APP商业应用中个人信息保护的最小必要原则 | 耀时原创

APP商业应用中个人信息保护的最小必要原则 | 耀时原创

赵佳 缪冬辰 

《个人信息保护法》施行已经一周年之际，最高检及各地方人民法院发布“个人信息保护”典型案例汇编，对一年来个人信息保护成果进行回顾。同时，国家网信办依据《个人信息保护法》、《App违法违规收集使用个人信息行为认定方法》等法律法规规定，依法集中查处了135款违法违规App。据通报显示，这些被查处的App普遍存在“强制索要非必要权限”、“频繁索要非必要权限”等一揽子授权或超越履约之必要的情形，严重违反个人信息保护的最小必要原则。

PART1——何为最小必要原则？实务中应当如何界定或应按照何种标准来遵循最小必要原则？

在《个人信息保护法》出台以前，《消费者权益保护法》、《网络安全法》、《民法典》等法律法规及相关国家标准、行业标准均对收集用户个人信息进行了规制，“合法、必要、正当”已然成为收集处理个人信息的基本原则。《个人信息保护法》出台以后，也在第五条明确规定了处理个人信息应当遵循合法、正当、必要和诚信原则。但实务中发现，个人信息处理违规的高频情形主要集中于违反必要性原则，尤其在个人信息的收集环节更是侵害用户权益的重灾区。《个人信息保护法》第六条明确规定，处理个人信息应当具有明确、合理的目的，采取对个人权益影响最小的方式。应当限于实现处理目的的最小范围，不得过度收集个人信息。该条中“对个人权益影响最小”、“应当限于实现处理目的的最小范围”可以认为是对个人信息收集范围所应遵循“最小必要原则”的一种认定。

PART2——“最小必要原则”在具体App中的内容体现

自2019年全国App治理工作全面开展以来，监管机构始终将最小必要原则作为治理工作的重点。2021年3月，国家网信办、工信部、公安部、市场监管局四部门联合制定了《常见类型移动互联网应用程序必要个人信息范围规定》（以下简称：规定），对39种常见类型的App收集个人信息的必要性范围作出了明确规定。典型如：

1、地图导航类app，其基本功能服务为“定位和导航”，因此其必要个人信息为：位置信息、出发地、到达地。

2、餐饮外卖类app的基本功能服务为“餐饮购买及外送”，因此其必要个人信息为：注册用户移动电话号码；收货人姓名、地址、电话；支付时间、支付金额、支付渠道等支付信息。

3、对于像词典翻译、手电筒、日历、天气等实用工具类的App，则无需个人信息即可使用其基本功能。但生活中常见一些实用工具类的App要求用户授权除其基本功能以外的诸如手机备忘录、相册等用户个人信息，如果未获授权，则无法正常启用该工具类App。对于此种情况，规定第四条明确，App不得因为用户不同意提供非必要个人信息，而拒绝用户使用其基本功能服务。《个人信息保护法》第十六条也规定，个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外。

因此，除了基于业务需求和实现特定业务场景所必要的业务索取外，App不得收集除实现其基本功能之外的客户个人信息。

PART3——“最小必要原则”的收集频率

除了对个人信息收集范围有所规定之外，“最小必要原则”也对个人信息收集的频率有所限制。正如本文开头所述国家网信办所查处的App中，有80款App被责令限期整改，其中有很大一部分系因为存在“频繁索要非必要权限”的情况。那么“最小必要原则”对个人信息的收集频率又有何种规定呢？

2021年4月19日，全国信息安全标准化技术委员会秘书处发布了《信息安全技术、移动互联网应用程序（APP）个人信息安全测评规范（征求意见稿）》（以下简称：规范），规范文末对不同场景下App收集个人信息的频率给出了具体参考。比如，对“添加特定通讯录好友”这一个人信息进行收集时，规范给出的合理频率是“用户主动触发时读取特定条目1次”；对各类人脸识别应用场景中的人脸信息收集，规范给出的参考是“用户主动触发时读取”；而像地图导航、位置追踪等实时定位场景下，收集地理位置的合理频率是持续读取（每秒1次）。

总结下来，“最小必要原则”对App个人信息收集频率的合规认定主要基于两点：一是基于App的基本功能看收集的个人信息类型，二是看具体的业务场景，最终将收集的个人信息类型结合具体业务场景两者结合起来进行综合分析。

PART4——“最小必要原则”的索取频率

如果说最小必要原则对收集频率的限制是为了防止App运营商对个人信息违规收集的话，那对索取频率的相应规定却是保护个人信息以免被过度索取。2020年9月18日，全国信息安全标准化技术委员会秘书处发布了《网络安全标准实践指南—移动互联网应用程序（App）个人信息保护常见问题及处置指南》（以下简称：指南），指南第2.4.2条d）款对索取频率过于频繁的情形作了量化解释，指南规定：如用户明确拒绝App业务功能所需权限，App不应频繁申请系统权限干扰用户正常使用，除非由用户主动触发功能，且没有该权限参与此业务功能无法实现；“频繁”的形式包括但不限于：1)单个场景在用户拒绝权限后，48小时内弹窗提示用户打开系统权限的次数超过1次；2)每次重新打开App或使用某一业务功能时，都会向用户索要或提示用户缺少相关系统权限。

PART5——结语     

数字信息的行业发展不得忽视用户个人信息保护，只有当行业的发展利益与个人利益实现平衡，才能够提高用户对信息处理者的信任度，促进数字行业的健康发展。在个人信息保护的监管态势逐步深化的当下，数据运营者更需要密切关注个人信息保护相关立法及实践的发展动态，将数据合规的思维以及最小必要原则充分融入数据处理的全周期中。