企业App收集使用个人信息的界限与合规

随着电子商务的发展，越来越多的企业通过自身App推广产品、提供服务，并通过个人信息获取开展定制化业务。企业App为消费者带来便利的同时，其中蕴含的个人信息安全隐患也逐步凸显。针对企业通过App非法获取、超范围收集、过度索权等侵害个人信息的现象，国家互联网信息办公室（国信办）依据相关法律在持续性对于公众大量使用的企业App进行检测督查和通报。

《个人信息保护法》（下称《个保法》）作为我国针对个人信息保护的专门立法，于2021年11月1日起正式施行。结合《网络安全法》、《民法典》、《数据安全法》，我国对于深化和进一步完善个人数据保护立法迈出了重要一步。相关法律法规的配套实施和清单式的规制思路，对企业App业务运营、日常管理和相关个人信息处理提出了诸多细化的义务要求。其中，立法明确的“必要”原则设定了企业通过App收集个人信息的界限，需要相关企业给予高度关注。

非必要收集使用

根据国信办逐次针对部分企业App个人信息违规收集使用问题的通报，公众日常大量使用的企业App非必要、超范围收集使用个人信息的问题主要体现为以下方面：

• • 安装使用App必须授权采集个人信息，否则无法使用；
  • App用户协议设定默认捆绑和不合理的免责条款；
  • 超过自身业务的必要范围收集与功能无关的个人信息，非必要且不规范采集个人面部、声纹、指纹等生物特征信息；
  • 后台强制获取、或频繁提示索要与功能无关的权限，例如定位、麦克风、相机、发送通知，后台启动、关联启动、获取上传个人存储信息、录音、拍照等敏感权限等。

基本界限要求

根据《个保法》第5条、《网络安全法》第41条与《民法典》第1035条等规定，处理个人信息的，应当遵循合法、正当、必要原则，不得超出必要范围过度获取和处理。同时，《信息安全技术个人信息安全规范》中明确了个人信息安全的最小必要原则，即个人信息主体明确授权同意且所需的最少个人信息类型和数量。该规范具体要求个人信息处理者从以下角度考虑收集、使用的界限：

• • 收集的个人信息须与实现产品或服务的业务功能有直接关联；
  • 采集个人信息的频率是实现产品或服务的业务功能所必需的最低频率；
  • 间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。

根据《App违法违规收集使用个人信息行为认定方法》和《网络安全标准实践指南—移动互联网应用程序（App）收集使用个人信息自评估指南》、《网络安全标准实践指南—移动互联网应用程序（App）个人信息安全防范指引（征求意见稿）》等法规，企业通过App收集和使用个人信息不违反必要性原则须遵循的基本要求包括如下方面：

• • 不应收集与业务功能无直接关联的个人信息，即产品或服务的功能必须收集相关个人信息才能实现；
  • 不应以非正当合理的方式强迫捆绑和收集用户个人信息，如因用户不同意收集非必要个人信息或打开非必要权限，App拒绝提供业务功能；
  • 用户可拒绝企业App收集非必要个人信息或后台打开非必要的个人信息开放权限；
  • 收集个人信息的频度不应超出业务功能实际需要。

尚在征求意见中的《移动互联网应用（App）收集个人信息基本规范》和《常见类型移动互联网应用程序（App）必要个人信息范围》对App收集个人信息时应满足的基本要求作出了详细规定，对各类App能够收集的个人信息范围和界限以进行了清单式列举和具体限制。

合规建议

针对目前企业App个人信息收集和使用的诸多问题，相关主管机关也在加大监管企业App使用过程中超越界限滥用个人信息的问题。综合相关立法和执法动态，企业在使用App进行日常业务活动过程中，可参考以下相关建议避免超越必要范围收集使用个人信息的风险：

• • 明确企业自身App业务功能所必要的个人信息类型，避免超范围收集、使用与提供业务无直接性关联的个人信息；
  • 非业务功能所必需，不频繁提示用户开放个人信息授权权限、不滥用录音、拍照等敏感权限等；
  • 定期对照相关指引、标准核查企业App有无超出必要性收集使用个人信息的问题，并积极进行规范；
  • 时时关注和更新企业App方面的法律法规、相关部门监管动态和相关领域的特殊要求，及时调整企业App收集使用个人信息相应的操作规程。

天驰君泰律师事务所律师 魏婕