(网经社讯)App违规收集个人信息乱象有望得到扭转。国家互联网 信息办公室、工业和信息化部、公安部、国家市场监督管理总局日前联合印发《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称《规定》)(详见全文:http://www.100ec.cn/detail--6587739.html),明确 移动互联网应用程序(App)运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用App基本功能服务。(详见网经社【专题】国家网信办等四部门联合发布:APP收集个人信息不得越“底线”)
四部门明确39类常见APP必要个人信息范围
随着移动互联网快速发展,各类应用程序迅速普及应用,在促进经济社会发展、服务民生等方面发挥了重要作用。但同时,App超范围收集用户个人信息问题十分突出。特别是大量App通过捆绑功能服务一揽子索取个人信息授权,用户拒绝授权就无法使用App基本功能服务,变相强制用户授权。为聚焦解决App超范围收集个人信息问题,规范收集个人信息活动,国家互联网信息办公室会同工业和信息化部、公安部、国家市场监督管理总局联合制定实施该《规定》。
《规定》明确了地图导航、网络约车、即时通信、网络购物等39类常见类型移动应用程序必要个人信息范围,要求其运营者不得因用户不同意提供非必要个人信息,而拒绝用户使用App基本功能服务。
《规定》明确,App包括移动智能终端预置、下载安装的应用软件,基于应用软件开放平台接口开发的、用户无需安装即可使用的小程序。必要个人信息,是指保障 App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务。具体是指消费侧用户个人信息,不包括服务供给侧用户个人信息。
此外,《规定》还明确了无须个人信息,即可使用基本功能服务的App类型。比如网络直播类App的基本功能服务为“向公众持续提供实时视频、音频、图文等形 式信息浏览服务”,无须个人信息,即可使用基本功能服务;在线影音类App的基本功能服务为“影视、音乐搜索和播放”,无须个人信息,即可使用基本功能服 务;新闻资讯类App的基本功能服务为“新闻资讯的浏览、搜索”,无须个人信息,即可使用基本功能服务;安全管理类App的基本功能服务为“查杀病毒、清 理恶意插件、修复漏洞等”,无须个人信息,即可使用基本功能服务;实用工具类App的基本功能服务为“日历、天气、词典翻译、计算器、遥控器、手电筒、指 南针、时钟闹钟、文件传输、文件管理、壁纸铃声、截图录屏、录音、文档处理、智能家居助手、星座性格测试等”,无须个人信息,即可使用基本功能服务等。
对此,网经社电子商务研究中心特约研究员、浙江垦丁律师事务所褚霞律师提到,除了移动智能终端的应用软件,《规定》明确了小程序属于“APP”的范围,小程序运营者同样需要遵循依法规范收集用户个人信息。明确界定了必要个人信息“是指保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务。”进一步从实务上的理解,则可以理解为用户向APP提供的个人信息是为了订立或履行双方合同的客观必要,该类信息属于“必要个人信息”。同时,该规定还明确了39类常见类型APP的基本功能服务和必要个人信息。
(网经社注:图为褚霞律师)
褚霞说道,该《规定》明确,APP不得因为用户不同意提供非必要个人信息而拒绝用户使用其基本功能服务。比如根据《规定》,地图导航类的APP基本功能服务为“定位和导航”,必要个人信息为“位置信息、出发地、到达地”,如果超出了前述必要个人信息的范围就属于非必要个人信息,APP不能因为用户不提供该类非必要信息而拒绝为用户提供“定位和导航”服务。同时,该规定也明确了必要个人信息具体是指“消费侧用户个人信息,不包括服务供给侧用户个人信息”。比如以滴滴为例,其用户版本即消费侧,而司机版本则是供给侧理解为若用户属于终端消费者,则该用户个人信息即为消费侧用户个人信息。
成本低 监管缺失是APP侵犯个人信息原因之一
