何为收集、使用个人信息的“范围”?

我国《网络安全法》第41条和《消费者权益保护法》第29条均规定,收集、使用个人信息的,应当“明示收集、使用信息的目的、方式和范围”,而何为其中的“范围”,“范围”与“目的”“方式”如何界定,信息收集、使用者需要明示的“范围”应包含哪些内容?既有规范未给出明确指引,导致实践中各方对于“范围”的理解较为混乱。

“范围”面临的实践困局

目前,“范围”在个人信息保护法规范领域仍属于不确定性概念,不同主体基于各自立场难免产生理解分歧。在实践中,收集、使用者事前明示的“范围”往往较为宽泛模糊,以便于其事后将“范围”进行扩大解释创造空间,调整自身的信息收集、使用权限。而用户为满足对自身信息更为细粒度的控制需求,通常希望收集、使用者更精确地告知“范围”并进行限缩解释。

然而,处于强势地位的收集、使用者往往占据了界定“范围”的主导权。当前,超范围收集、使用个人信息已成为App侵害用户权益的热点问题。一是超范围收集现象大量存在,互联网信息服务投诉平台上收到用户关于超范围收集信息问题的投诉已占违规收集、使用个人信息总体投诉量的25.9%。二是无视用户授权超范围使用问题突出。“今日头条被指侵犯个人隐私”一案中,原被告双方即针对先收集的通讯录信息可在什么范围内使用存有争议。“范围”的模糊往往成为收集、使用者对抗用户和规避责任的护身符。

“范围”和“目的”“方式”的关联及区别

企业在对信息收集、使用范围进行描述时,通常不成体系地将其交织混杂于其他内容当中,使用户难以察觉。这一方面存在“范围”无法孤立说明的因素,另一方面也反映出企业对“目的”“方式”“范围”三者逻辑关系的忽视。

“目的”“方式”“范围”分别解决了“拿来做什么”“怎么拿、怎么用”“拿什么、从哪拿、用在哪”的问题。《网络安全法》第41条规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”若对其进行体系解释会发现,虽然“合法、正当、必要的原则”应贯穿于收集、使用全过程,但结合到“目的”“方式”“范围”中却各有侧重,立法者在对收集、使用行为进行规制时,似有意无意表达了“目的正当”“手段合法”和“必要范围”的对应关系,实际反映了公法上比例原则及其四个子原则在该领域的运用。

一方面,“必要范围”是落实“目的正当”的重要内容。“目的正当”要求个人信息的处理目的需满足合法、合理、必要与明确的要求。而为落实该正当要求,便需要强调所收集、使用信息范围的“最少够用”的要求。其一,收集的信息应在满足用户授权同意的目的所需的最少个人信息范围内进行。其二,信息的使用不得超出与收集个人信息时所声称的目的具有直接或合理关联的范围。2019年6月发布的《网络安全实践指南――移动互联网应用基本业务功能必要信息规范》即是基于满足业务功能维度落实必要原则而提供的实践指引。

另一方面,“必要范围”是实施“合法方式”的作用对象。只有解决了信息“拿什么、从哪拿、用在哪”,才能回答信息“怎么拿、怎么用”的问题。而在实践中,却常常将“范围”与“方式”混淆,尤其是将频度、精度、数量等收集、使用方式的均衡性原则同收集、使用范围的必要性要求混为一谈。“频度”表达的是收集、使用信息方式的频率大小,“精度”表达的是收集、使用信息方式的细粒度,“数量”表达的是收集使用方式的量的多寡,三者均应满足比例原则均衡性的要求,即收集及使用信息的方式所获得的利益、为用户带来的服务质量和效果,必须大于对用户安宁权的侵害,二者之间应是成比例的,而不能以频繁的、毫无节制的方式索取及使用用户信息。

认识收集、使用信息“范围”的三个视角

国家标准《信息安全技术个人信息安全规范》也未对“范围”进行细粒度规制,目前仅是对用户针对“范围”的同意作出效果上的概括性要求。但“效果式”的兜底要求既不利于用户对授权的信息范围进行有针对性的控制,也增添了企业不确定的合规风险。结合目的的正当性要求,可从“拿什么”“从哪拿”“用在哪”三个视角认识收集、使用个人信息的“范围”。

首先,从内容视角判断应“拿什么”类型的信息,即信息的内容范围,包括本身内容范围和衍生内容范围。前者是指某一类型的个人信息本身,包括姓名、手机号码等标识型信息和性别、籍贯等属性型信息。后者是基于个人和收集、使用者交互行为产生的衍生信息,包括伴生个人信息和预测个人信息。例如,企业为用户提供网上购物服务而需要收集应用账号等标识型个人基本信息,并基于用户的交易行为而记录了用户订单商品、下单时间、支付情况等伴生个人信息,在此基础上还会通过用户画像生成需求、偏好等预测个人信息。对于内容范围的限定,收集、使用者为实现产品或服务所获取的信息类型应是直接关联和必要的,且不得收集法律法规明令禁止收集的个人信息。

其次,从来源视角披露信息将“从哪拿”,即信息的来源范围。一是告知用户可能作为其信息来源的关联第三方,包括向其转让、共享信息的主体,或在同用户交互过程中提供数据信息的第三方。例如,交易中介平台获取用户交易、支付、物流信息时,应向用户披露作为其信息来源的交易对象、支付机构、物流公司等主体。二是告知用户其可能通过公开渠道获取个人信息,如合法新闻报道、政府信息公开等。三是收集、使用者应向用户承诺,不会基于非法渠道获取个人信息。

最后,基于用途视角明示信息会“用在哪”,即信息的使用范围,包括使用的主体、时间和地域范围。从使用主体范围来看,应向用户告知其个人信息是否会通过共享、转让或公开披露方式供第三方使用,基于某一业务线收集的信息是否会在企业的其他业务线产品使用。从使用时间范围来看,收集、使用者应结合业务功能说明为实现目的处理信息所必需的最短时限,满足个人信息存储时间的最小化。从地域范围来看,应向用户明确告知所收集的个人信息是否会在境外被分析使用,以保证用户对流向境外个人信息的有效控制。

为解决群众最关心、最直接、最现实的利益问题,工信部2019年11月启动的App侵害用户权益专项整治工作将“超范围收集个人信息”作为其中的重点内容。从内容、来源、用途三方面结合对象、时间、地域等多个维度帮助人们系统理解法律规定的“收集、使用个人信息的范围”,但企业在履行“范围”明示义务时,仍需要落实告知的明确性、透明度和一致性要求,不应使用概括性语言宽泛描述“范围”,须向用户提供直观清晰的索引或提示,并严格遵守事先向用户告知的“范围”进行收集、使用。

(作者:中国信息通信研究院产业与规划研究所 吕富生 石中金 燕丽华)

来源:人民邮电报、天津数港