最近,全国信息安全标准化技术委员会发布《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》(以下简称《规范》),对包括地图导航、即时通讯社交、网络约车、网络支付等16类手机应用基本业务功能正常运行所收集的个人信息类目作出了指导。
《网络安全法》第四十一条提出,“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则”,《规范》在对北京大学、中国电子技术标准化研究院在内的学术研究单位,以及华为、腾讯、百度、支付宝、抖音在内的互联网App运营单位进行技术咨询后,对“必要原则”进行了具体界定。
App超范围收集、强制授权、过度索权带来的个人信息安全问题日益凸显。今年中国消费者协会公布的数据显示,App采集个人信息导致的投诉成为了新热点,多款流行App存在过度收集信息的行为。
信息时代,数据就是财富,信息就是资源。一些商业App运营者可以利用大数据技术分析用户行为与习惯,从善意角度出发,这些分析结果可以帮助App改进服务,但滥用用户信息,甚至出卖用户信息,无异于玩弄消费者于股掌之间。App运营者能够借助技术优势,站在相对于消费者的强势地位,这对消费者权益产生了威胁,相关部门有必要约束App对信息的采集行为,帮助消费者守住自己数据隐私的口袋。
所谓“必要原则”不难理解——在开展基础业务时,非收集不可的信息就是“必要信息”,用户若不提供这些信息就不能获得基础服务。但如此简单的原则难以遵守,因为所谓“必要”的判定受到运营者主观认识影响较大,在利益面前,一些App运营商往往难以坚守常识底线,滥用技术强势地位。《规范》征询了大量学者与业者的意见与建议,代表了国内App运营与个人信息保护方面的权威意见,尽可能消除了“必要”一词的模糊性。
同时,《规范》也对“非必要信息”的收集做出了严格规定,肯定部分App为了改进服务而有限收集额外个人信息的做法,但要求收集“非必要信息”必须征得用户同意,并“去标签化”,即App运营者不能将信息与具体个人建立连接。
《规范》充当App运营“边裁”的角色,限制了犯规动作,也保护了场上的“运动员”。App运营者无论是在开发还是在维护应用时,都能够从《规范》中获得收集个人信息的指导建议,从而免于触碰法律红线,带来监管风险。如今,中国的互联网应用大量“出海”,一些应用广受境外用户青睐,强化“必要原则”的应用,能够提高App的公信力和竞争力。
规范“索权”,要求App权责相称,可助个人信息免于“出界”风险,扎紧个人信息安全的篱笆。
(责任编辑:李焱)