?

?

《規(guī)定》第一條明確了立法目的、上位法依據(jù)，第四條明確了基本要求，即"App不得因為用戶不同意提供非必要個人信息，而拒絕用戶使用其基本功能服務(wù)。"其實質(zhì)上是在落實《網(wǎng)絡(luò)安全法》四十一條"網(wǎng)絡(luò)運(yùn)營者收集、使用個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則……網(wǎng)絡(luò)運(yùn)營者不得收集與其提供的服務(wù)無關(guān)的個人信息……"的要求，對收集個人信息的必要性進(jìn)行了細(xì)化的規(guī)定。

?

?

《規(guī)定》第二條規(guī)定"App包括移動智能終端預(yù)置、下載安裝的應(yīng)用軟件，基于應(yīng)用軟件開放平臺接口開發(fā)的、用戶無需安裝即可使用的小程序"，首次將小程序明確納入App收集個人信息的監(jiān)管范圍。

?

實際上，在監(jiān)管部門的執(zhí)法行動中，小程序早已被納入App收集使用個人信息相關(guān)專項治理行動中。其中，天津市2020年3月16日印發(fā)的《天津市疫情防控App專項治理情況通報（第一期）》中共計7款問題App，5款為小程序；工信部開展的App侵害用戶權(quán)益專項整治行動中，通報的未完成整改的App中也包含了小程序。

?

因此，企業(yè)需要摒棄小程序沒有明文監(jiān)管規(guī)定不需要或者不著急開展個人信息合規(guī)工作的想法，根據(jù)《網(wǎng)絡(luò)安全法》、《民法典》、《消費(fèi)者權(quán)益保護(hù)法》和《規(guī)定》等法律、法規(guī)、規(guī)定的內(nèi)容，參照《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》（國信辦秘字〔2019〕191號）和《信息安全技術(shù) 個人信息安全規(guī)范》（GB/T 35273-2020，以下簡稱"《個人信息安全規(guī)范》"）等規(guī)定和國家標(biāo)準(zhǔn)，切實開展小程序個人信息合規(guī)工作。

?

?

《規(guī)定》第三條明確了"必要個人信息"的定義，即"保障App基本功能服務(wù)正常運(yùn)行所必需的個人信息，缺少該信息App即無法實現(xiàn)基本功能服務(wù)"，該定義與《個人信息安全規(guī)范》第5.2a)條規(guī)定的"收集的個人信息的類型應(yīng)與實現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能有直接關(guān)聯(lián)；直接關(guān)聯(lián)是指沒有上述個人信息的參與，產(chǎn)品或服務(wù)的功能無法實現(xiàn)"的精神保持一致。

?

《規(guī)定》第五條劃定了三十九種常見類型App的基本功能服務(wù)和必要個人信息范圍。從其劃分方式可以看出，劃分的邏輯為先界定"基本功能服務(wù)"，再劃定"必要個人信息"包含哪幾項信息。對于界定"基本功能服務(wù)"的方法，《規(guī)定》并沒有明確，可供參照的劃分方法為《個人信息安全規(guī)范》附錄C中第C.2條"區(qū)分基本業(yè)務(wù)功能和擴(kuò)展業(yè)務(wù)功能"的規(guī)定。

?

?

《規(guī)定》第二條第一款明確"移動智能終端上運(yùn)行的App存在收集用戶個人信息行為的，應(yīng)當(dāng)遵守本規(guī)定。法律、行政法規(guī)、部門規(guī)章和規(guī)范性文件另有規(guī)定的，依照其規(guī)定"，也就是說不適用《規(guī)定》的特殊情形為"法律、行政法規(guī)、部門規(guī)章和規(guī)范性文件另有規(guī)定的"。

?

《個人信息保護(hù)法（草案）》第十三條[2]將處理個人信息的合法性基礎(chǔ)從"同意"擴(kuò)展到了六種情形，其中與《規(guī)定》相關(guān)的主要是第二種情形"為訂立或者履行個人作為一方當(dāng)事人的合同所必需"和第三種情形"為履行法定職責(zé)或者法定義務(wù)所必需"。

?

