,促进行业健康有序发展。
《征求意见稿》的核心在于明确界定各类常见App在提供基本功能服务时,所必需收集的个人信息范围,即“必要个人信息”。该范围被定义为“保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务”。这一界定旨在划清合理收集与过度索权的界限,遏制当前部分App存在的“非必要不授权则不可用”、强制捆绑授权、超范围收集个人信息等乱象。
此次《征求意见稿》以清单形式,详细列举了38类常见App的必要个人信息范围,其中与个人互联网服务密切相关的类型备受关注。例如:
- 即时通信类:注册用户移动电话号码,账号信息(账号、即时通信联系人账号列表)。
- 网络社区类:注册用户移动电话号码。
- 网络支付类:注册用户移动电话号码,注册用户姓名、证件类型和号码、证件有效期限、银行卡号码。
- 网上购物类:注册用户移动电话号码。
- 餐饮外卖类:注册用户移动电话号码,收货人姓名(名称)、地址、联系电话,以及支付时间、支付金额、支付渠道等支付信息。
- 邮件快件寄递类:寄件人姓名、证件类型和号码等身份信息,联系电话、地址等寄件人信息;收件人姓名(名称)、地址、联系电话等收件人信息;寄递物品的名称、性质、数量。
- 交通票务类:注册用户移动电话号码;旅客姓名、证件类型和号码、联系电话;旅客出发地、目的地、出发时间、车次/船次/航班号、席别/舱位等级、座位号(如有)。
- 网络约车类:注册用户移动电话号码;乘车人出发地、目的地、位置信息、行踪轨迹;支付时间、支付金额、支付渠道等支付信息。
从上述列举可以看出,《征求意见稿》遵循了“最小必要”原则。例如,对于地图导航、网络约车等需要位置信息的服务,位置和轨迹被明确列为必要信息;对于网络支付、交通票务等涉及交易和实名制的服务,相应的身份和交易信息被列为必要。而对于许多工具类或资讯类App,其必要个人信息范围被限定得极为严格,甚至可能仅为“无需个人信息,即可使用基本功能服务”。
公开征求意见的过程,体现了立法和监管的公开透明,有助于集思广益,使规定更加科学合理、贴合实际。公众和行业参与者可以就各类App的必要信息范围界定是否恰当、是否存在遗漏的常见App类型、执行细则如何落地等方面提出意见和建议。
此项规定的出台与落地,预计将对个人互联网服务生态产生深远影响:
- 对用户而言,权益保护将得到强化。用户在使用App时将拥有更清晰的预期,知晓哪些信息是必须提供的以换取核心服务,对于超出清单范围的索权要求可以理直气壮地拒绝,个人信息被过度收集和滥用的风险有望降低。
- 对App运营者(企业)而言,合规要求更加明确。企业需要依据此范围重新审视自身产品的个人信息收集实践,调整隐私政策与用户授权流程,确保运营合法合规。这虽然带来了短期的合规成本,但长远看有助于构建用户信任,营造公平竞争环境,推动企业将竞争焦点从“数据圈地”转向服务与创新。
- 对监管机构而言,提供了清晰的执法依据。清单化管理使得监管更具可操作性,便于对违规收集个人信息的行为进行识别、认定和查处,提升监管效能。
规定在落地过程中也可能面临一些挑战,例如如何准确界定不断涌现的新型App类型及其“基本功能”,如何处理用户为享受增值服务而自愿提供更多信息的情况,以及如何确保规定在全国范围内得到统一、有效的执行等。
《常见类型移动互联网应用程序必要个人信息范围》的制定与公开征求意见,是我国在个人信息保护领域迈出的又一坚实步伐。它标志着对App个人信息收集的监管正从原则性规定走向精细化、场景化的具体规则,有望从根本上治理个人信息收集的顽疾,为亿万网民构建一个更安全、更清朗的移动互联网使用环境,同时也为数字经济的可持续发展奠定坚实的信任基础。
