哪怕仅就App而言,个人资讯保护也是一个系统工程。 (视觉中国/图)
(本文首发于2019年6月20日《南方周末》)
日前,全国资讯保安标准化技术委员会发布《网络安全实践指南——移动互联网应用基本业务功能必要资讯规范》。其最大的特色是,依据个人资讯最少够用原则,以基本业务功能划分了16类App,给出了与每类业务功能相关的必要资讯范围,即一旦缺少会导致基本功能无法实现或无法正常执行的资讯。这是对行业不正之风动真格,有望极大改善个人资讯与隐私保护。
想必不少人遇见过这样的情况:随便一款App,都敢向使用者索要访问通讯录、读取简讯与读取通话记录的许可权;某些热门App,店大欺客,你不给它想要的个人资讯就安装或使用不了,而这些资讯与其业务功能一毛钱关系都没有。尤其是适用安卓机的各类App,超范围收集、强制授权与过度索取等是一个值得关切的现象。
在上述规范通过后,有媒体在2019年6月10-17日使用安卓系统华为手机进行测试,发现在被测试的50款App中,仍有24款App索取许可权超出规范。
2016年网络安全法第41条规定:网络运营者收集、使用个人资讯,应当遵循合法、正当、必要的原则,公开收集、使用规则……并经被收集者同意;不得收集与其提供的服务无关的个人资讯。第64条规定的罚则包括没收违法所得、罚款等,情节严重的,可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
这一法律对App不法运营者有所震慑。不过,何谓“必要”,或者何谓“最少够用”,仍有待一个独立第三方来进行清晰界定。
上述规范解决了这个问题。首先,全国资讯保安标准化技术委员会是官方机构,成员包括中央网信办、工信部与公安部等部门的官员与专业人士。其次,规范界定的基本业务功能必要资讯,很清晰很具体,不厌其烦。例如,地图导航类仅为位置资讯;新闻资讯类、短视讯类App只能获取使用者关注的账号资讯,但自媒体使用者需要实名认证;即时通讯社交类,应允许使用者手动新增好友,金融借贷类,应允许使用者手动输入两位紧急联络人资讯,都不应强制读取使用者的通讯录。
上述规范既适用于App提供者“规范个人资讯搜集行为”,也适用于“主管监管部门、第三方评估机构等对于个人资讯收集行为进行监督、管理和评估”,可能还会影响网络完全法对个人资讯搜集行为合法与非法边界的认定,即会影响监管与司法实践。所以必将对App业态产生积极影响。
当然,哪怕仅就App而言,个人资讯保护也是一个系统工程。让个人资讯最少够用原则成为可操作性的规范,只是其中的一个方面。保障被搜集的个人资讯不被过度使用、非法使用与倒卖,保障个人资讯“被遗忘权”等等,也都不可或缺。
南方周末评论员
