收集個人信息應(yīng)嚴格遵循必要原則
2021-06-23 15:28:51
來源:法治日報——法制網(wǎng)
作者:
-標準+
□ 程 嘯
不久前����,國家網(wǎng)信辦發(fā)布了33款A(yù)pp違法違規(guī)收集使用個人信息情況的通報。此次被通報的App主要涉及輸入法類����、地圖導(dǎo)航類、即時通信類�����。從違法情形看�,主要是涉事App違反必要原則���,收集與其提供的服務(wù)無關(guān)的個人信息����。
必要原則是個人信息保護相關(guān)法律法規(guī)中的一項重要的基本原則����。這是因為,在網(wǎng)絡(luò)信息科技高度發(fā)達的現(xiàn)代社會中��,個人信息的收集����、存儲�����、加工�����、使用等處理行為�����,很容易對自然人的人格尊嚴�����、隱私權(quán)和人身財產(chǎn)安全造成難以預(yù)測的危險和損害����。因此�,為了防患于未然,法律上要求對個人信息的收集����、使用等行為必須遵循必要原則,即對個人信息的處理應(yīng)當限定在為了實現(xiàn)處理目的所必要的范圍內(nèi),并且采取對個人權(quán)益影響最小的方式進行����。
比如,就互聯(lián)網(wǎng)企業(yè)而言�,其在收集個人信息時,所收集的個人信息必須是實現(xiàn)其產(chǎn)品或服務(wù)基本業(yè)務(wù)功能所必需的���,即如果不收集這些個人信息����,那么產(chǎn)品或服務(wù)的基本業(yè)務(wù)功能就無法實現(xiàn)�。也就是說�����,如果不需要收集任何個人信息或者收集少數(shù)的一些個人信息�����,也完全可以實現(xiàn)基本業(yè)務(wù)功能的����,處理者就不能收集或者不能多收集個人信息。否則,處理者的行為就是違法的����。
對于哪些個人信息是必要的個人信息,目前國家已有一些規(guī)定��。例如�,2021年3月,國家網(wǎng)信辦秘書局�����、工信部辦公廳����、公安部辦公廳、國家市場監(jiān)管總局辦公廳聯(lián)合印發(fā)的《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》就明確指出����,對于App而言,所謂必要個人信息就是指保障App基本功能服務(wù)正常運行所必需的個人信息�����,缺少該信息App即無法實現(xiàn)基本功能服務(wù)����。同時�����,該規(guī)定針對目前我國App市場上最為常見的39類App的基本功能����,以及為實現(xiàn)該基本功能所需的必要的個人信息的范圍作出了明確列舉����。以本次國家網(wǎng)信辦通報的違反必要原則收集個人信息的輸入法類App為例,其基本功能服務(wù)就是“文字��、符號等輸入”��。要實現(xiàn)這一基本功能��,完全不需要任何個人信息就可以做到��。然而�����,本次查處的多款輸入法App��,如訊飛輸入法����、搜狗輸入法、QQ輸入法����,卻完全無視必要原則,過度收集個人信息�����,這種行為顯然是違法的���。國家網(wǎng)信部門責(zé)令其下架��,要求App運營者依法整改����,對于防止過度收集個人信息�����,保護個人信息權(quán)益���,是非常必要的���。
我國個人信息保護的相關(guān)立法歷來都非常明確地將必要原則作為個人信息處理的一項基本原則��,要求企業(yè)等組織或個人在收集�、使用個人信息時必須予以遵循���。2012年頒布的全國人大常委會關(guān)于加強網(wǎng)絡(luò)信息保護的決定明確指出�����,網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位在業(yè)務(wù)活動中收集���、使用公民個人電子信息時,應(yīng)當遵循合法���、正當���、必要的原則。2016年頒布的網(wǎng)絡(luò)安全法再次重申�,網(wǎng)絡(luò)運營者收集���、使用個人信息�����,應(yīng)當遵循合法���、正當����、必要的原則�。今年1月1日起施行的民法典亦明確規(guī)定,處理個人信息的��,應(yīng)當遵循合法����、正當、必要原則���,不得過度處理����。
當前���,我國正在起草個人信息保護法�����,個人信息保護法(草案二次審議稿)(以下簡稱《二審稿》)不僅在第一章“一般規(guī)定”中明確了必要原則是個人信息處理的基本原則���,還結(jié)合具體的個人信息處理行為��,就必要原則的貫徹落實作出了更細致的規(guī)定���。首先,《二審稿》明確要求處理個人信息應(yīng)當具有明確��、合理的目的���,并應(yīng)當限于實現(xiàn)處理目的所必要的最小范圍�����、采取對個人權(quán)益影響最小的方式�,不得進行與處理目的無關(guān)的個人信息處理�。其次,就個人信息的保存,《二審稿》要求保存期限應(yīng)當限制在為實現(xiàn)處理目的所必要的最短時間�,除非法律行政法規(guī)另有規(guī)定����。再次,《二審稿》要求���,個人信息處理者具有特定的目的和充分的必要性�����,方可處理敏感個人信息��,且必須將必要性向個人加以告知���。最后,當個人信息對于實現(xiàn)處理目的而言����,不再必要時,處理者應(yīng)當主動刪除該個人信息�。《二審稿》目前雖然尚未通過�����,但可以由此看出立法層面試圖為用戶織就嚴密個人信息保護網(wǎng)的價值取向。
個人信息保護一直是世界各國高度關(guān)注的問題�,而要更好地保護個人信息,就必須真正貫徹落實必要原則���,對于那些違反必要原則�,過度收集個人信息的行為���,國家網(wǎng)信部門應(yīng)當依法進行查處并予以處罰�����。只有這樣才能從源頭預(yù)防各類違法違規(guī)處理個人信息的行為��,有效保護用戶個人信息權(quán)益����,促進數(shù)字經(jīng)濟健康發(fā)展���。
(作者系清華大學(xué)法學(xué)院副院長���、教授)
編輯:李曉慧
審核:
法治號