近年来,信息泄露事件屡屡发生,而App过度索要授权是个人信息泄露的导火索之一。2020年,工信部App 侵害用户权益专项整治行动纵深推进,截至2020年12月,已经对52万款App进行了技术检测工作,责令1571款违规App进行整改,公开通报了 500款App,下架120款整改不到位及拒不整改的App。在此,网经社(100EC.CN)通过第三方视角初步统计工信部2020年七批APP侵权情况通报进行梳理。(具体详见网经社专题http://www.100ec.cn/zt/wgapp/)
“用户个人信息泄露,不仅仅是我们每个个体用户的问题,甚至已经成为全球问题。”网经社电子商务研究中心特约研究员、上海正策律师事务所律师董毅智曾表示,用户个人信息泄露,一方面是由于平台自身在用户信息安全上的不足,导致客户信息外泄,这是平台投入和技术能力不足造成的。每个平台都应该将用户信息安全提高作为最高的使命,甚至是服务的最终极目标之一。
而在去年,工信部向社会通报了七批存在侵害用户权益行为APP企业的名单。在此前7批次存在问题的应用软件名单中,涉及电商网购类APP有:良品铺子、有赞精选、百果园、链淘、醒购、唯代购、红布林、别样海外购、衣邦人、海淘免税店、微店、美丽说、海淘免税店、当当、店小铺商家、哎呦有型、折800、蜜源、淘券吧、寺库奢侈品等。
移动出行类APP有:e代驾、叮嗒出行、东风出行、T3出行、悟空租车、快狗打车、蜜蜂出行、租租车、惠租车、摩范出行、盼达用车、熊猫出行等。
在线教育类APP有:网易公开课、智慧树、ClassIn、TutorABC、纳米盒、乐学高考、洋葱学院、小盒家长、小盒学生、乐教乐学、彩云小译、优路教育、冀教学习、学宝、简单课堂等。
互联网医疗类APP有:1药网、好医生、新氧医美、39互联网医院等。
艺术品拍卖类APP有:玩物得志、微拍堂鉴宝版、天天鉴宝等。
汽车电商类APP有:瓜子二手车、易车、团油等。
互联网招聘类APP有:店长直聘、速聘58赶集网招聘等。
互联网金融类APP有:小鹅花钱、加油宝、还呗、借钱花吧、轻松筹等。
长租公寓类APP有:青客租房、蛋壳公寓、蚂蚁短租、贝壳网等。
婚恋交友平台类APP有:世纪佳缘、玫瑰约会同城交友、约单等。
此外,在线旅游平台去哪儿网,网络货运平台快狗打车,互联网健身平台步多多,互联网家装土巴兔装修等均被点名。
网经社电子商务研究中心法律权益部助理分析师方熠智认为,首先,犯罪成本低、定罪和监管力度不够导致了侵犯个人信息的行为屡禁不止;其次,从行为本身来看,侵犯个人信息往往只需要在网络上略加操作,便可达成交易获利,违法行为的简易性以及高回报率也使得该现象难以根治。
同时,网经社电子商务研究中心特约研究员、浙江垦丁律师事务所褚霞律师也表示,需求与供给是相对应的,侵犯个人信息的行为也是基于市场需求的。互联网的双边效应和前端免费后端收费的模式,在一定程度上促使了侵犯个人信息行为的发生。虽然在逐步完善过程中的法律体系以及多方参与治理,使得侵犯个人信息的行为在近年来得到了有效控制。但基于现实情境的多样化和我国互联网快速发展的现状,难免仍有侵犯个人信息的行为仍在持续。此外,公民对个人信息的保护意识逐渐从“没有感知”、“不在意”到“愈加重视”,并积极依法维权。比如人脸识别案件等案件,都为公民依法保护其个人信息不受侵犯提供了良好的范例。
附:
国信办秘字〔2021〕14号
关于印发《常见类型移动互联网应用程序必要个人信息范围规定》的通知
各省、自治区、直辖市及新疆生产建设兵团网信办、通信管理局、公安厅(局)、市场监管局(厅、委):
为贯彻落实《中华人民共和国网络安全法》关于“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则”“网络运营者不得收集与其提供的服务无关的个人信息”等规定,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合制定了《常见类型移动互联网应用程序必要个人信息范围规定》,明确移动互联网应用程序(App)运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用App基本功能服务。
现将《常见类型移动互联网应用程序必要个人信息范围规定》印发给你们,请指导督促本地区App运营者抓紧落实,并加强监督检查,及时调查、处理违法违规收集使用个人信息行为,切实维护公民在网络空间的合法权益。
特此通知。
国家互联网信息办公室秘书局
工业和信息化部办公厅
