网络直播、短视频、新闻资讯等12类App无需个人信息即可使用基本功能服务。地图导航类收集的必要个人信息仅为位置信息……对于App超范围、强制收集用户个人信息这一备受关注的问题,网信办拟以清单的方式进行立规。
根据网信办12月1日发布的《常见类型移动互联网应用程序(App)必要个人信息范围》公开征求意见(下称“征求意见稿”),对38类常见类型App的基本服务功能和必要个人信息范围作出了界定,例如网约车、导航类App需要收集定位信息,即时通信、网购类App需要收集用户注册电话等信息。
对此,新京报贝壳财经记者对52款不同类别的App测试发现,薄荷健康、keep、黄油相机和起点读书还需要社交账号信息或者手机号注册,否则无法使用。
实测
4款App或越界,薄荷健康强制索要手机号
一直以来,App存在“不给权限不让用”的问题。对此,征求意见稿规定,只要用户同意收集必要个人信息,App不得拒绝用户安装使用。而“必要个人信息”的概念是指保障App基本功能正常运行所必须的个人信息,缺少该信息App无法提供基本功能服务。
对此,有监管层人士告诉贝壳财经记者,这意味着用户只要同意App收集这些信息,即便不同意其他权限,App也必须允许用户安装使用并提供服务;反过来,若用户不同意收集这些必要信息,App则可以不提供服务。
12月2日,贝壳财经记者对征求意见稿规定的38类App中随机挑选主流的52款进行测试,结果显示市面上主流App中,有4款App或存在越界行为,分别为薄荷健康、keep、黄油相机和起点读书,分属“运动健身类”、“拍摄美化类”和“电子图书类”。需要指出的是,征求意见稿规定,在线影音、短视频、新闻资讯、运动健身、拍摄美化等12类App无须个人信息即可使用基本功能服务。也就是说,这12类App在无须注册的情况下,应允许用户使用基本功能服务。
测试中,新京报贝壳财经记者使用华为手机与苹果手机同时进行测试发现,keep、黄油相机和起点读书必须通过微信、微博等社交账号注册或手机号注册(可跳过),而薄荷健康虽然可通过社交账号注册,但即便注册了社交账号,也无法跳过手机号注册步骤,否则就无法使用基本功能。
其中,首次安装薄荷健康时,该App除强制要求用户进行手机注册外,在注册成功后还必须完善性别、身高、出生日期、体重等个人信息,否则就无法使用基本功能。
此外,kindle阅读App的情况在安卓与苹果端不一致:使用苹果手机下载该App后,若不进行手机号或邮箱注册无法使用,但使用华为手机下载该App则不要求必须注册。
“微信、微博等社交账号也属于个人信息。”北京师范大学网络法治国际中心执行主任、博导、中国互联网协会研究中心秘书长吴沈括对贝壳财经记者表示,“这实际上涉及App的数据共享问题,有的是与微信等有数据协议,有的则是数据抓取的方式。”
新规
为38类App“画圈”,有助理清合法采集范围
除了规定必要个人信息外,征求意见稿也对38类App的基本功能服务作出了明确界定。其中,对于即时通信、网络支付、餐饮外卖、交通票务、婚恋相亲等24类App,用户使用基本功能服务需提供手机号或其他真实身份信息(App提供者提供多种选项,由用户选择其一),完成注册。
此外,还有两类App虽然不用注册就能使用基本功能服务,但需要用户提交其他个人信息,如地图导航类的基本功能是定位和导航,必须提供位置信息;快递物流类App的基本功能服务是提供包裹、印刷品等物品的快递寄收件服务,所需要的必要个人信息包括寄件人真实姓名、地址、联系电话和收件人姓名、地址、联系电话。
贝壳财经记者发现,一些App在基本功能上有所交叉,对此如何界定App分类或是未来需要注意的方向之一。如根据征求意见稿,“女性健康类”App获取用户移动电话号码属于“必要个人信息”,而薄荷健康除运动课程外,也有健康管理,其中包括女性健康,因此该App若划分至“女性健康类”分类下,则可以索取用户电话号码。
除网信办外,工信部也出台了多项标准规范。工信部信息通信管理局副局长鲁春丛此前在回复新京报贝壳财经记者提问时称,在标准制定方面,工信部发布了《电信和互联网服务用户个人信息保护定义及分类》等6项行业标准,推动完成2项国家标准和7项行业标准立项。组织行业力量,推动《APP用户权益保护测评规范》及《APP收集使用个人信息最小必要评估规范》系列标准的制定工作。“目前,27项团体标准已制定完成,并正式向社会发布。”
有监管层人士向记者表示,目前工信部、网信办等部门的监管举措频出,其逻辑是数据必须支撑为用户服务的目的。贝壳财经记者注意到,这并非是监管部门第一次对App收集信息的范围作出界定,2019年6月,全国信息安全标准化技术委员会秘书处发布的技术文件《网络安全实践指南》中也对App满足基本业务功能时需要收集的个人信息范围给出了界定。而对于此次网信办出台的征求意见稿,有专家称是对此前《网络安全实践指南》的一次更新。
上述监管层人士表示,此次网信办发布的征求意见稿此后可能会成为规范性文件,“征求意见稿若获得通过,此前发布的《网络安全实践指南》自然就会成为过去时,应以征求意见稿内容为标准。”
对此,吴沈括对贝壳财经记者表示,目前App数据治理中的数据权限问题在《网络安全保护法》、《民法典》等都有相近的立法思路,但在实操时因为场景多样,哪些属于必要权限,哪些属于非必要权限存在落地的困惑,急需操作规范的指引,征求意见稿的出台有助于理清哪些属于合法采集的范围,对于企业的合规、用户的权益保障、维权、监管和更进一步的司法裁断衡量都有很好的参考意义。