《常见类型移动互联网应用程序必要个人信息范围规定》解读
《常见类型移动互联网应用程序必要个人信息范围规定》解读
2021年3月22日,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局四部门联合公开发布[1]《常见类型移动互联网应用程序必要个人信息范围规定》(国信办秘字〔2021〕14号,以下简称"《规定》"),正式施行日期为2021年5月1日。
从2020年12月1日发布《常见类型移动互联网应用程序(App)必要个人信息范围(征求意见稿)》(以下简称"《规定(征求意见稿)》")并公开征求意见,到正式发布,仅用时3个月,可见监管部门对《规定》的重视程度。接下来,我们将通过"要点解读+常见误区梳理"的方式,帮助大家更好地理解《规定》的内容。
第一部分 要点解读
要点一 不得因用户不同意收集非必要个人信息,而拒绝用户使用App基本功能服务
《规定》第一条明确了立法目的、上位法依据,第四条明确了基本要求,即"App不得因为用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务。"其实质上是在落实《网络安全法》四十一条"网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则……网络运营者不得收集与其提供的服务无关的个人信息……"的要求,对收集个人信息的必要性进行了细化的规定。
要点二 首次将小程序明确纳入App收集个人信息的监管范围
《规定》第二条规定"App包括移动智能终端预置、下载安装的应用软件,基于应用软件开放平台接口开发的、用户无需安装即可使用的小程序",首次将小程序明确纳入App收集个人信息的监管范围。
实际上,在监管部门的执法行动中,小程序早已被纳入App收集使用个人信息相关专项治理行动中。其中,天津市2020年3月16日印发的《天津市疫情防控App专项治理情况通报(第一期)》中共计7款问题App,5款为小程序;工信部开展的App侵害用户权益专项整治行动中,通报的未完成整改的App中也包含了小程序。
因此,企业需要摒弃小程序没有明文监管规定不需要或者不着急开展个人信息合规工作的想法,根据《网络安全法》、《民法典》、《消费者权益保护法》和《规定》等法律、法规、规定的内容,参照《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号)和《信息安全技术 个人信息安全规范》(GB/T 35273-2020,以下简称"《个人信息安全规范》")等规定和国家标准,切实开展小程序个人信息合规工作。
要点三 划定三十九种常见类型App的基本功能服务和必要个人信息范围
《规定》第三条明确了"必要个人信息"的定义,即"保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务",该定义与《个人信息安全规范》第5.2a)条规定的"收集的个人信息的类型应与实现产品或服务的业务功能有直接关联;直接关联是指没有上述个人信息的参与,产品或服务的功能无法实现"的精神保持一致。
《规定》第五条划定了三十九种常见类型App的基本功能服务和必要个人信息范围。从其划分方式可以看出,划分的逻辑为先界定"基本功能服务",再划定"必要个人信息"包含哪几项信息。对于界定"基本功能服务"的方法,《规定》并没有明确,可供参照的划分方法为《个人信息安全规范》附录C中第C.2条"区分基本业务功能和扩展业务功能"的规定。
要点四 不适用《规定》的特殊情形
《规定》第二条第一款明确"移动智能终端上运行的App存在收集用户个人信息行为的,应当遵守本规定。法律、行政法规、部门规章和规范性文件另有规定的,依照其规定",也就是说不适用《规定》的特殊情形为"法律、行政法规、部门规章和规范性文件另有规定的"。
《个人信息保护法(草案)》第十三条[2]将处理个人信息的合法性基础从"同意"扩展到了六种情形,其中与《规定》相关的主要是第二种情形"为订立或者履行个人作为一方当事人的合同所必需"和第三种情形"为履行法定职责或者法定义务所必需"。
洪延青博士在其文章《对<常见类型移动互联网应用程序必要个人信息范围规定>的两点理解》中指出"《规定》对应的正是《个人信息保护法(草案)》第13条中的‘履行个人作为一方当事人的合同所必需’。基本逻辑为——某项功能服务是用户所需要的,即用户作为一方当事人,与企业之间签订了合同;那么为了履行这个合同,企业必需的个人信息,就是《规定》中所称的必要个人信息。《规定》实际上为后续《个人信息保护法》的落地,提前针对‘履行个人作为一方当事人的合同所必需’做出了细化规则。"[3]
我们赞同洪博士的观点,并在此基础上,结合不适用《规定》的特殊情形进一步思考:"法律、行政法规、部门规章和规范性文件另有规定"是否为后续《个人信息保护法》的落地涉及的"为履行法定职责或者法定义务所必需"进行了提前衔接,防止出现法律适用之间的冲突?换句话说,在后续《个人信息保护法》落地后,如果是为履行法定职责或者法定义务所必需,收集个人信息是否可以不受限于《规定》的内容?
