近日,四部委联合印发《常见类型移动互联网应用程序必要个人信息范围规定》,明确了地图导航、网络约车、即时通信、网络购物等39类常见类型移动应用程序必要个人信息范围,要求其运营者不得因用户不同意提供非必要个人信息,而拒绝用户使用App基本功能服务。此规定将于2021年5月1日起施行。
这是一个非常大的进步。《规定》明确了信息的最小使用原则,其中部分APP应用甚至是“0信息”,即“无须个人信息,即可使用基本功能服务”。如果此《规定》严格执行,将可在很大程度上减少个人信息被滥用。
不过,这只是一个基础,还应该有延伸的规定。
方向一:最大信息使用规定。例如输入法能不能搜集个人输入信息,包括用于根据词频调整本地顺序,优化输入法提供者的数据库,提供广告等延伸服务。这些信息使用,哪些是禁止的,哪些是允许的(但需明示并经过用户许可)。
方向二:权限临时使用规定。例如现在越来越多的应用支持扫描二维码,以执行某些操作,其实,除购物、社交等应用扫描功能有必要外,其他应用只是暂时需要,例如浏览器等。这些应用,在确实需要扫描时,可临时获得用户的“摄像头使用”许可,且在扫描完成后自动释放该权限。
方向三:信息“用后即焚”。这在很多时候都应该成为基本规则。例如,“网上购物类”,必要个人信息,包括收货人姓名、地址、联系电话。在上购物时,这是必要的,但在购物完成后,这些信息应删除,不得存储,更不得用于其他延伸目的(例如,该公司商品的推销,包括通过手机短信、微信公号、电子邮箱、APP信息推送等方式)。即使经过许可,存储了用户信息,除了要先征得用户许可、保证信息存储安全外,还不得用于任何其他未经过用户明确许可的领域,且不得通过协议格式条款强迫获得必要个人信息之外的其他信息。
这些都属于超范围使用:
1、在某电商购物后,每逢节日就收到促销短信;
2、用微信扫码支付后,必须关注公众号,之后经常收到促销信息;
3、扫二维码点餐,强迫关注;
4、以“手机号+验证码”方式登陆或“手机号一键登陆”,时常收到促销短信;
5、APP以提供“更佳体验”为由,在“必要个人信息”之外,要求提供更多其他信息,然后被用于推送特定信息(未经许可);
6、未经用户许可,将用户个人基本信息或行为信息,用于“大数据分析”。