按「最小必要」原則 規範APP個人信息收集

　　引子：

　　日前，為規範APP個人信息收集行為，保障公民個人信息安全，國家網際網路信息辦公室研究起草了《常見類型移動網際網路應用程式（APP）必要個人信息範圍（徵求意見稿）》。其中，不僅對地圖導航、網絡約車、即時通信等38類常見類型APP必要個人信息範圍進行了明確規定。而且還對必要個人信息做出了界定。同時要求，只要用戶同意收集必要個人信息，APP不得拒絕用戶安裝使用。

　　■主持人：王 玥

　　嘉 賓：和靜鈞（西南政法大學政治與

　　公共管理學院副教授）

　　段禮樂（深圳大學法學院講師）

　　張繼生（深圳市律師協會風險管理

　　法律專業委員會委員）

　　「不同意採集個人信息就無法安裝APP」是與我國法治精神背道而馳的壟斷商業條款

　　主持人：「不同意採集個人信息就無法安裝APP」，您如何看待數據時代的「霸王條款」？

　　和靜鈞：移動網際網路應用程式（APP）使用合約，是在數字通訊條件下雙方信息高度不對稱、技術能力高度不對等的基礎上締結的格式契約，雖有契約之名，雙方並無實質協商，是典型的「霸王條款」，APP方擁有支配地位，存在超範圍收集、窺探他人個人信息的誘因和動機。由於公民個人信息安全是國家安全的重要組成部分，移動網際網路數據是網絡空間時代的重要地緣戰略資源，APP方任意侵犯他人個人信息權的行為，不僅僅只是私法範圍內的合同權利義務之爭，還是關係著公共安全的大是大非問題，需要公權力即工信部介入，才能解決好APP「霸王條款」存在的問題。

　　段禮樂：移動互聯時代，「霸王條款」的表現更加隱蔽，APP提供者利用消費者的認知不足，以事先勾選、默示同意、頁面摺疊等方式誤導消費者向經營者授權獲取其個人信息，侵害消費者的知情權和自主選擇權。APP提供者故意隱藏特定和關鍵信息、複雜化獲取特定和關鍵信息的路徑，移動端屏幕太小導致消費者存在閱讀障礙，電子化的信息呈現方式導致消費者難以準確接收、理解經營者提供的信息，成為「霸王條款」新的表現形式。

　　張繼生：「不同意採集個人信息就無法安裝APP」是與我國法治精神背道而馳的壟斷商業條款。我國《憲法》《民法典》等基本法律均對於個人隱私有全面明確的法律保障。從網絡安全的角度看，使用個人信息，應當遵循合法、正當、必要的原則，這個是收集個人信息的底線和基礎。 「不同意採集個人信息就無法安裝APP」的「霸王條款」肆意收集超出其提供服務範圍的個人信息，明顯違反了上述法律規定，應予以規範及懲戒；從保護個人權益的角度看，「不同意採集個人信息就無法安裝APP」的「霸王條款」，容易洩露用戶個人的上網瀏覽信息、購買商品信息、個人身份信息等，侵犯了用戶的隱私權和信息受保護的權利。同時，用戶信息洩露，也給不法分子以可乘之機，容易發生網絡詐騙、電信詐騙等，嚴重危害用戶的財產安全。

　　《徵求意見稿》最大的亮點就是確立了「最小必要」原則

　　主持人：您認為《徵求意見稿》的亮點有哪些？

　　段禮樂：《民法典》《消費者權益保護法》《網絡安全法》規定了個人信息保護制度，但難以遏止對個人信息的侵害，制度的配套規定有待完善。《網絡安全法》第二十二條規定，「網絡產品、服務具有收集用戶信息功能的，其提供者應當向用戶明示並取得同意。」《徵求意見稿》可以看做是對該條規定的細化，增強制度的可操作性；《徵求意見稿》包括38類常見APP，基本覆蓋各類用戶粘性較強的生活消費場景，具有很強的制度針對性。

