方寸之间,以“度”为尺—个人信息处理“必要性原则”之解析与实务建议
作者:张丹 夏星悦 2022-07-283077
[摘要]近年来,因App非法获取个人信息、超范围收集个人信息、过度索权而被网信部门通报批评、要求整改甚至下架App的案例屡见不鲜,近期被国家网信办处以人民币80.26亿罚款的某互联网平台公司就涉及违法收集、过度收集个人信息,而其在去年7月4日和9日就因旗下26款打车类App存在严重违法违规收集使用个人信息问题而被国家网信办要求下架。
近年来,因App非法获取个人信息、超范围收集个人信息、过度索权而被网信部门通报批评、要求整改甚至下架App的案例屡见不鲜,近期被国家网信办处以人民币80.26亿罚款的某互联网平台公司就涉及违法收集、过度收集个人信息,而其在去年7月4日和9日就因旗下26款打车类App存在严重违法违规收集使用个人信息问题而被国家网信办要求下架。
实际上,国家对于个人信息处理活动有着较为明确的规定、要求以及所需遵循的原则,在《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《网络安全法》、《民法典》及《个人信息保护法》(下称“《个保法》”)都提及个人信息处理活动应遵循“合法、正当、必要”原则,然而仍旧有相当多的App过度索权、超范围收集个人信息。当然企业有商业利益的考量,希望在法律风险最小的范围内实现较多的商业诉求。然而由于法律法规的原则性规定,对于个人信息处理原则的理解存在偏差,无法准确评估个人信息处理行为所可能导致的法律风险。基于此,本文将首先从个人信息处理中的“必要性原则”的法律内涵解读着手,之后将进一步梳理常见类型的个人信息处理的合规要求,以帮助各位读者厘清处理个人信息的合规界限。
【第一部分】个人信息处理“必要性原则”及相关处理原则的解读
1. 个人信息处理之“必要性原则”
1.1. “必要性原则”的渊源与法律内涵
“必要性原则”源于行政法领域的“比例原则”。“比例原则”具有“适当性原则”“必要性原则”“均衡性原则”的要求。按照“比例原则”的逻辑,就个人信息处理的必要性而言,需要在合法、正当的目的下,就该目的而言作出必要的个人信息处理,不得超过合理的限度[1];在数个可实现初始目的的方式上,采用对个人信息主体权益最小的方式,若处理一般信息即可实现处理目的的,不得处理敏感信息。
在法律规定层面,早在2012年,《全国人民代表大会常务委员会关于加强网络信息保护的决定》(下称“《决定》”)首次提出个人信息处理应遵循“必要性原则”。该《决定》第二条指出:“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。”此后,个人信息处理的“必要性原则”亦出现在《消费者权益保护法》第二十九条、《网络安全法》第四十一条第(1)款、《电子商务法》第二十三条、《民法典》第一千零三十五条第(1)款以及《个保法》第五条等法律规定中。然而,纵观这些法律规定,我们会发现,这些法律均未赋予“必要性原则”明确的法律定义和具体的适用标准,需要进行解释后方可适用,因此,我们有必要梳理各相关法律规定中关于“必要性原则”的具体规定,从中提炼出一般标准。
1.2. 国内个人信息保护相关规定中“必要性原则”的具体体现与要求
如上表所示,各规定都强调不得过度收集个人信息。而这个“度”的标准是怎样的呢?我们认为,应限定在实现个人信息处理的合法、正当目的的最小范围中。此外,《个保法》与《信息安全技术 个人信息安全规范》(GB/T35273-2020)(下称“《个人信息安全规范》”)都规定了个人信息的及时删除原则,所以总结而言,“必要性原则”在个人信息处理中的具体要求主要有以下几点:
(1)收集的个人信息应具有明确、合理、具体的个人信息处理目的;
(2)个人信息处理应当与拟实现的信息处理目的直接相关。
(3)个人信息处理应当限于实现处理目的之最小范围。
(4)个人信息处理应当采取对个人权益影响最小的方式。
(5)个人信息的保存期限应当限于实现处理目的的最短期限。
以上五点要求实则暗含了三大原则,即“目的明确原则”、“最小化原则”以及“存储期限限制原则”。限于文章篇幅,我们以下将聚焦对“目的明确原则”和“最小化原则”进行解读。
2.个人信息处理之“目的明确原则”