洪延青博士在其文章《對<常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定>的兩點(diǎn)理解》中指出"《規(guī)定》對應(yīng)的正是《個人信息保護(hù)法（草案）》第13條中的‘履行個人作為一方當(dāng)事人的合同所必需’。基本邏輯為——某項功能服務(wù)是用戶所需要的，即用戶作為一方當(dāng)事人，與企業(yè)之間簽訂了合同；那么為了履行這個合同，企業(yè)必需的個人信息，就是《規(guī)定》中所稱的必要個人信息。《規(guī)定》實際上為后續(xù)《個人信息保護(hù)法》的落地，提前針對‘履行個人作為一方當(dāng)事人的合同所必需’做出了細(xì)化規(guī)則。"[3]

?

我們贊同洪博士的觀點(diǎn)，并在此基礎(chǔ)上，結(jié)合不適用《規(guī)定》的特殊情形進(jìn)一步思考："法律、行政法規(guī)、部門規(guī)章和規(guī)范性文件另有規(guī)定"是否為后續(xù)《個人信息保護(hù)法》的落地涉及的"為履行法定職責(zé)或者法定義務(wù)所必需"進(jìn)行了提前銜接，防止出現(xiàn)法律適用之間的沖突？換句話說，在后續(xù)《個人信息保護(hù)法》落地后，如果是為履行法定職責(zé)或者法定義務(wù)所必需，收集個人信息是否可以不受限于《規(guī)定》的內(nèi)容？

?

以手機(jī)銀行類App及《反洗錢法》相關(guān)規(guī)定為例：

?

《規(guī)定》第五條第二十四項劃定了手機(jī)銀行類App的基本功能服務(wù)和必要個人信息范圍[4]，《反洗錢法》第三章專章規(guī)定了"金融機(jī)構(gòu)反洗錢義務(wù)"，其中第十九條第一款要求"金融機(jī)構(gòu)應(yīng)當(dāng)按照規(guī)定建立客戶身份資料和交易記錄保存制度"。為了履行《反洗錢法》規(guī)定的"金融機(jī)構(gòu)反洗錢義務(wù)"，銀行需要留存客戶通過手機(jī)銀行交易的交易記錄，但此類交易記錄并不在《規(guī)定》第五條第二十四項劃定的必要個人信息范圍之內(nèi)。

?

為了解決這個潛在的矛盾，在手機(jī)銀行類App項下，為履行法律規(guī)定的反洗錢義務(wù)需要收集的用戶個人信息，根據(jù)《規(guī)定》第二條第一款的規(guī)定，即"移動智能終端上運(yùn)行的App存在收集用戶個人信息行為的，應(yīng)當(dāng)遵守本規(guī)定。法律、行政法規(guī)、部門規(guī)章和規(guī)范性文件另有規(guī)定的，依照其規(guī)定"，似乎可直接指向適用后續(xù)正式出臺的《個人信息保護(hù)法》，且進(jìn)一步指向適用《反洗錢法》的相關(guān)規(guī)定。而在提供基本功能服務(wù)時，手機(jī)銀行類App需要收集個人信息的，依然適用《規(guī)定》第五條第二十四項。我們理解這樣的法律適用路徑可能更符合立法的本意以及防止出現(xiàn)法律適用之間的沖突。當(dāng)然，這只是我們對《規(guī)定》的初步理解和思考，是否準(zhǔn)確還有待監(jiān)管部門的進(jìn)一步解釋和觀望后續(xù)《個人信息保護(hù)法》的正式規(guī)定。

?

此外，還有一種基于現(xiàn)行有效法律的論證思路可以供大家參考。我們還是以上面舉例的銀行履行"金融機(jī)構(gòu)反洗錢義務(wù)"來分析，根據(jù)《規(guī)定》第二條第一款的規(guī)定，直接指向適用《民法典》第一千零三十五條的規(guī)定"處理個人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過度處理，并符合下列條件：（一）征得該自然人或者其監(jiān)護(hù)人同意，但是法律、行政法規(guī)另有規(guī)定的除外"，具體來說就是適用這里的"法律、行政法規(guī)另有規(guī)定的除外"，然后進(jìn)一步指向適用《反洗錢法》，進(jìn)而可以收集用戶在手機(jī)銀行的交易記錄用于履行反洗錢義務(wù)。

?

