【微评】保护个人信息应强化企业管理责任

    近期,工信部在重拳整治了APP违规调用通讯录、位置信息以及弹窗骚扰用户等问题后,又调查了APP超范围、高频次索取权限,非服务场景必需时收集用户个人信息,欺骗诱导用户下载等违规问题,共发现“腾讯新闻”“QQ音乐”“小红书”等38款APP存在问题。 

    在互联网时代,个人信息是许多单位盈利的重要来源,“能收则收、多多益善”是多数APP的设计思路。客户资源、精准营销、广告推送甚至大数据杀熟,都需要依靠大量个人信息。将本单位掌握的个人信息提供给第三方以获取利益,是很多行业的潜规则。在黑市,个人信息已有不菲的交易价值,并形成庞大的黑灰产业链。近年来,各地公安机关破获了多起在“暗网”上交易公民个人信息的案件。 


    类似案件中的个人信息,多数是从银行、医院、通信公司、培训机构、房产公司和互联网企业泄露出去的。虽然许多案件在司法机关调查后发现,泄露原因是单位内鬼,或者系黑客利用单位系统漏洞而爬取所得,但是,单位对信息、人员、系统的管理过失也是重要原因。长期以来,单位管理过失是我国在公民个人信息保护上的顽疾。显然,为了从源头上遏制公民个人信息泄露问题,我们需要减少个人信息收集范围、强化收集单位的管理责任。个人信息对企业而言不仅意味着数据资源,更意味着法律责任,法律要警示收集单位“多收集一条个人信息,多增加一份法律责任”。 

    一方面,单位收集个人信息应当严格遵守“最少收集”原则。在数字时代,“多收集多得利”是行业共识。2021年第三季度,相关机构在对全国APP进行抽样检测后发现,接近六成的APP“违规收集个人信息”。为了纠正这一乱象,2021年11月实施的《个人信息保护法》第6条规定:“收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”该条确立的“最小范围”对症下药,可以有效解决我国个人信息泄露的乱象。前几年,大量APP收集与服务无关的信息,如导航、读书APP 等要收集个人通讯录等,其目的无非是想扩大用户数量、抢占市场份额。为了获得收集的正当性,在《个人信息保护法》出台前,各种APP竞相采用冗长的“告知-同意”授权书,或者采用“不授权就无法使用”规避法律风险。

    近年来,很多单位又热衷于人脸识别,大量收集个人生物识别信息以提高商业利润。2021年“3·15晚会”就曝光了多个门店抓取人脸数据,分析顾客到店频次、性别、年龄乃至情绪好坏。在多数情况下,顾客对于被抓拍、分析并无感知, 更不存在“告知-同意”的基本程序。这些人脸识别应用,基本上都缺乏必要性与正当性,西方国家正在逐渐限制滥用人脸识别。 

    无疑,《个人信息保护法》确立的“最少收集”比“必要性”“告知-同意”等原则的标准更高。显然,即使相关单位有必要收集个人信息,但如果能够采用其他验证方式,也不能收集生物识别信息,而应“采取对个人权益影响最小的方式”处理个人信息。同样,即使用户同意,也不意味着收集行为的正当性。按照“最少收集”原则,多数APP都需要整改,缩小收集范围,而不能以用户同意为挡箭牌。