在我国个人信息保护相关法律体系中,《个保法》首次在该法第六条中明确规定了个人信息处理应遵循“目的明确原则”。这一原则具有以下两层含义。
2.1. 目的明确、合理
“目的明确原则”要求个人信息处理者处理个人信息的目的要明确、合理,且需要及时、明确、准确地向个人信息主体披露其个人信息处理的目的。《个人信息安全规范》亦规定,不应通过捆绑产品或服务各项业务功能的方式,要求个人一次性接受并授权其未申请或使用的业务功能收集个人信息的请求。使用个人信息时,不应超出与收集个人信息时所声称的目的具有直接或合理关联的范围。值得注意的是,《个人信息安全规范》在此处运用的是“与目的直接或合理关联的范围”,而《个保法》所使用的“与目的直接相关”的表述,我们理解由于《个保法》法律层级更高,故应限缩至“与目的直接相关的范围”。
而对于目的的“合理性”要求,则强调个人信息处理者在目的合法的前提下,亦不得违反公序良俗。
2.2. 行为与目的直接相关
如上表所示,不同于欧盟GDPR所采用的“数据兼容处理(compatible processing of data)”原则[5]和美国CCPA与CPRA所采用的“目的 场景符合”的双重认定标准[6],我国《个保法》选用是更为严格的“与处理目的直接相关”原则,即没有该等个人信息的参与,产品或服务的功能就无法实现,并且在个人信息处理活动须围绕初始目的展开,在初始目的实现、初始目的无法实现或初始目的变更等情况发生时,个人信息处理者均应该采取相应措施。我国作此规定有助于个人信息主体通过预先了解个人信息的处理目的,从而判断是否允许个人信息处理者处理其个人信息,以及个人权益可能遭受侵害的风险等。
3.个人信息处理之“最小化原则”
《个保法》第六条规定除了凝聚了“目的明确原则”,还体现了“最小化原则”。“最小化原则”要求处理个人信息应当采取对个人权益影响最小的方式,并限于实现处理目的的最小范围,不得过度收集个人信息。一方面,个人信息的收集应当以必要为原则,不必要的个人信息的收集不仅会增加个人信息权益侵害风险,同时也会增加数据泄露的风险;另一方面,是否必要,还需要从处理目的能否实现的角度加以判断,只要收集的个人信息对于处理目的而言已经足够了,就不应当收集了。
3.1. 采取对个人权益影响最小方式
一般而言,个人信息越敏感其处理活动对个人权益影响越大,因而在同样可以实现处理目的的情况下,应尽可能采用收集一般个人信息的方式实现处理目的。如小区物业、办公门禁,可以使用刷卡进出的就不宜采用指纹或人脸识别的方式进出。评估个人信息的权益影响可以参考《信息安全技术 个人信息安全影响评估指南》(GB/T 39335-2020)的规定执行。
3.2. 处理个人信息限于处理目的的最小范围
根据《个人信息安全规范》第5.2条规定,收集个人信息的频率和数量均应是实现产品或服务的业务功能目的所必需。《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》(GB/T 41391-2022) (下称“《基本要求》”)第6.1条进一步规定,对于实现处理目的所必要的最小范围中“范围”的理解,应包括收集个人信息的类型、频率、数量、精度等。如在互联网借贷场景中,个人信息处理者仅需收集粗略位置信息即可完成反欺诈等风控行为,收集精准位置信息或行踪轨迹就超出了必要的范围。因此,我们理解,为达到“最小范围”要求,应确保:(1)收集个人信息,尤其是个人敏感信息,应拟实现业务功能之目的直接相关;(2)收集个人信息的数量与频率为实现目的最低;(3)若可以采用去标识化或匿名化手段,尽量使用此类消除或降低个人信息主体可识别性的方式。
【第二部分】 “必要性原则”的典型应用场景分析
如本文引言所提及,在近期的某互联网平台的巨额处罚案中,被罚主体的违法事实主要包括违法收集个人信息、过度收集个人信息、明文存储个人信息以及未向个人信息主体明确告知处理个人信息的范围、目的等。其中过度收集个人信息的违法行为占到了违法事项的二分之一以上。
1. 违法收集与过度收集个人信息的区别
顾名思义,个人信息处理者违反法律规定而收集个人信息的行为属于违法收集,我们认为,个人信息处理者未合理履行告知义务、未满足个人信息处理的合法性基础收集个人信息的属于违法收集;由于法律法规等并不能对所有个人信息处理场景均予以详细具体的规制,就产生了法律规定和处理者实际收集行为之间的间隙,个人信息处理者虽可能未违反某一具体法律条款,但依照个人信息的“必要性原则”而存在超出必要性收集个人信息的情形就属于过度收集。