?

《規(guī)定》第六條明確"任何組織和個人發(fā)現(xiàn)違反本規(guī)定行為的，可以向相關(guān)部門舉報。相關(guān)部門收到舉報后，應(yīng)當(dāng)依法予以處理"，雖限于位階原因無法直接規(guī)定法律責(zé)任，但其實質(zhì)指向了《網(wǎng)絡(luò)安全法》第十四條[5]、第四十一條和違反第四十一條的法律責(zé)任即第六十四條第一款的規(guī)定[6]，法律風(fēng)險主要為行政責(zé)任，具體主要包括責(zé)令改正、警告、沒收違法所得、罰款、責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照。

?

?

?

《規(guī)定》明確了"不得因用戶不同意收集非必要個人信息，而拒絕用戶使用App基本功能服務(wù)"，并界定了常見類型App的基本功能服務(wù)和必要個人信息范圍，意味著常見類型App的基本功能服務(wù)收集的必要信息范圍之外的信息以及非基本功能服務(wù)收集的個人信息均為非必要個人信息，在現(xiàn)行有效的以同意為主要合法性基礎(chǔ)的法律框架下，要想收集使用該等個人信息均需要獲得用戶的同意，而且還需要受制于必要性原則的約束。

?

對于非基本功能服務(wù)，根據(jù)前述《網(wǎng)絡(luò)安全法》第四十一條的規(guī)定，其首先不得收集與服務(wù)無關(guān)的個人信息；其次，參照前述《規(guī)定》第四條，可以嘗試劃分非基本功能服務(wù)的必要信息，如果用戶不同意提供某項非基本功能服務(wù)的必要信息，App運(yùn)營者可以拒絕提供該項非基本功能服務(wù)，但不能影響用戶使用基本功能服務(wù)和其他非基本功能服務(wù)。

?

對此，可能會有人有疑問，如何劃分非基本功能服務(wù)的必要信息？《規(guī)定》未作出相應(yīng)規(guī)定，但我們理解，《規(guī)定》對基本功能服務(wù)必要信息的劃分可予以參照。比如，某App其基本功能服務(wù)為網(wǎng)絡(luò)支付，其非基本功能服務(wù)還包括網(wǎng)絡(luò)借貸、投資理財，該App需要依據(jù)《規(guī)定》第五條第五項對必要信息的規(guī)定來界定其必要信息范圍，而其網(wǎng)絡(luò)借貸、投資理財兩項功能服務(wù)可以分別參照《規(guī)定》第五條第十二項、第二十三項劃定必要信息范圍。

?

?

有人會認(rèn)為，《規(guī)定》僅在第五條列明了三十九種常見類型App的基本功能服務(wù)和必要個人信息范圍，這三十九種之外的App沒有具體的細(xì)化限制，可以隨意收集用戶個人信息。這樣的想法是不可取的，首先，《網(wǎng)絡(luò)安全法》等相關(guān)法律法規(guī)對收集個人信息必要性的規(guī)定是通用的，不限于這三十九種App；其次，App的類型較多，全部劃分其基本功能服務(wù)和必要個人信息范圍比較困難，而且可能還會不斷有新類型的App出現(xiàn)，因此《規(guī)定》劃定三十九種常見的App，一方面將常見類型App進(jìn)行了明確的規(guī)制；另一方面，對于三十九種之外的App，這三十九種App的規(guī)定具有很好的參照意義，宜參照相近類型App的相應(yīng)規(guī)定，審視現(xiàn)有業(yè)務(wù)收集的個人信息是否屬于必要個人信息以及拒絕提供該等個人信息的影響是否經(jīng)得住必要性原則的考驗。

?