漫画：颜庆雄

引子：

日前，为规范APP个人信息收集行为，保障公民个人信息安全，国家互联网信息办公室研究起草了《常见类型移动互联网应用程序（APP）必要个人信息范围（征求意见稿）》。其中，不仅对地图导航、网络约车、即时通信等38类常见类型APP必要个人信息范围进行了明确规定。而且还对必要个人信息做出了界定。同时要求，只要用户同意收集必要个人信息，APP不得拒绝用户安装使用。

主持人：王 玥

嘉 宾：和静钧（西南政法大学政治与公共管理学院副教授）

段礼乐（深圳大学法学院讲师）

张继生（深圳市律师协会风险管理法律专业委员会委员）

“不同意采集个人信息就无法安装APP”是与我国法治精神背道而驰的垄断商业条款

主持人：“不同意采集个人信息就无法安装APP”，您如何看待数据时代的“霸王条款”？

和静钧：移动互联网应用程序（APP）使用合约，是在数字通讯条件下双方信息高度不对称、技术能力高度不对等的基础上缔结的格式契约，虽有契约之名，双方并无实质协商，是典型的“霸王条款”，APP方拥有支配地位，存在超范围收集、窥探他人个人信息的诱因和动机。由于公民个人信息安全是国家安全的重要组成部分，移动互联网数据是网络空间时代的重要地缘战略资源，APP方任意侵犯他人个人信息权的行为，不仅仅只是私法范围内的合同权利义务之争，还是关系着公共安全的大是大非问题，需要公权力即工信部介入，才能解决好APP“霸王条款”存在的问题。

段礼乐：移动互联时代，“霸王条款”的表现更加隐蔽，APP提供者利用消费者的认知不足，以事先勾选、默示同意、页面折叠等方式误导消费者向经营者授权获取其个人信息，侵害消费者的知情权和自主选择权。APP提供者故意隐藏特定和关键信息、复杂化获取特定和关键信息的路径，移动端屏幕太小导致消费者存在阅读障碍，电子化的信息呈现方式导致消费者难以准确接收、理解经营者提供的信息，成为“霸王条款”新的表现形式。

张继生：“不同意采集个人信息就无法安装APP”是与我国法治精神背道而驰的垄断商业条款。我国《宪法》《民法典》等基本法律均对于个人隐私有全面明确的法律保障。从网络安全的角度看，使用个人信息，应当遵循合法、正当、必要的原则，这个是收集个人信息的底线和基础。 “不同意采集个人信息就无法安装APP”的“霸王条款”肆意收集超出其提供服务范围的个人信息，明显违反了上述法律规定，应予以规范及惩戒；从保护个人权益的角度看，“不同意采集个人信息就无法安装APP”的“霸王条款”，容易泄露用户个人的上网浏览信息、购买商品信息、个人身份信息等，侵犯了用户的隐私权和信息受保护的权利。同时，用户信息泄露，也给不法分子以可乘之机，容易发生网络诈骗、电信诈骗等，严重危害用户的财产安全。

《征求意见稿》最大的亮点就是确立了“最小必要”原则

主持人：您认为《征求意见稿》的亮点有哪些？

段礼乐：《民法典》《消费者权益保护法》《网络安全法》规定了个人信息保护制度，但难以遏止对个人信息的侵害，制度的配套规定有待完善。《网络安全法》第二十二条规定，“网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意。”《征求意见稿》可以看做是对该条规定的细化，增强制度的可操作性；《征求意见稿》包括38类常见APP，基本覆盖各类用户粘性较强的生活消费场景，具有很强的制度针对性。

和静钧：《征求意见稿》最大的亮点就是确立了“最小必要”原则，把这一原则从契约性原则上升为法定原则，一方面体现了APP与个人信息之间的关联性，允许合理采集必要的个人信息；另一方面给APP划定了红线，超出合理、必要范围的采集和窥探个人信息如通讯录等，必将受侵权行为法的追究责任与互联网管理法的行政制裁，甚至有可能触犯刑法。“最小必要”原则是善意原则，要求APP方应奉行“勤勉原则”和履行“照顾义务”，以符合于专业精神的合理安排判断个人信息采集的范围、管理及守密等，这一强制和法定义务的确立，有助于扭转和平衡双方契约地位，朝更有约束力和公正的契约精神迈进。

张继生：《征求意见稿》最大亮点是针对与个人日常生活密切相关APP，对于收集个人信息按照最小必要原则做了详细明确的指引。亮点主要体现在以下几个方面：从立法体系来看，《征求意见稿》是落实《中华人民共和国网络安全法》关于个人信息收集合法、正当、必要的原则体现，以正面清单形式来规范APP个人信息收集行为，保障公民个人信息安全的具体举措。从立法的规范对象来看，《征求意见稿》明确规范的对象是与个人日常生活密切相关的38类场景的APP。明确只要用户同意收集必要个人信息，APP不得拒绝用户安装使用，这个强制性规定，是《征求意见稿》最大的亮点所在，打击了APP的霸王垄断行为。

个人信息保护中，应注意新领域、新问题、新动向

主持人：对于保护个人信息，您还有何好建议？

张继生：从立法层面方面，本次《征求意见稿》是从个人信息“采集端”出发，进行的“必要性”审查，但在后续具体举措的立法上，还需要从“提供端”出发，进行更进一步的规范；从规范主体方面，运营者需要加强数据合规，严格遵守《中华人民共和国网络安全法》等法律法规。从执法层面方面，对于不履行《征求意见稿》相关规定、不遵守个人信息收集使用规则等的任何个人和组织，需要与其他配套法律法规进行衔接，并对违反规定的行为要有对应的法律处罚措施。

段礼乐：第一，明确知情同意规则的制度内涵和表现形式，禁止经营者利用消费者的认知不足，以事先勾选、默示同意、页面折叠、层层嵌套等方式侵害消费者的自主选择权，同时要求经营者在履行告知义务时，通过加黑字体、下划线等方式提示消费者注意特定和关键信息；第二，在个人信息侵权案件中，实行举证责任倒置，降低消费者的维权成本；第三，建立个人信息泄露的源头追溯制度，非法收集、使用、泄露、出售、传播等链条上的任何一个违法主体如果能够主动承认违法行为并提供信息来源的，可以根据情况减轻或免除处罚；第四，在个人信息保护中引入惩罚性赔偿制度，提高惩罚性赔偿的倍率并设置最低的赔偿限额，提高消费者维权的积极性。

和静钧：“最小必要”原则的确立虽然非常重要，但原则的确立到原则的贯彻，还需要一个标准化、细则化、具体化、量化等一系列物化行为。应加快这些后续工作的跟进，要出台时间表，并按期更新指引，这样才能把这一原则真正落实下来。其次，个人信息保护中，应注意新领域、新问题、新动向，如人脸识别，APP方会坚持人脸识别是属于“最小必要”范围，但人脸识别信息具备与其他个人信息不一样的特性，并且属于稀有资源和不可再生资源，属于国家信息安全中最为核心的个人身份信息。因此，应出台针对人脸识别的法律法规，不可把人脸识别私有化、私法化。除人脸识别之外，其他身份信息，如个人基因信息、指纹信息等，也应该严格限制APP方采集这方面的身份信息。

编辑 高原