App数据合规中的“最少必要”原则

摘要：本文讨论了数据合规中的APP收集个人信息适用的最少必要原则，对APP收集的个人信息类型及是否属于隐私进行了比较；根据国家标准和规范性文件的要求，对实践中APP收集个人信息时如何适用最少必要原则提供指引清单。

一、 概述

智能移动设备上的各类移动应用（APP，mobile applications）已经成为人们生活和工作不可或缺的一部分，特别是在疫情期间出行受限，衣、食、行、购物等生活需求甚至办公等工作需求也主要依赖各类App。据网信办的统计 ，截至2019年底，我国国内市场上监测到的APP数量为367万款，人们基本上足不出户就可以处理生活工作中的大部分事情。用户在安装、使用App时都会发现APP请求授权取得对设备的相应权限，并请求获取相关个人资料等信息。App取得权限后获得的信息，许多都是用户的个人信息和隐私。APP用户和APP运营者，都面临着如何处理APP收集、使用个人信息的数据合规问题。

根据中国信通院2019年12月发布的《移动应用（App）数据安全与个人信息保护白皮书》，APP已超过网站成为主要的流量入口，人均安装APP数量接近60个。因此也带来诸多安全问题，特别是收集个人信息不合规的情况在增加（见下图，来源为中国信通院前述2019白皮书）。

 

 

人民网调查显示 ，在受访者遇到的APP个人信息保护问题中，最多的是默认勾选问题，占64.69%。工信部2019年底通报41款APP存在违规收集、使用个人信息、不合理索取用户权限、为用户账号注销设置障碍等问题。2020年1月，新华社报道，国家计算机病毒应急处理中心监测发现，24款违法、违规有害移动应用存在隐私不合规行为，违反《网络安全法》相关规定，涉嫌超范围采集个人隐私信息。

互联网发展的早期，还没有个人信息、数据合规的概念，个人信息的内容在国外是按照隐私权来保护的，例如较为流行的“人肉搜索”就涉及隐私保护问题。到了移动互联网时代，基于法律监管、技术和商业的多重原因，个人信息和数据合规成为了一个新兴的领域，与传统的隐私权即有区别，也有一定的联系，即个人信息与隐私既有交集，也有不同。

根据《网络安全法》《民法总则》和《民法典（草案）》对个人信息的定义，以及信息安全技术的国家标准（GB/T 35273—2017《信息安全技术 个人信息安全规范》等相关规范性文件对个人信息的界定，个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。个人的照片、音视频数据、家庭、社会关系等也应当属于个人信息的范畴。国家标准《信息安全技术--移动互联网应用（App）收集个人信息基本规范》（征求意见稿）对具体类型的APP收集的必要个人信息进一步细化。

 

 

可见，个人信息和隐私不同，但有很多的交叉重叠。从民法总则和民法典草案的规定来看，个人信息的权属归个人信息主体，而非收集、存储个人信息的APP运营者。运营者收集、存储个人信息付出了努力和成本，对收集存储个人信息而形成的数据集合可以在去标识化、匿名化之后进行合理的商业利用，但不得侵犯个人信息主体的权利，需要用户明示同意的手续一项都不能少，且不能因商业利用个人信息数据集合而对用户进行滋扰等行为。

APP运营商通过收集个人信息和用户的使用习惯、浏览历史记录等信息，可以自动综合整理出用户的个人全貌。通过人工智能、算法优化等技术手段，收集、汇聚、分析个人信息，APP能够对特定个人的特征，如习惯、喜好、信用、教育、健康等方面作出分析，形成其个人特征模型，对用户进行全方位地画像（portrait profiling），用户的个人信息和隐私对APP运营者基本透明。而过度收集个人信息背后的商业目的在于，通过多维度的用户画像，能够尽可能达到精准营销的目的。

二、 关于“最少必要”原则

《网络安全法》第四十一条规定收集个人信息应当符合合法、正当和必要的原则，不得收集与业务无关的个人信息。民法典草案亦规定，不得过度收集、处理个人信息，个人信息的处理包括个人信息的使用、加工、传输、提供、公开等。实践中应当做到，在满足实现APP功能所必需的个人信息的数量、种类应尽可能少，自动采集个人信息的频率也应当尽可能小，不以欺骗、误导或者强迫等方式收集个人信息，也不得超出目的范围收集个人信息，即在够用的基础上不收集其他非必要的个人信息。这就是通常所称的“最小够用”原则，或者“最少必要”原则（minimum and necessary）。

个人信息收集的最少必要原则是运营者在收集个人信息时的法定义务，不能通过用户协议或隐私政策中的格式条款对这个原则进行排除，更不能在收集个人信息时超越此原则的限度。2019年八九月间，火爆一时的ZAO换脸APP，就因存在过度收集不必要的个人信息和要求取得不必要的权限等情形，甚至要求用户将肖像权永久免费许可给运营者，被工信部约谈，要求整改。