公安部办公厅
国家市场监督管理总局办公厅
2021年3月12日
常见类型移动互联网应用程序必要个人信息范围规定
第一条 为了规范移动互联网应用程序(App)收集个人信息行为,保障公民个人信息安全,根据《中华人民共和国网络安全法》,制定本规定。
第二条 移动智能终端上运行的App存在收集用户个人信息行为的,应当遵守本规定。法律、行政法规、部门规章和规范性文件另有规定的,依照其规定。
App包括移动智能终端预置、下载安装的应用软件,基于应用软件开放平台接口开发的、用户无需安装即可使用的小程序。
第三条 本规定所称必要个人信息,是指保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务。具体是指消费侧用户个人信息,不包括服务供给侧用户个人信息。
第四条 App不得因为用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务。
第五条 常见类型App的必要个人信息范围:
(一)地图导航类,基本功能服务为“定位和导航”,必要个人信息为:位置信息、出发地、到达地。
(二)网络约车类,基本功能服务为“网络预约出租汽车服务、巡游出租汽车电召服务”,必要个人信息包括:
1.注册用户移动电话号码;
2.乘车人出发地、到达地、位置信息、行踪轨迹;
3.支付时间、支付金额、支付渠道等支付信息(网络预约出租汽车服务)。
(三)即时通信类,基本功能服务为“提供文字、图片、语音、视频等网络即时通信服务”,必要个人信息包括:
1.注册用户移动电话号码;
2.账号信息:账号、即时通信联系人账号列表。
(四)网络社区类,基本功能服务为“博客、论坛、社区等话题讨论、信息分享和关注互动”,必要个人信息为:注册用户移动电话号码。
(五)网络支付类,基本功能服务为“网络支付、提现、转账等功能”,必要个人信息包括:
1.注册用户移动电话号码;
2.注册用户姓名、证件类型和号码、证件有效期限、银行卡号码。
(六)网上购物类,基本功能服务为“购买商品”,必要个人信息包括:
1.注册用户移动电话号码;
2.收货人姓名(名称)、地址、联系电话;
3.支付时间、支付金额、支付渠道等支付信息。
(七)餐饮外卖类,基本功能服务为“餐饮购买及外送”,必要个人信息包括:
1.注册用户移动电话号码;
2.收货人姓名(名称)、地址、联系电话;
3.支付时间、支付金额、支付渠道等支付信息。
(八)邮件快件寄递类,基本功能服务为“信件、包裹、印刷品等物品寄递服务”,必要个人信息包括:
1.寄件人姓名、证件类型和号码等身份信息;
2.寄件人地址、联系电话;
3.收件人姓名(名称)、地址、联系电话;
4.寄递物品的名称、性质、数量。
(九)交通票务类,基本功能服务为“交通相关的票务服务及行程管理(如票务购买、改签、退票、行程管理等)”,必要个人信息包括:
1.注册用户移动电话号码;
2.旅客姓名、证件类型和号码、旅客类型。旅客类型通常包括儿童、成人、学生等;
3.旅客出发地、目的地、出发时间、车次/船次/航班号、席别/舱位等级、座位号(如有)、车牌号及车牌颜色(ETC服务);
4.支付时间、支付金额、支付渠道等支付信息。
(十)婚恋相亲类,基本功能服务为“婚恋相亲”,必要个人信息包括:
1.注册用户移动电话号码;
2.婚恋相亲人的性别、年龄、婚姻状况。
(十一)求职招聘类,基本功能服务为“求职招聘信息交换”,必要个人信息包括:
1.注册用户移动电话号码;
2.求职者提供的简历。
(十二)网络借贷类,基本功能服务为“通过互联网平台实现的用于消费、日常生产经营周转等的个人申贷服务”,必要个人信息包括:
1.注册用户移动电话号码;
2.借款人姓名、证件类型和号码、证件有效期限、银行卡号码。
(十三)房屋租售类,基本功能服务为“个人房源信息发布、房屋出租或买卖”,必要个人信息包括:
1.注册用户移动电话号码;
2.房源基本信息:房屋地址、面积/户型、期望售价或租金。
(十四)二手车交易类,基本功能服务为“二手车买卖信息交换”,必要个人信息包括:
1.注册用户移动电话号码;
2.购买方姓名、证件类型和号码;
3.出售方姓名、证件类型和号码、车辆行驶证号、车辆识别号码。
(十五)问诊挂号类,基本功能服务为“在线咨询问诊、预约挂号”,必要个人信息包括:
