“国家市场监督管理总局和国家标准化委员会于2022年4月15日发布推荐性国家标准《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》(GB/T 41391-2022,下称“《基本要求》”),为移动互联网应用程序(下称“App”,含小程序)合规处理个人信息提供了较为细致的参考标准,并明确常见服务类型App必要个人信息范围和具体使用要求。《基本要求》将于2022年11月1日起实施,对于App运营者如何确定收集的必要个人信息范围和选择依据的合法性基础,本文作如下解读和探讨。”
01必要的合规义务来源
App收集“必要”个人信息的合规义务来源主要为《民法典》第1035条、《网络安全法》第41条和《个人信息保护法》第5条。
《民法典》第1035条规定,“处理个人信息的,应当遵循合法、正当、必要原则”。
《网络安全法》第41条规定,“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则”,“网络运营者不得收集与其提供的服务无关的个人信息”。
为落实《网络安全法》的规定,2019年11月28日,国家互联网信息办公室、工业和信息化部、公安部、市场监管总局联合制定《App违法违规收集使用个人信息行为认定方法》(国信办秘字[2019]191号),明确六类行为构成“违反必要原则,收集与其提供的服务无关的个人信息”,包括“收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关”,“收集个人信息的频度等超出业务功能实际需要”,“仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息”等。
《个人信息保护法》第5条规定,“处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。”
国家互联网信息办公室于2021年11月14日发布的《网络数据安全管理条例(征求意见稿)》第19条规定,“数据处理者处理个人信息,应当具有明确、合理的目的,遵循合法、正当、必要的原则。”基于个人同意处理个人信息的,处理的个人信息应当是“提供服务所必需的”或是“履行法律、行政法规规定的义务所必需的”。
除上述主要合规义务来源,特定行业亦可能有其他合规义务来源,如2020年11月1日实施的《中国人民银行金融消费者权益保护实施办法》第29条规定,“银行、支付机构处理消费者金融信息,应当遵循合法、正当、必要原则,经金融消费者或者其监护人明示同意,但是法律、行政法规另有规定的除外。”
02 App业务功能的区分
2021年5月1日实施的《常见类型移动互联网应用程序必要个人信息范围规定》(国信办秘字〔2021〕14 号,下称“《必要个人信息范围规定》”)根据App的基本功能,列举了地图导航类、网络约车类、即时通讯类等39类常见类型App的必要个人信息范围。
明确App业务功能有利于准确地确定App业务功能对应的必要个人信息范围。《基本要求》在《必要个人信息范围规定》和推荐性国家标准《信息安全技术 个人信息安全规范》(GB/T 35273-2020)的基础上,将基本业务功能定义为App“实现用户主要使用目的的业务功能”,基本业务功能之外的其他业务功能为App的扩展业务功能。《基本要求》同时明确“仅为实现改善服务质量、提升使用体验、定向推送信息、研发新产品等目的的业务功能”应该划分为扩展业务功能。我们理解,通常App所提供的个性化展示、定向广告类服务应被划分为扩展业务功能。
根据App实现用户主要使用目的的业务功能,对照《必要个人信息范围规定》下39类常见类型App,可以确定App所属服务类型。当App所属服务类型不在39类常见类型App范围之内的,实现用户主要使用目的的业务功能为基本业务功能,之外的其他业务功能为扩展业务功能。
对于App提供多种类型服务的,App所属服务类型之外的服务类型为其他服务类型,对应的业务功能属于扩展业务功能。如网络支付类App同时提供网络购物服务的,实现用户主要使用目的的业务功能为网络支付,网络支付为其基本业务功能,额外提供的网络购物服务属于扩展业务功能。
03 个人信息的划分
《必要个人信息范围规定》将必要个人信息定义为“保障 App 基本功能服务正常运行所必需的个人信息,缺少该信息 App 即无法实现基本功能服务”。《基本要求》沿用该定义,并细化“实现用户主要使用目的的业务功能”为基本业务功能。《基本要求》在附录B中还提出“非必要但有关联个人信息”和“无关个人信息”的概念,“非必要但有关联个人信息”指“与App所提供服务直接相关但可选收集的个人信息”,“无关个人信息”指“与App所提供服务目的无直接关联的个人信息”。