还有一部分个人信息可能并非实现APP功能所必需，但是政府部门强制性规定要求用户必需提供该等个人信息，APP运营者才能为用户提供服务。例如，需要实名制认证的业务，包括金融、电信、网络社交媒体等。网络社交媒体的用户不提交实名信息，并不影响APP功能的正常使用，但相关法规要求用户账号必须后台实名 。

三、 规范APP收集个人信息的细则

目前对个人信息的监管、保护和执法并无单一的法律法规，而是散见于若干法律法规和国家标准中，也没有一个统一的监管执法部门。根据法律的授权，目前对个人信息的日常监管和执法涉及多个部门。网信办负责内容管控，公安部门负责网络空间的治安秩序，工信部侧重于网络技术监管，市场监管部门负责标准制定和消费者权益保护等。

2019年11月，前述四部门的办公厅联合印发《App违法违规收集使用个人信息行为认定方法》（国信办秘字〔2019〕191号），对几类违法行为（“未公开收集使用规则”、“未明示收集使用个人信息的目的、方式和范围”、“未经用户同意收集使用个人信息”、“违反必要原则，收集与其提供的服务无关的个人信息”、“未经同意向他人提供个人信息”、“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”）进行了细化。就该规定，我们按照最少必要原则，整理出APP收集、处理个人信息的基本要求：

1. 个人信息收集规则应单独成文，在隐私政策和用户协议中向用户明示收集、使用、存储、共享、删除个人信息的规则。收集规则应提供中文版本，用语应浅显易懂，文本的字体、颜色、大小、间距等应易于阅读，避免模糊不清，用户可以方便地访问隐私政策（用户点击次数少于4次，易于寻找）。隐私政策可以参考GB/T 35273—2017《信息安全技术 个人信息安全规范》附录的模板，结合APP运营的具体情况拟定。
2. 首次运行APP时、隐私政策更新时或者APP功能调整导致收集个人信息的范围、方式、目的等变化的，应以明示的方式提醒用户，简述《隐私政策》内容和更新、提供详细隐私政策链接、明示隐私政策的访问路径。
3. 隐私政策应当以用户阅读后勾选作为明示的同意，不设置缺省的用户默示同意选项。收集、使用个人敏感信息 的，应额外进行特别提示收集目的、用途和方式。
4. 收集的个人信息、打开的权限是法规强制性要求或者实现APP主要功能所必需，且与现有业务功能相关。
5. 收集非必要的个人信息的范围、目的等，不要求用户一次性同意打开多个可收集个人信息的权限，或者与必要的个人信息的授权捆绑要求用户一并勾选同意。用户未一揽子同意的，不能禁止用户使用。
6. 需收集的个人信息应按照功能、使用目的逐一单项列出收集的范围，供用户逐一勾选授权。同时，应向用户提供便捷的撤回授权的路径、方式。
7. 对于法规强制性要求提供但非APP功能必须的个人信息，运营者应妥善存储，仅在国家有关部门要求提供时配合提供，一般不用于商业目的；如果需要进行精准化营销、大数据分析，应该进行匿名化处理后使用。
8. 除法规的强制性要求外，对实现APP个别功能才需要的个人信息和权限，用户未提供或者未授权，应让用户能够正常使用APP的其他功能，不得影响用户的使用体验。
9. 在用户同意前不收集个人信息或打开可收集个人信息的权限，实际收集的个人信息或打开的可收集个人信息权限与用户授权范围保持一致。用户明确表示不同意后，不收集个人信息，也不打开可收集个人信息的权限，不要频繁征求用户同意，干扰用户正常使用。在App更新时不能自动将用户设置的权限恢复到默认状态。
10. APP应为个人信息主体提供简单直观的退出或关闭个性化推送、展示模式的选项，易访问、易操作，通常可在设置中提供个性化选项。利用用户个人信息和算法定向推送信息，应提供非定向推送信息的选项供用户选择同意、授权。
11. App新增业务功能申请收集的个人信息超出用户原有同意范围，若用户不同意，不能拒绝提供原有业务功能。但如果新增业务功能整体取代原有业务功能的，则不受前述约束。
12. 收集个人信息的频度适度，与业务功能实际需要相匹配。不以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，强制要求用户同意收集个人信息。
13. 清晰告知账号注销途径，便于用户操作，不为账户注销设置不合理障碍。账号注销功能应真实有效，不应存在功能无效、死链、跳转到其他未知页面等现象。统一账号注销，可分别提供统一账号下特定服务注销和统一账号注销的功能，可同时对用户提供注销统一账号下特定服务及永久注销统一账号的服务，供用户灵活选择。
14. 除法规要求、业务必须或者用户明确同意外，避免将收集的个人信息存储到后台。在用户要求删除时，除法规强制性要求的保存期限，应完全彻底地从APP及平台后台同步删除或者匿名化处理，且从技术上也不能恢复用户数据（包括备份）。运营者应在承诺时限（不超过15个工作日）内响应个人信息主体的权利请求 。