以手机银行类App及《反洗钱法》相关规定为例:
《规定》第五条第二十四项划定了手机银行类App的基本功能服务和必要个人信息范围[4],《反洗钱法》第三章专章规定了"金融机构反洗钱义务",其中第十九条第一款要求"金融机构应当按照规定建立客户身份资料和交易记录保存制度"。为了履行《反洗钱法》规定的"金融机构反洗钱义务",银行需要留存客户通过手机银行交易的交易记录,但此类交易记录并不在《规定》第五条第二十四项划定的必要个人信息范围之内。
为了解决这个潜在的矛盾,在手机银行类App项下,为履行法律规定的反洗钱义务需要收集的用户个人信息,根据《规定》第二条第一款的规定,即"移动智能终端上运行的App存在收集用户个人信息行为的,应当遵守本规定。法律、行政法规、部门规章和规范性文件另有规定的,依照其规定",似乎可直接指向适用后续正式出台的《个人信息保护法》,且进一步指向适用《反洗钱法》的相关规定。而在提供基本功能服务时,手机银行类App需要收集个人信息的,依然适用《规定》第五条第二十四项。我们理解这样的法律适用路径可能更符合立法的本意以及防止出现法律适用之间的冲突。当然,这只是我们对《规定》的初步理解和思考,是否准确还有待监管部门的进一步解释和观望后续《个人信息保护法》的正式规定。
此外,还有一种基于现行有效法律的论证思路可以供大家参考。我们还是以上面举例的银行履行"金融机构反洗钱义务"来分析,根据《规定》第二条第一款的规定,直接指向适用《民法典》第一千零三十五条的规定"处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外",具体来说就是适用这里的"法律、行政法规另有规定的除外",然后进一步指向适用《反洗钱法》,进而可以收集用户在手机银行的交易记录用于履行反洗钱义务。
要点五 违反《规定》的法律责任
《规定》第六条明确"任何组织和个人发现违反本规定行为的,可以向相关部门举报。相关部门收到举报后,应当依法予以处理",虽限于位阶原因无法直接规定法律责任,但其实质指向了《网络安全法》第十四条[5]、第四十一条和违反第四十一条的法律责任即第六十四条第一款的规定[6],法律风险主要为行政责任,具体主要包括责令改正、警告、没收违法所得、罚款、责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
第二部分 常见误区梳理
误区一 非基本功能服务可以随意收集用户个人信息
《规定》明确了"不得因用户不同意收集非必要个人信息,而拒绝用户使用App基本功能服务",并界定了常见类型App的基本功能服务和必要个人信息范围,意味着常见类型App的基本功能服务收集的必要信息范围之外的信息以及非基本功能服务收集的个人信息均为非必要个人信息,在现行有效的以同意为主要合法性基础的法律框架下,要想收集使用该等个人信息均需要获得用户的同意,而且还需要受制于必要性原则的约束。
对于非基本功能服务,根据前述《网络安全法》第四十一条的规定,其首先不得收集与服务无关的个人信息;其次,参照前述《规定》第四条,可以尝试划分非基本功能服务的必要信息,如果用户不同意提供某项非基本功能服务的必要信息,App运营者可以拒绝提供该项非基本功能服务,但不能影响用户使用基本功能服务和其他非基本功能服务。
对此,可能会有人有疑问,如何划分非基本功能服务的必要信息?《规定》未作出相应规定,但我们理解,《规定》对基本功能服务必要信息的划分可予以参照。比如,某App其基本功能服务为网络支付,其非基本功能服务还包括网络借贷、投资理财,该App需要依据《规定》第五条第五项对必要信息的规定来界定其必要信息范围,而其网络借贷、投资理财两项功能服务可以分别参照《规定》第五条第十二项、第二十三项划定必要信息范围。
误区二 《规定》列明的常见类型之外的App可以随意收集用户个人信息
有人会认为,《规定》仅在第五条列明了三十九种常见类型App的基本功能服务和必要个人信息范围,这三十九种之外的App没有具体的细化限制,可以随意收集用户个人信息。这样的想法是不可取的,首先,《网络安全法》等相关法律法规对收集个人信息必要性的规定是通用的,不限于这三十九种App;其次,App的类型较多,全部划分其基本功能服务和必要个人信息范围比较困难,而且可能还会不断有新类型的App出现,因此《规定》划定三十九种常见的App,一方面将常见类型App进行了明确的规制;另一方面,对于三十九种之外的App,这三十九种App的规定具有很好的参照意义,宜参照相近类型App的相应规定,审视现有业务收集的个人信息是否属于必要个人信息以及拒绝提供该等个人信息的影响是否经得住必要性原则的考验。
结语
《规定》的快速出台,拉开了2021年专门针对个人信息保护领域的监管规定出台的帷幕,也为后续《个人信息保护法》的出台进行了"预热"。建议企业抓紧利用《规定》生效前这一个多月的时间,结合《规定》的具体要求,积极有效开展个人信息合规工作,以更好地迎接《规定》的生效。
[注]