《必要个人信息范围规定》所规定的必要个人信息仅针对App “基本功能服务”而言,对于App“基本功能服务”之外可能还有其他功能服务,即《基本要求》定义的“扩展功能服务”, 如网络支付类App同时提供的网络购物服务。我们理解,对于“扩展功能服务”而言,其亦有对应的“必要”个人信息,用户不提供该等“必要”个人信息,客观上将造成App运营者无法提供用户寻求的App“扩展功能服务”。在《基本要求》区分基本功能服务和扩展功能服务的基础上,我们认为,App运营者可以将可能收集的用户个人信息分为四类:①基本必要个人信息(法定必要个人信息),②扩展必要个人信息(酌定必要个人信息),③非必要但有关联个人信息(酌定需要个人信息),④无关个人信息。如下图,①②③之外的个人信息为④无关个人信息。
以上分类新增加的“扩展必要个人信息(酌定必要个人信息)”系指《基本要求》下“非必要但有关联个人信息”中为实现扩展业务功能所必需的个人信息,如网络支付类App提供网络购物服务的,收货人地址信息不属于基本必要个人信息,但属于实现扩展业务功能所必需的个人信息。
用户拒绝提供①基本必要个人信息的,App将无法提供基本功能服务;用户拒绝提供②扩展必要个人信息的,App将无法提供相应扩展功能服务,但应继续提供基本功能服务和不受影响的其它扩展功能服务;用户拒绝提供③非必要但有关联个人信息的,App应继续提供基本功能服,并根据拒绝提供信息的影响,酌定是否提供相应扩展功能服务;App不应收集④无关个人信息。
04 确定必要个人信息范围
1. 基本业务功能下的“必要个人信息”
《必要个人信息范围规定》明确规定39类常见类型App基本功能对应的必要个人信息范围,如网络支付类App的必要个人信息包括注册用户移动电话号码、注册用户姓名、证件类型和号码、证件有效期、银行卡号码,手机银行类App的必要个人信息除了网络支付类App的必要个人信息范围外,还包括证件影印件、银行预留移动电话号码、转账时需提供收款人姓名、银行卡号码、开户银行信息。
用户拒绝提供基本功能服务所要求的必要个人信息的,App将无法提供基本功能服务。但对于如新闻资讯类、运动健身类、拍摄美化类等App,《必要个人信息范围规定》规定无须个人信息,即可使用其基本功能服务,因此,该类App不应拒绝未提供个人信息的用户使用App的基本功能服务。
当App所属服务类型不在39类常见类型App范围之内的,基本业务功能对应的必要个人信息范围将由App运营者自行根据必要个人信息的定义进行判断确定。
2. 扩展业务功能下的“必要”个人信息
在确认扩展业务功能下“必要”个人信息时,我们建议,首先,对照39类常见类型App,参考和扩展业务功能最相似的基本业务功能的“必要个人信息”范围,酌情确定“必要”个人信息的范围;其次,应围绕实现扩展业务功能目的,结合行业技术现状和发展,确定“必要”个人信息的范围。
有些个人信息可能不容易区分为“扩展必要个人信息”或“非必要但有关联个人信息”。如某网络购物类App用户寻求App提供个性化展示服务,对于个性化展示服务而言,目前的技术条件下,用户浏览信息、搜索信息、收藏信息都可能和实现个性化展示服务目的相关,但用户前述某一单独的个人信息又难以简单地被确定为实现个性化展示服务所必需。此时,我们倾向于将该类个人信息酌情确定为“非必要但有关联个人信息”。
05 App收集必要个人信息的合法性基础
如前所述,App收集的个人信息可能有四类:①基本必要个人信息,②扩展必要个人信息,③非必要但有关联个人信息的,④无关个人信息。
对于基本必要个人信息的收集,App运营者依据的合法性基础可以为《个人信息保护法》第13条规定的“(一)取得个人的同意”或“(二)为订立、履行个人作为一方当事人的合同所必需”。依据的合法性基础不同,App运营者需承担的合规义务略有不同。基于同意处理个人信息的,《个人信息保护法》第14条和第15条规定,同意应当在“充分知情的前提下自愿、明确作出”,且用户有权随时单方撤回其同意。而基于订立或履行合同所必需处理个人信息的,用户不享有撤回权,但根据《个人信息保护法》第47条,符合一定情形的,用户有权请求删除个人信息,如用户选择终止和App运营者之间的服务合同关系。
对于收集扩展必要个人信息和非必要但有关联个人信息的合法性基础,不同的场景和功能下可能有所不同。如网络支付类App提供网络购物服务的,收货人地址信息属于扩展必要个人信息,收集收货人地址信息的合法性基础可以为用户同意也可以是订立履行合同所必需;而某网络购物类App为向用户提供个性化展示服务而收集用户浏览信息和收藏信息的,“为订立、履行个人作为一方当事人的合同所必需”较难作为App运营者收集该等信息的合法性基础,此种情况下,依据用户同意作为合法性基础更为稳妥。
最后,对于无关个人信息,我们建议App运营者慎重选择用户同意作为合法性基础,《个人信息保护法》第13条规定的“取得个人的同意”应当同时符合《个人信息保护法》第5条规定的“合法、正当、必要和诚信原则”,而收集App用户的无关个人信息,已超出App提供服务所需。《基本要求》附录B亦明确即便征得用户同意,App也不应向用户收集无关个人信息。因此,App运营者依据用户同意收集无关个人信息的,可能被认定为违反个人信息处理的必要原则。
在线客服
微信
