“刷脸”立规影响谁?
本报记者/裴昱/北京报道
备受争议的移动互联网App收集包括面部信息在内的个人信息问题,终于有了初步“有规可依”。政府监管部门已经出台有关政策,对于包括采集用户面部信息在内的个人信息范围等进行规定。
承担这一职能的,便是《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称《规定》)。这份由国家网信办、公安部、工信部、国家市场监管总局共同制定的监管文件,目前已经下发并开始执行。相关互联网企业内部人士称,正在对照《规定》进行自查,以避免违规。
此前,各类App无序收集用户个人信息等问题,一直为社会公众所诟病。但是,在互联网日益成为社会运行的基础设施的大背景下,如何处理便利性、效率与用户个人信息之间的平衡问题,在互联网公司、政府监管部门和用户之间难有共识,而此次《规定》的出台,恰是一个“好的开始”。
2020年底,杭州一家动物园强制要求采集用户面部信息引发民事纠纷案件,原告方浙江理工大学特聘副教授郭兵的部分诉请,得到了法院裁决的支持。法院判令杭州野生动物园删除郭兵办理指纹年卡时提交的包括照片在内的面部特征信息,并赔偿郭兵1038元。
“案子不大,但是我们还是非常关注。”在谈起已经下发的《规定》时,一位大型互联网公司法务部门的负责人告诉《中国经营报》记者,“倒不是赔偿的问题,而是这个案子的判决,我们觉得传递出一种信号,就是对于移动互联网App采集用户个人信息这个问题,监管部门有出手规范的意思,我们当时就在内部做了沟通和提示,现在看,果不其然。”
让这位从事20多年互联网公司法务工作的负责人感叹“果不其然”的,便是《规定》。在他看来,《规定》虽然“层级不高”,但是出台部门却都是互联网机构的实体监管部门,因此,“不能简单看待”。
记者了解到,《规定》的联合制定部门,包括国家网信办、工信部、公安部和国家市场监管总局。根据上述四机构的“三定方案”,其对互联网公司及其产品、服务,都有直接进行监管的权力。另外一家中型互联网企业的法务部门人士告诉记者,这几个监管部门对于App产品都有认定违规后依法暂停运行的权力。
多位互联网公司的合规部门人士都告诉记者,在拿到《规定》之后,他们都进行了仔细研究。“一方面是研究监管的要求和标准,识别合规与违规的界限;二是也逐步先给自己体检,看看在用户个人信息采集方面有没有不合规的情况,至少自己心里有个‘底数’。”
在他们研究、初步对照自查的过程中,有一点是较为一致的“共识”,那就是《规定》的核心,在于强调运营者不得因用户不同意提供非必要个人信息而拒绝用户使用App基本功能服务。在这个核心内容中,“必要”的标准,就成为了关键所在。
一位接近监管部门的人士向记者表示,《规定》在起草拟订的过程中,就十分重视可执行性,因此,“分类非常细,也基本反映了当前市场上运行的App类型,具有很强的执行性。”记者查阅《规定》,总计对App划分了39大类,并明确了这39类App可以采集的用户个人信息范畴。他告诉记者,最初是38类,在最后下发的时候,又增加票务演出一类,总计39类。“已经非常细,非常专业了。”他说。
在此之前,《网络安全法》出台,对个人信息的使用提出了“合法、正当、必要”的三项基本原则。但是,在市场实践中,很多App虽然遵循“授权后采集”,但是,其授权收集范围往往“扩”得十分广泛。而此次《规定》的出台,即是“堵上”这个“口子”,通过明确“必要”的标准来制约App运营方,对超范围收集“非必要个人信息”的监管有的放矢。
在“必要”问题上,《规定》采用了详细的、针对性的方式,开列了每一类App可以采集的用户个人信息的范围,并且明确规定了不得采集用户个人信息的范围。这无疑会对App的运营和运行产生实质性的影响。
《规定》将涉及金融行业的App进行了单独分类,为网络借贷类、投资理财类和手机银行类三类金融类App。而规定在这三类App的“可采集的必要个人信息”范围中,并不包括人脸等生物识别信息和通讯录。同时,《规定》的第四条又提出,“App不得因为用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务”。
而这一领域规定的必要个人信息包括:注册用户移动电话号码;借款人姓名、证件类型和号码、证件有效期限、银行卡号码。