1.注册用户移动电话号码;
2.挂号时需提供患者姓名、证件类型和号码、预约挂号的医院和科室;
3.问诊时需提供病情描述。
(十六)旅游服务类,基本功能服务为“旅游服务产品信息的发布与订购”,必要个人信息包括:
1.注册用户移动电话号码;
2.出行人旅游目的地、旅游时间;
3.出行人姓名、证件类型和号码、联系方式。
(十七)酒店服务类,基本功能服务为“酒店预订”,必要个人信息包括:
1.注册用户移动电话号码;
2.住宿人姓名和联系方式、入住和退房时间、入住酒店名称。
(十八)网络游戏类,基本功能服务为“提供网络游戏产品和服务”,必要个人信息为:注册用户移动电话号码。
(十九)学习教育类,基本功能服务为“在线辅导、网络课堂等”,必要个人信息为:注册用户移动电话号码。
(二十)本地生活类,基本功能服务为“家政维修、家居装修、二手闲置物品交易等日常生活服务”,必要个人信息为:注册用户移动电话号码。
(二十一)女性健康类,基本功能服务为“女性经期管理、备孕育儿、美容美体等健康管理服务”,无须个人信息,即可使用基本功能服务。
(二十二)用车服务类,基本功能服务为“共享单车、共享汽车、租赁汽车等服务”,必要个人信息包括:
1.注册用户移动电话号码;
2.使用共享汽车、租赁汽车服务用户的证件类型和号码,驾驶证件信息;
3.支付时间、支付金额、支付渠道等支付信息;
4.使用共享单车、分时租赁汽车服务用户的位置信息。
(二十三)投资理财类,基本功能服务为“股票、期货、基金、债券等相关投资理财服务”,必要个人信息包括:
1.注册用户移动电话号码;
2.投资理财用户姓名、证件类型和号码、证件有效期限、证件影印件;
3.投资理财用户资金账户、银行卡号码或支付账号。
(二十四)手机银行类,基本功能服务为“通过手机等移动智能终端设备进行银行账户管理、信息查询、转账汇款等服务”,必要个人信息包括:
1.注册用户移动电话号码;
2.用户姓名、证件类型和号码、证件有效期限、证件影印件、银行卡号码、银行预留移动电话号码;
3.转账时需提供收款人姓名、银行卡号码、开户银行信息。
(二十五)邮箱云盘类,基本功能服务为“邮箱、云盘等”,必要个人信息为:注册用户移动电话号码。
(二十六)远程会议类,基本功能服务为“通过网络提供音频或视频会议”,必要个人信息为:注册用户移动电话号码。
(二十七)网络直播类,基本功能服务为“向公众持续提供实时视频、音频、图文等形式信息浏览服务”,无须个人信息,即可使用基本功能服务。
(二十八)在线影音类,基本功能服务为“影视、音乐搜索和播放”,无须个人信息,即可使用基本功能服务。
(二十九)短视频类,基本功能服务为“不超过一定时长的视频搜索、播放”,无须个人信息,即可使用基本功能服务。
(三十)新闻资讯类,基本功能服务为“新闻资讯的浏览、搜索”,无须个人信息,即可使用基本功能服务。
(三十一)运动健身类,基本功能服务为“运动健身训练”,无须个人信息,即可使用基本功能服务。
(三十二)浏览器类,基本功能服务为“浏览互联网信息资源”,无须个人信息,即可使用基本功能服务。
(三十三)输入法类,基本功能服务为“文字、符号等输入”,无须个人信息,即可使用基本功能服务。
(三十四)安全管理类,基本功能服务为“查杀病毒、清理恶意插件、修复漏洞等”,无须个人信息,即可使用基本功能服务。
(三十五)电子图书类,基本功能服务为“电子图书搜索、阅读”,无须个人信息,即可使用基本功能服务。
(三十六)拍摄美化类,基本功能服务为“拍摄、美颜、滤镜等”,无须个人信息,即可使用基本功能服务。
(三十七)应用商店类,基本功能服务为“App搜索、下载”,无须个人信息,即可使用基本功能服务。
(三十八)实用工具类,基本功能服务为“日历、天气、词典翻译、计算器、遥控器、手电筒、指南针、时钟闹钟、文件传输、文件管理、壁纸铃声、截图录屏、录音、文档处理、智能家居助手、星座性格测试等”,无须个人信息,即可使用基本功能服务。
(三十九)演出票务类,基本功能服务为“演出购票”,必要个人信息包括:
1.注册用户移动电话号码;
2.观演场次、座位号(如有);
3.支付时间、支付金额、支付渠道等支付信息。
第六条 任何组织和个人发现违反本规定行为的,可以向相关部门举报。
相关部门收到举报后,应当依法予以处理。
第七条 本规定自2021年5月1日起施行。