12月1日,国家互联网信息办公室对外发布《常见类型移动互联网应用程序(App)必要个人信息范围(征求意见稿)》(下称“征求意见稿”),对38类常见类型App的基本服务功能和必要个人信息范围作出界定。
隐私护卫队注意到,此次的征求意见稿由国家网信办发布,与此前出台的国家标准和实践指南相比,将具有更高的法律效力。
据了解,当前国内在架App总量超过350万款。这些App在服务民生、方便用户的同时,也大量存在“超范围收集个人信息、不给权限不让用”等问题。
为落实网络安全法关于个人信息收集合法、正当、必要的原则,规范App个人信息收集行为,国家网信办研究起草征求意见稿,对38类常用App的基本功能服务和必要个人信息作出规范,涉及地图导航类、网络约车类、即时通信类、房屋租赁类、网络借贷类等。
所谓必要个人信息,是指保障App基本功能正常运行所必须的个人信息,即缺少该信息则App无法提供基本功能服务。去年6月,信安标委发布的《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》规定,基本业务功能是指满足个人信息主体选择使用App的最主要需求和根本期待的业务或功能。
针对38类App的基本功能服务,征求意见稿给出明确界定,比如地图导航类App的基本功能服务是定位和导航,即时通信类App的基本功能服务是提供文字、图片、语音、视频等即时通信服务,在线影音类App的基本功能服务是提供不超过一定时长的视频搜索、播放服务。
隐私护卫队梳理发现,征求意见稿规定,在线影音、短视频、新闻资讯、运动健身、拍摄美化等12类App,无须个人信息即可(让用户)使用基本功能服务。也就是说,这些App在无须注册的情况下,应允许用户使用基本功能服务。
而对于即时通信、网络支付、餐饮外卖、交通票务、婚恋相亲等24类App,用户使用基本功能服务需提供手机号或其他真实身份信息,完成注册。征求意见稿建议,App应提供多种选项供用户选择。
此外,还有两类App虽然不用注册就能使用基本功能服务,但需要用户提交其他个人信息。比如快递物流类App的基本功能服务是提供包裹、印刷品等物品的快递寄收件服务,所需要的必要个人信息包括寄件人真实姓名、地址、联系电话和收件人姓名、地址、联系电话。
一直以来,App存在的"不给权限不让用"的问题比较严重。具体表现为:当App在安装和运行过程中向用户索取与当前服务场景无关的权限时,用户拒绝授权则App退出或关闭。
征求意见稿明确,用户同意收集必要个人信息,App则不得拒绝用户安装使用。
文/南都个人信息保护研究中心研究员 尤一炜