半两财经|国家网信办回应个人信息过度收集问题 :经营者应依法保护消费者个人信息
北京青年报客户端 2024-04-09 13:24
更多资讯 关注半两财经

今日(4月9日)上午,在国务院政策例行吹风会上,针对一些APP过度采集使用消费者个人信息的热点问题,国家网信办网络法治局负责人尤雪云介绍说,我国高度重视个人信息保护,2021年就制定实施了该领域的基础性法律《个人信息保护法》,落实该法的要求,《中华人民共和国消费者权益保护法实施条例》第23条从三个方面规定了经营者保护消费者个人信息的义务。

一是经营者在提供商品或服务时,不得过度收集消费者个人信息,不得采用一次概括授权、默认授权等方式,强制或者变相强制消费者同意收集、使用与经营活动无直接关系的个人信息。经营者处理消费者个人信息,应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。要遵守目的明确原则,具有明确合理的目的,并与处理的目的直接相关。要遵循最小化处理原则,采取对个人权益最小影响的方式,限于实现处理目的的最小范围,不得过度收集。要遵循公开透明原则,公开个人信息处理规则,明示处理目的、方式和范围。还应当遵守以“告知—同意”为核心的个人信息处理规则,在消费者充分知情的前提下,自愿、明确作出同意后,方可处理个人信息。

消费者有权撤回同意,不得以消费者不同意或者撤回同意为由拒绝提供商品或者服务。2021年,国家网信办、市场监管总局等四部门联合制定了《常见类型移动互联网应用程序必要个人信息范围规定》,明确了39种常见类型APP的必要个人信息范围,规定APP运营者不得因用户不同意收集非必要个人信息而拒绝用户使用APP基本功能服务。比如说,网购的基本功能服务就是购买商品,必要个人信息范围包括:注册用户手机号;收货人的姓名、地址、联系电话;支付时间、支付金额、支付渠道等支付信息。如果超出这些的话,比如像人脸识别,那样就是过度收集了,不是必要个人信息了。

二是经营者处理敏感个人信息的,应当符合有关法律、行政法规的规定。什么是敏感个人信息呢?敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满14周岁未成年人的个人信息。

只有在具有特定目的和充分的必要性,并采取严格保护措施的情形下,方可处理个人敏感个人信息,并且应当取得消费者的单独同意或者书面同意。如果处理不满14周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意,还要制定专门的个人信息处理规则。

三是经营者应当依法保护消费者的个人信息。经营者应当保障消费者在个人信息处理活动中的知情权、决定权,包括查阅复制权、更正补充权、删除权、解释说明权等,建立便捷的消费者行使权利的申请受理和处理机制。经营者不得非法出售、提供或者公开消费者的个人信息,应当采取必要措施保障个人信息安全,防止未经授权的访问以及个人信息的泄露、篡改、丢失,发生或者可能发生个人信息泄露、篡改、丢失的,经营者应当立即采取补救措施,并通知履行个人信息保护职责的部门和消费者。

【版权声明】本文著作权(含信息网络传播权)归属北京青年报社所有,未经授权不得转载

文/北京青年报记者 蔺丽爽
编辑/樊宏伟

最新评论