聚焦解决App超范围收集个人信息问题,四部门联合出手!
中国网信网3月22日发布公告称,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称《规定》),自2021年5月1日起施行。
《规定》划定了网络支付、网络借贷类、投资理财、手机银行等39种常见类型App的必要个人信息范围,并明确移动互联网应用程序(App)运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用App基本功能服务。
据了解,此次《规定》的出台,旨在落实《中华人民共和国网络安全法》关于个人信息收集合法、正当、必要的原则,规范移动互联网应用程序(App)个人信息收集行为,保障公民个人信息安全。
聚焦解决个人信息超范围收集
移动互联网快速发展下,种类繁多的应用程序也顺势普及,在促进社会经济发展与服务民生方面发挥了重要作用。然而,App超范围收集用户个人信息的问题也日益突出。
“特别是大量App通过捆绑功能服务一揽子索取个人信息授权,用户拒绝授权就无法使用App基本功能服务,变相强制用户授权。”官方公告中称,为聚焦解决App超范围收集个人信息问题,规范收集个人信息活动,四部门联合制定实施该《规定》。
《规定》明确,App不得因为用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务,同时划定了包括地图导航、网络约车、即时通信、网络支付、网络借贷类、投资理财、手机银行等39种常见类型App的必要个人信息范围。
值得一提的是,此次《规定》中,有不少是针对金融领域的移动互联网应用程序进行的个人信息收取范围规范。
例如,投资理财类,《规定》明确,App基本功能服务为“股票、期货、基金、债券等相关投资理财服务”,必要个人信息包括:注册用户移动电话号码;投资理财用户姓名、证件类型和号码、证件有效期限、证件影印件;投资理财用户资金账户、银行卡号码或支付账号。
手机银行类的App,其基本功能服务被明确为“通过手机等移动智能终端设备进行银行账户管理、信息查询、转账汇款等服务”,必要个人信息包括:注册用户移动电话号码;用户姓名、证件类型和号码、证件有效期限、证件影印件、银行卡号码、银行预留移动电话号码;转账时需提供收款人姓名、银行卡号码、开户银行信息。
同时,网络借贷类App也在被规范之列,《规定》明确,其基本功能服务为“通过互联网平台实现的用于消费、日常生产经营周转等的个人申贷服务”,必要个人信息包括:注册用户移动电话号码;借款人姓名、证件类型和号码、证件有效期限、银行卡号码。
另外,《规定》指出,网络直播类、在线影音类、短视频类、新闻资讯类、运动健身类、浏览器类、输入法类、安全管理类、电子图书类、拍摄美化类、应用商店类、实用工具类、女性健康类等13类App无须个人信息,即可使用基本功能服务。
四部门提出,各省、自治区、直辖市及新疆生产建设兵团网信办、通信管理局、公安厅(局)、市场监管局(厅、委)指导督促本地区App运营者抓紧落实《规定》要求,加强监督检查,及时调查、处理违法违规收集使用个人信息行为,切实维护公民在网络空间的合法权益。
个人信息保护之风徐徐吹
自去年以来,监管层多次针对个人信息保护和数据安全发声。
去年7月份,四部门就启动了App违法违规收集使用个人信息治理工作,半年内便印发了此次《规定》的征求意见稿,彼时,该文件对38类常见类型App必要个人信息范围作出明确规定,极大限制App私自收集用户大量信息的行为。
中国银保监会主席郭树清在2020年新加坡金融科技节上演讲时,一度强调金融数据安全问题。央行科技司司长李伟也在去年6月份第十二届陆家嘴论坛上表示,金融科技的创新首先要高度重视个人隐私的保护,也包括个人金融信息的保护,把数据安全作为发展金融科技的一个底线和红线。
券商中国记者通过梳理2020年以来涉及个人信息保护与数据安全领域的政策发现,在法律、部门规章、规范性文件和行业标准规则层面,有近18例文件相继出台。从文件发布主体来看,全国人大、国家互联网信息办公室、工业和信息化部、公安部、国家安全部、中国人民银行和中国银保监会均有参与。
在立法层面,去年5月28日,十三届全国人大三次会议表决通过《民法典》,其中明确了自然人的个人信息受法律保护,同时也界定个人信息的定义以及处理的原则和条件等条例。同年10月份,《个人信息保护法(草案)》也首度公开,对个人信息保护的责任落实以及健全个人信息处理规则进行明确。
就在本月19日,国家互联网信息办副主任杨小伟在国新办发布会上表示,目前正在加紧制定出台《数据安全法》、《个人信息保护法》,从而在法律层面为数据安全和个人隐私保护提供法律保障。
金融机构合规难度可能增加
央视2021年“3·15”晚会曝光了多家门店利用摄像头获取人脸信息的案例,这也再度引发了公众对于个人信息安全的讨论与担忧。
不过,随着数据安全与个人信息保护逐步被提上立法议程,各家金融机构从合作平台和用户处获取数据或将被监管高度关注,合规难度可能增加。
国家金融与发展实验室副主任曾刚券商中国记者表示,未来对数据权属的明确,或将对整个金融体系的数据中后台建设带来根本性影响,金融机构的数字化路径可能发生改变。
有法律人士告诉券商中国记者,用户牺牲个人的一些隐私去换取可享受的消费服务多半可能是被迫的。“自然人并没有主动愿意牺牲个人隐私去换取享受的便利,很多时候是被动的。”他进一步表示,这也是立法导向的结果。“从立法角度而言,目前国内的法律体系在保护个人隐私方面不够完善、力度不够大。”
近两年来,许多国家及地区陆续出台了数据保护及安全领域的相关规则条例,例如,欧盟通用数据保护条例(GDPR)、加州消费者隐私法(CCPA)、新加坡个人信息保密条款(PDPA)和日本个人信息保护法(PIPA)等。
基于此,跨国企业不得不将数据安全与个人信息保护纳入合规考量。有相关领域法律人士向券商中国记者表示,在《数据安全法(草案)》发布之前,中国尚没有一部明确的法律可以实现域外管辖,但在这方面欧美已经走在了前面,“我国如果没有相关立法,国内的企业在面对境外执法机构的一些要求和处罚时就会比较弱势。”
某支付机构国际业务部人士告诉券商中国记者,由于现在全球对个人信息安全保护的关注程度越来越大,该公司业务层面也特别重视个人信息保护以及数据安全的操作规范,比如寻求国际认定的标准以降低业务风险,而与国际客户进行业务合作的时候,也要进行认证互关。