2.个人信息收集满足“必要性”的评估自查
商业场景下,个人信息的收集是否违反“必要性原则”需要就具体场景予以判断,我们可通过下表进行合规自查:
备注:基本业务功能是指所提供的实现用户主要使用目的的业务功能;扩展业务功能是指所提供的基本业务功能以外的其他业务功能;必要个人信息是指基本业务功能正常运行所必需的个人信息;非必要但有关联个人信息是指与所提供服务相关但可选收集的个人信息,该类信息可由个人拒绝或撤回同意收集。无关个人信息是指与所提供服务目的无直接关联的个人信息,即没有该等个人信息的参与,不会影响任何一项业务功能的正常实现和服务质量。必要个人信息的范围可参考《常见类型移动互联网应用程序必要个人信息范围规定》或《基本要求》附录A,该规定给出了三十九类基本业务功能对应的个人信息范围,个人信息处理者要求个人提供的个人信息不应超出必要个人信息范围。
无关个人信息属于不应收集、也不应向个人征求同意的个人信息。基本业务功能和扩展业务功能收集无关个人信息均属于违法收集行为,无论是否取得了个人的同意均不影响其违法性;其次,基本业务功能和扩展业务功能收集非必要但有关联个人信息时,要根据个人信息处理的“必要性原则”的内涵和外延谨慎评估是否存在过度收集的情形,如收集的个人信息是否限于实现处理目的所必要的最小范围,是否采取了对个人权益影响最小的方式。
3. 典型个人信息处理的必要性分析
3.1. 图片信息
图片信息不仅仅可以展现图片内容信息,还可以体现图片的拍照时间、拍照设备、拍照参数、图片名称、图片位置等可关联出个人的图片信息。因而,基于图片信息的丰富性,图片信息的收集应符合“必要性原则”。
个人信息处理者收集图片信息主要通过移动智能终端的拍照或屏幕截屏功能或是通过读取、写入方式访问相册中的图片信息,无论通过何种方式获取,均应向个人信息主体逐一告知不同业务功能下收集使用图片信息的目的、方式和范围,以及图片信息存储的地域、期限、超期处理的方式,采取的技术保护措施等,并获得个人信息主体的明示同意。
根据《移动互联网应用程序(App)收集使用个人信息必要性原则评估规范第3部分:图片信息》,图片信息的收集应与业务功能场景直接相关,不应仅以改善服务质量、提升使用体验、研发新产品、增强安全性等为由强制个人信息主体同意收集跟场景无关的图片信息;当个人信息主体仅选取一张或几张图片时,非个人信息主体主动触发(如预览),个人信息处理者不应读取图片库中的其他图片信息。根据《基本要求》附录C,个人信息处理者未经个人单独同意,不应分析图片中的生物识别信息,或用于分析挖掘个人的特定身份、兴趣爱好、健康状况等。如个人信息处理者在个人信息主体分享图片时读取了图片所包含的位置信息就违反了“必要性原则”,属于过度收集。
3.2. 剪切板信息
在林某与“好购”App侵权纠纷一案中,林某认为剪贴板可以存储身份证号、手机号、照片等涉及隐私的个人信息,但“好购”App的《隐私政策》并无收集手机用户剪贴板上信息的相关说明,也未履行告知提醒义务或征得用户同意。广州互联网法院认为,“好购”App监测、读取用户手机剪贴板信息的行为,系以技术手段侵入林某虚拟私密空间的行为,会导致林某手机中的私密信息可能被好购公司收集、上传、使用,该可能性一旦实现,所能够造成的私密信息泄露会对林某的合法权益造成较大损害。好购公司未将“好购”App能够监测、读取个人手机剪贴板的事实告知林某,该行为造成林某私密信息处于不安全的高风险状态,给林某的生活安宁造成一定的侵扰和不安。“好购”App未经许可,监测、读取林某手机剪贴板信息的行为侵害了林某的隐私权。
从该案可见,由于剪切板中丰富的内容不仅可能涉及个人信息,还可能涉及隐私信息。个人信息处理者如读取剪切板信息,应满足“必要性原则”的内涵和外延。如用户在某即时通信平台上不能直接打开某宝、某音等App的链接,需要复制一个口令,等再次打开某宝、某音时会自动跳转到对应的商品/服务页面。我们认为,该等读取剪切板信息的行为并不符合"必要性原则",因为用户也可通过已知的商品名称、商户名称、其他关键字等信息在某宝、某音上搜索。
