新规聚焦超范围收集，敦促企业遵循“最小必要”原则

近年来，数据隐私安全问题层出不穷。随着数字经济的快速发展，随之而来的个人隐私安全问题也成为数字社会首要关注点。从今年“315”晚会上爆出的7元招聘简历、老年人手机中的隐藏陷阱来看，数不胜数、防不胜防的数据信息隐私安全毫不意外的成为今年“315”的最大焦点。

3月22日，由四部门联合印发《常见类型移动互联网应用程序必要个人信息范围规定》正式出台，《规定》明确了39种常见类型App的必要个人信息范围，并确定于今年5月1日起开始实施。

信息安全问题层出不穷，监管部门从未停手

就在“315”晚会召开的前几日，工业和信息化部就通报了136款侵害用户权益App，其中猎豹清理大师、讯飞配音等知名App也在列。据工业和信息化部介绍，截至目前尚有136款App未完成整改，工业和信息化部要求违规App应在规定日期前完成整改落实工作，逾期不整改的，将依法依规组织开展相关处置工作。

事实上，工业和信息化部连续两年都组织开展了专项整治行动，同时发布了相关的规范要求。目前，工业和信息化部已经对52万款App进行了技术检测工作，责令1571款违规App进行整改，公开通报了500款。对120款整改不到位的及拒不整改的直接下架。

不仅仅是普通互联网企业，诸如“BAT”之类的互联网大厂也经常出现在“点名”通报单上。尽管工信部也曾多次专门组织召开全国App个人信息保护监管会，要求树立个人信息保护高压红线的意识，但侵害个人信息的问题依旧多次复发。及时有效维护用户合法权益，严格规范App个人信息收集行为，目前尤为必要。

新规聚焦超范围收集，敦促企业遵循“最小必要”原则

我国《宪法》、《民法典》、《中华人民共和国未成年人保护法》中都有对“隐私”保护的明确规定。据国家知识产权局知识产权发展研究中心研究员王雷介绍，《宪法》第四十条规定中华人民共和国公民的通信自由和通信秘密受法律的保护，除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。同时《民法典》第一千零三十二条也规定“自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权”。

“在当前主流的商业模式下，企业通过App向用户提供各种免费服务，但被要求同意收集和使用个人信息成为常态。企业往往使用概括性授权的“一揽子协议”导致用户不接受产品或服务的隐私政策时，则完全无法使用该产品或服务，导致“知情同意”规则形式大于实质。”中国信息通信研究院互联网法律研究中心杨婕对记者介绍道。

此次《规定》进一步明确，App不得因为用户不同意提供非必要个人信息，而拒绝用户使用其基本功能服务。据杨婕介绍，此举在于敦促企业按照“最小必要”原则收集用户个人信息，防止“知情同意”规则的失灵。一是不得强制要求用户同意超出必要范围的个人信息收集行为，二是当用户拒绝提供非必要个人信息时，也应向用户提供App基本功能服务。

迈入新技术时代，新规出台正当时

进入5G时代，也就意味着我们真正进入了万物智联的世界，连接更多，风险也随之会翻倍增加。对于新技术所导致的隐私问题，规范和治理则会更加复杂，由新技术导致的隐私问题在国内外曾经引起广泛关注和争议。“国外如荷兰因为隐私问题的争议，导致为居民安装联网的智能电表和电子档案病例的技术实践失败。我国当前通信技术飞速发展，很多方面已经走到了世界的前列。但对于一些问题的处理没有先例可循，需要逐渐摸索。”王雷向记者介绍道。

此次公布的规定明确界定了App允许采集个人信息的范围，并进行了明晰和确定。其中的十三类如短视频类、女性健康类等无须个人信息，即可使用基本功能服务。另外有六类只需要提供注册用户移动电话号码。

正如王雷所说，5G时代乃至未来的6G时代，通过蜂窝通信网络将可以收集越来越多的信息，这些信息蕴含着巨大的经济利益和社会价值，对这些信息的控制和挖掘将形成巨大的控制和影响力，对此需要高度重视，提早筹划规范和治理。此次发布的新规定自2021年5月1日起实施，也恰好是对技术创新的隐私问题的规范和治理所进行的最佳实践。

责任编辑：lq