有些情况下，不同的APP平台之间为了方便用户，可以互相使用不同平台的用户名账号密码登录。用户选择使用其在其他平台的账户密码登录，是否默认为用户授权平台可以共享用户个人信息呢？我们理解，即便用户选择用第三方APP平台的账户密码登录，也不意味着其默认授权向其他APP平台共享或者提供个人信息，包括用户名密码在内的用户个人信息仍然应当获得用户明确的同意和授权，否则可以理解为用户仅对使用第三方APP平台的用户名密码登录其他APP平台的一次性授权而非多次的或者持续的授权。与此相联系的是，如果两个APP平台互相允许使用对方平台的账号密码登录，除平台间协议外，应分别获得对方用户的明示授权，提供个人信息收集规则，供用户逐一勾选授权。

四、 对APP收集个人信息的最少必要原则在国家标准草案中的细化

全国信息安全标准化技术委员会已经就推荐性国家标准《信息安全技术--移动互联网应用（App）收集个人信息基本规范（征求意见稿）》分别在2019年8月和2020年1月发布两版草案。2020年的最新版草案在旧版草案提及的16类APP的基础上增加了14类与生活密切相关的APP类型，包括二手车交易、运动健身、网页浏览器、输入法、安全管理、旅游服务、酒店服务、网络游戏、在线影音、儿童教育、电子图书、拍摄美化、应用商店、网络直播等热门的APP类别。

下文择要介绍新版草案对几类常见、热门的APP收集个人信息规定的最少必要原则的具体体现。相对于现有法规、国家标准等规范性文件，新版草案在一般性要求中明确了：

1. 除用于保障网络安全或运营安全的APP外，App运营者不得收集不可变更的设备唯一标识（如IMEI号、MAC地址等）。
2.  App运营者应向个人信息主体提供实时查询已从该个人信息主体所收集个人信息类型的途径；查询结果应通过在App开设独立界面的方式展示，且查询方式应易于操作。通过间接方式收集个人信息的，亦应遵守前述要求。
3. 在技术可行且不影响终端和服务正常的情况下，App运营者应优先在个人信息主体的智能移动终端中存储、使用所收集的个人信息。也就是说，除非在技术上是必须，或者法律法规、政府部门有强制性要求（例如数据存储、备份等），APP运营者应避免在后台服务器存储、使用个人信息。例如，如果用户同意APP取得通讯录权限，除非用户额外同意，APP应当避免将用户通讯录复制存储到后台服务器端。
4. 在App运营者使用第三方代码或插件满足其特定功能时，如该第三方代码或插件具备个人信息收集功能且个人信息主体无法拒绝的，App运营者应确保第三方代码或插件履行个人信息安全保护义务，并防止第三方代码或插件收集无关的个人信息；第三方插件、代码侵犯了用户的个人信息的，由APP运营者承担责任，但第三方插件、代码自行向个人信息主体明示其收集、使用个人信息的目的、方式、范围，并征得个人信息主体的授权同意的除外。

具体到APP分类，由于功能、用途等不同，不同类别的APP在收集个人信息时的对最小必要的要求是不同的，例如：

1) 对于位置权限，一般仅对地图导航、网络约车、餐饮外卖、运动健身APP是必需，对其他类别的APP非必需。其他类别的APP获取用户位置信息需要特别的授权。酒店服务、旅游服务取得位置权限也仅可以用于向用户展示位置附近的旅游信息、住宿信息。
2) 读取设备状态权限，对网络支付、即时通讯、安全管理、拍摄美化、应用商店、短视频、网络直播是必需。
3) 通话记录权限、短信权限，仅对安全管理APP是必需。
4) 提供实名认证信息是网络社区、新闻资讯、网上购物、金融借贷、交通票务、婚恋相亲、求职招聘、房屋租售、二手车交易、旅游服务、酒店服务、网络约车、短视频、网络直播等必需。短视频等APP收集实名信息仅限于对有信息发布功能的用户。
5) 摄像头和麦克风权限一般对即时通讯、短视频、网络直播等是必需。
6) 照片、视频权限仅对拍摄美化APP是必需。
7) 收集IMEI信息仅对网络支付APP是必需。
8) 收集第三方支付信息，对网络游戏、网上购物、金融借贷、交通票务、旅游服务、酒店服务、网络约车是必需。

五、 律师建议

1. 在APP收集个人信息的问题上，企业的经营应建立在遵守法律和商业惯例认可的一般原则的基石上，即诚信经营，在收集、存储、使用个人信息时将企业和APP的行为自我约束到合理、必要的边界内，具体体现即本文讨论的最少必要原则。
2. 指定数据合规负责人（或者数据保护官DPO，Data Protection Officer），可以是内部员工（全职或者兼职，取决于公司的规模），也可以是外聘的信息安全技术专家和法律专家。
3. 企业定期进行自我评估APP收集个人信息的规则的合规性，加强自律和内部管理， 自查自纠；也可以与第三方具备资质的机构进行App 个人信息合规的检测评估和个人信息安全认证工作，做到心中有数，降低、避免被投诉、约谈和APP下架的风险。

《民法典（草案）》规定，隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。个人信息中的私密信息，适用隐私权保护的有关规定。通常，隐私属于个人敏感信息。下表粗略列举一些个人信息和隐私要素的属性比较：