根据国家标准《信息安全技术 移动智能终端的移动互联网应用程序(App)个人信息处理活动管理指南(征求意见稿)》7.2.2b)和k),当App读取剪切板时应向用户提示并限制App在后台访问剪切板的能力。由于无法判断剪切板信息是否涉及敏感个人信息、隐私信息、商业秘密或其他信息,个人信息处理者在读取剪切板信息前,应按照敏感个人信息的处理标准履行告知义务,并评估收集场景中剪切板信息的处理行为是否与处理目的直接相关,是否符合最小范围,是否可能对个人信息主体权益造成重大影响。
3.3. 应用列表信息
应用列表信息包括应用软件包名、名称、业务类型、安装包MD5、文件路径、安装时间、更新时间、文件大小等信息。常见的软件列表使用场景有以向个人提供“应用分发、升级、备份、删除”等功能为目的的场景;以向个人提供“杀毒、文件扫描”等功能为目的的场景;以向用户提供“调用、唤醒第三方应用”等功能为目的的场景;以“统计软件安装数据”为目的的场景等。
为了符合“必要性原则”,个人信息处理者不应超出业务场景的实际需要收集应用列表信息。如不同的业务功能所收集的应用列表信息也有所不同,“调用、唤醒第三方应用”业务功能应仅收集应用软件名称类信息而不能收集其他应用列表信息,且仅可以在调用/唤醒时收集应用列表信息,而不应在调用/唤醒完成后继续收集应用列表信息。可以在移动智能终端完成处理的,个人信息处理者不应收集应用列表信息至后台,如判断特定App是否安装。此外,应默认不收集应用列表信息,仅在个人使用到相关业务功能时同步告知使用目的并取得个人同意后再行收集。非基于业务功能所必需或超范围收集应用列表信息,就会违反“必要性原则”,存在过度收集的情形。
3.4. 人脸识别信息
人脸识别信息属于敏感个人信息,基于人脸识别信息违法收集或过度收集的热点事件层出不穷,最高人民法院曾出台《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》司法解释,《网络数据安全管理条例(征求意见稿)》第二十五条也规定,数据处理者不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式。根据《个保法》,人脸识别信息作为敏感个人信息应符合以下处理要求:
A. 取得个人单独同意
B. 具有特定的处理目的和充分的必要性
C. 已采取严格的保护措施
D. 向个人告知处理的必要性和对个人权益的影响
E. 处理前进行个人信息保护影响评估
F. 非必要处理的,还应提供替代性方案
“人脸识别第一案”中,杭州野生动物世界擅自将指纹识别升级为“刷脸”入园,否则将无法入园。法院认为“人脸识别信息相比其他生物识别信息而言,呈现出敏感度高,采集方式多样、隐蔽和灵活的特性,不当使用将给公民的人身、财产带来不可预测的风险,应当作出更加严格的规制和保护。经营者只有在消费者充分知情同意的前提下方能收集和使用,且须遵循合法、正当、必要原则。”[7]因此,个人信息处理者在收集此类信息前,应谨慎评估收集该信息目的的合法、正当及必要性,并准确、具体地告知用户收集之目的并获得其单独同意。如确需收集的,还应做好严格的保护措施,如将该等敏感个人信息与一般个人信息隔离保存、采用加密手段、仅限内部特定少数人员进行访问等,并且在个人信息处理目的实现或有其他法律规定情形发生时,及时删除该等信息或作匿名化处理。
3.5. 位置信息
位置信息主要通过传感器、GPS、IP地址、基站、蓝牙、WIFI等方式定位,或个人自行选择地址/填写位置信息,从图片、视频数据中获取位置信息。位置信息分为粗略位置信息(省份、城市、时区等)和精准位置信息,粗略位置信息属于一般个人信息,而精准位置信息属于敏感个人信息。当业务功能的实现仅需要粗略位置信息时,个人信息处理者应仅收集粗略位置信息而不应收集精准位置信息。如基于广告服务或互联网借贷的风控服务,个人信息处理者应仅收集粗略位置信息,而不应收集精准位置信息。
个人信息处理者应允许个人在使用服务时选择“使用应用时允许、单次允许、禁止获取位置信息”选项。对于地图服务或调度服务,个人信息处理者可收集精准位置信息,但收集频率应符合业务功能所需。根据《移动互联网应用程序(App)收集使用个人信息必要性原则评估规范第2部分:位置信息》,个人信息处理者不应在用户不知情的情况下收集使用位置信息;相关服务是否可以在后台调用位置信息应根据实际业务场景需要进行判定(除所提供业务功能确需后台持续收集位置信息外,不应申请后台访问位置信息)。如个人已不使用导航、调度等服务,而使用其他业务功能,个人信息处理者不应再继续收集位置信息。
