“最小必要”很有必要

□ 胡立彪

針對App強制授權、過度索權、超范圍收集個人信息等問題，日前工信部就《移動互聯網應用程序（App）個人信息保護管理暫行規定》（以下簡稱《暫行規定》）征求意見。《暫行規定》最大的亮點，是明確了“最小必要”這一個人信息保護基本原則。

所謂“最小必要”原則，就是要求從事App個人信息處理活動，應當具有明確合理的控制，不得從事超出用戶同意范圍或者與服務場景無關的個人信息處理活動。分析人士指出，這一原則是國際社會普遍采納的原則，我國在移動互聯網應用程序（App）個人信息保護領域引入這樣的原則，既劃出了底線，明確了紅線，也對市場給出明確預期，從而可以降低市場合規成本，更好地促進App市場、移動互聯網市場和數字經濟健康發展。

據了解，目前我國境內App上架數量已超過350萬款。這些App中有不少存在文首提到的問題。2020年7月，中央網信辦、工信部、公安部、市場監管總局4部門啟動App違法違規收集使用個人信息治理工作，截至2020年12月，已經對52萬款App進行了技術檢測工作，責令1571款違規App進行整改，公開通報了500款App，下架120款整改不到位及拒不整改的App。

然而，即使監管部門一直在加強治理，但App過度索權等侵害消費者權益問題依然存在，未能根除。原因何在？現在是數字化時代，數據對于企業尤其是互聯網企業的重要性不言而喻。從某種意義上說，數據的多寡直接關系到互聯網企業的資本估值。正是基于對數據價值的重視，很多互聯網企業將萃取匯集大數據作為企業的核心資本。這些數據包括消費者的隱私信息或個人信息集成，比如財產收入狀況、居住地址、年齡、消費偏好、每日活動軌跡等。企業利用黏性設計，把眾多的消費人群吸引住，然后再萃取更多數據。手中握有足夠多的數據，一些企業難免有變現的沖動，于是便不顧用戶利益，擅自使用用戶信息進行推廣、經營等活動。而隨著追蹤功能的日益強大，數字用戶個人信息遭泄露、隱私被侵犯的事件也大量發生。

從市場邏輯上講，互聯網企業需要用戶信息，若無這些信息，企業就無法開發適合用戶使用的App及其他程序。片面強調消費者個人信息權和隱私權，必會壓抑企業開發大數據的積極性和創造性。有人說，互聯網的便利是建立在個人適度讓渡隱私基礎上的，如果不肯讓渡，那就只能失去互聯網的便利。這有一定道理，但需要強調的是，企業的大數據與消費者的隱私權當并行不悖，而消費者個人信息權保護是源，企業的大數據產權保護是流，只有這兩者都做好，互聯網經濟才能發展得更好。

在這種情況下，“度”就顯得非常重要了。用戶個人信息讓渡有“度”，企業索取信息更要有“度”。對于企業而言，“度”的標準，就是“最小必要”原則。2020年12月，工信部曾發布《App收集使用個人信息最小必要評估規范》8項系列標準，就App收集使用用戶人臉、通訊錄、短信、位置等信息作出“最小必要”評估規范。而《暫行規定》不僅確立了“最小必要”原則，還將該原則從契約原則上升為法定原則。在處置措施方面，《暫行規定》明確對拒不改正的App進行下架處理，20天之內不得以任何形式重新上網，這對App企業有很大的震懾作用。

古人云：“不以規矩，不能成方圓。”互聯網領域也需要立規矩。“最小必要”原則是善意原則，要求App方應奉行“勤勉原則”，并履行“照顧義務”，以符合專業精神的合理安排判斷個人信息采集的范圍、管理及守密等。這一強制和法定義務的確立，有助于扭轉和平衡雙方契約地位，朝著更公正和更有約束力的平等契約精神邁進。

《中國質量報》【觀象臺】