　　和靜鈞：《徵求意見稿》最大的亮點就是確立了「最小必要」原則，把這一原則從契約性原則上升為法定原則，一方面體現了APP與個人信息之間的關聯性，允許合理採集必要的個人信息；另一方面給APP劃定了紅線，超出合理、必要範圍的採集和窺探個人信息如通訊錄等，必將受侵權行為法的追究責任與網際網路管理法的行政制裁，甚至有可能觸犯刑法。「最小必要」原則是善意原則，要求APP方應奉行「勤勉原則」和履行「照顧義務」，以符合於專業精神的合理安排判斷個人信息採集的範圍、管理及守密等，這一強制和法定義務的確立，有助於扭轉和平衡雙方契約地位，朝更有約束力和公正的契約精神邁進。

　　張繼生：《徵求意見稿》最大亮點是針對與個人日常生活密切相關APP，對於收集個人信息按照最小必要原則做了詳細明確的指引。亮點主要體現在以下幾個方面：從立法體系來看，《徵求意見稿》是落實《中華人民共和國網絡安全法》關於個人信息收集合法、正當、必要的原則體現，以正面清單形式來規範APP個人信息收集行為，保障公民個人信息安全的具體舉措。從立法的規範對象來看，《徵求意見稿》明確規範的對象是與個人日常生活密切相關的38類場景的APP。明確只要用戶同意收集必要個人信息，APP不得拒絕用戶安裝使用，這個強制性規定，是《徵求意見稿》最大的亮點所在，打擊了APP的霸王壟斷行為。

　　個人信息保護中，應注意新領域、新問題、新動向

　　主持人：對於保護個人信息，您還有何好建議？

　　張繼生：從立法層面方面，本次《徵求意見稿》是從個人信息「採集端」出發，進行的「必要性」審查，但在後續具體舉措的立法上，還需要從「提供端」出發，進行更進一步的規範；從規範主體方面，運營者需要加強數據合規，嚴格遵守《中華人民共和國網絡安全法》等法律法規。從執法層面方面，對於不履行《徵求意見稿》相關規定、不遵守個人信息收集使用規則等的任何個人和組織，需要與其他配套法律法規進行銜接，並對違反規定的行為要有對應的法律處罰措施。

　　段禮樂：第一，明確知情同意規則的制度內涵和表現形式，禁止經營者利用消費者的認知不足，以事先勾選、默示同意、頁面摺疊、層層嵌套等方式侵害消費者的自主選擇權，同時要求經營者在履行告知義務時，通過加黑字體、下劃線等方式提示消費者注意特定和關鍵信息；第二，在個人信息侵權案件中，實行舉證責任倒置，降低消費者的維權成本；第三，建立個人信息洩露的源頭追溯制度，非法收集、使用、洩露、出售、傳播等鏈條上的任何一個違法主體如果能夠主動承認違法行為並提供信息來源的，可以根據情況減輕或免除處罰；第四，在個人信息保護中引入懲罰性賠償制度，提高懲罰性賠償的倍率並設置最低的賠償限額，提高消費者維權的積極性。

　　和靜鈞：「最小必要」原則的確立雖然非常重要，但原則的確立到原則的貫徹，還需要一個標準化、細則化、具體化、量化等一系列物化行為。應加快這些後續工作的跟進，要出臺時間表，並按期更新指引，這樣才能把這一原則真正落實下來。其次，個人信息保護中，應注意新領域、新問題、新動向，如人臉識別，APP方會堅持人臉識別是屬於「最小必要」範圍，但人臉識別信息具備與其他個人信息不一樣的特性，並且屬於稀有資源和不可再生資源，屬於國家信息安全中最為核心的個人身份信息。因此，應出臺針對人臉識別的法律法規，不可把人臉識別私有化、私法化。除人臉識別之外，其他身份信息，如個人基因信息、指紋信息等，也應該嚴格限制APP方採集這方面的身份信息。