3.6. 设备信息
设备信息分为基本设备信息(设备厂商名称、设备型号等)、不可变设备标识(IMEI、MEID、硬件序列号等)和可变设备标识(IP地址、Android ID等)。2019年8月5日国家市场监督管理总局和中国国家标准化管理委员会发布的《信息安全技术移动互联网应用(App)收集个人信息基本规范(草案)》曾规定,“App不得收集不可变更的设备唯一标识(如IMEI号、MAC地址等),用于保障网络安全或运营安全的除外”;《基本要求》附录C中亦明确“不应收集不可变更的唯一设备识别码”。可见相较于基本设备信息和可变设备标识来说,不可变设备标识属于对个人信息权益影响更大的信息类别。
设备信息往往用于统计、推送、用户画像、广告营销等场景,这些场景可通过收集可变设备标识而实现处理目的,如个人信息处理者收集不可变更的设备唯一标识就违反了“必要性原则”。对于非基本业务功能所需的个人信息,个人信息处理者收集处理前应取得个人的明示同意,清晰准确地告知个人信息主体设备信息处理的范围、目的和方式,如个人信息处理者告知内容与实际处理行为不完全一致,就可能存在过度收集的情形。
【第三部分】合规建议
合规不是一日之功,违规却可能是一念之差。个人信息保护合规制度的建设和完善是企业整体合规体系的重要一环,若无法准确、有效地把握个人信息处理“最小必要”的尺度,将有可能陷入违法收集或过度收集的风险之中。特别是,如果是违法、过度收集特定类型个人信息收集量持续增加,可能不仅危害个人信息权益,也危害着社会公共利益与国家安全,所面临的也不仅仅是民事赔偿或行政处罚,甚至有可能涉嫌刑事犯罪。因此,企业在日常开展业务过程中,应牢记个人信息处理“最小必要”这一度量衡,并做好个人信息权益影响评估工作。
此外,近年来,国家不断加强对网络安全、数据安全、个人信息的保护力度,先后颁布了《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》、《网络安全审查办法》、《数据出境安全评估办法》等法律法规,不少个人信息保护与数据合规的相关规定(如:《网络数据安全管理条例》(征)、《个人信息出境标准合同规定》(征))相信在不久的将来也将靴子落地,企业应密切关注相关立法与监管动态,及时调整企业现有信息个人信息保护制度与最新立法规定之间的间隙,如需要,可借助外部资源的力量,提供必要帮助。
最后,从近期国家网信办对某互联网平台公司处以80.26亿罚款的处罚决定答记者问内容中,我们了解到,主管部门将依法加大网络安全、数据安全、个人信息保护等领域执法力度,各地的网信部门也正相继开展年度网络安全专项检查活动,如遇抽检,企业应以积极、配合的心态配合主管部门进行了解企业合规工作情况以及不足之处,这也有助于促进企业健康、合规、规范、有序发展。
注释
[1] 杨合庆主编:《中华人民共和国个人信息保护法释义》,法律出版社,第25页。
[2] General Data Protection Regulation (GDPR) of EU,
available at ,last visited on 23 Jul.2022.
[3] The California Consumer Privacy Act
(CCPA)of 2018,available at
/section-1798-140-definitions/, last visited on 23 Jul.2022.
[4] The California Privacy Rights Act (CPRA) of 2020,available at
/annotated-cpra-text-with-ccpa-changes/ , last visited on 23 Jul.2022.
[5] 指数据控制者可以对数据执行被认为与收集数据时的初始目的相互兼容的所有操作。
[6] 当个人信息的后续处理与收集时的初始目的或收集时的场景相符,即可被认定为是正当的信息处理活动。
[7] 郭兵、杭州野生动物世界有限公司服务合同纠纷民事二审民事判决书,浙江省杭州市中级人民法院(2020)浙01民终10940号。