□ 程 嘯

　　不久前，國(guó)家網(wǎng)信辦發(fā)布了33款A(yù)pp違法違規(guī)收集使用個(gè)人信息情況的通報(bào)。此次被通報(bào)的App主要涉及輸入法類、地圖導(dǎo)航類、即時(shí)通信類。從違法情形看，主要是涉事App違反必要原則，收集與其提供的服務(wù)無關(guān)的個(gè)人信息。
　　必要原則是個(gè)人信息保護(hù)相關(guān)法律法規(guī)中的一項(xiàng)重要的基本原則。這是因?yàn)?，在網(wǎng)絡(luò)信息科技高度發(fā)達(dá)的現(xiàn)代社會(huì)中，個(gè)人信息的收集、存儲(chǔ)、加工、使用等處理行為，很容易對(duì)自然人的人格尊嚴(yán)、隱私權(quán)和人身財(cái)產(chǎn)安全造成難以預(yù)測(cè)的危險(xiǎn)和損害。因此，為了防患于未然，法律上要求對(duì)個(gè)人信息的收集、使用等行為必須遵循必要原則，即對(duì)個(gè)人信息的處理應(yīng)當(dāng)限定在為了實(shí)現(xiàn)處理目的所必要的范圍內(nèi)，并且采取對(duì)個(gè)人權(quán)益影響最小的方式進(jìn)行。
　　比如，就互聯(lián)網(wǎng)企業(yè)而言，其在收集個(gè)人信息時(shí)，所收集的個(gè)人信息必須是實(shí)現(xiàn)其產(chǎn)品或服務(wù)基本業(yè)務(wù)功能所必需的，即如果不收集這些個(gè)人信息，那么產(chǎn)品或服務(wù)的基本業(yè)務(wù)功能就無法實(shí)現(xiàn)。也就是說，如果不需要收集任何個(gè)人信息或者收集少數(shù)的一些個(gè)人信息，也完全可以實(shí)現(xiàn)基本業(yè)務(wù)功能的，處理者就不能收集或者不能多收集個(gè)人信息。否則，處理者的行為就是違法的。
　　對(duì)于哪些個(gè)人信息是必要的個(gè)人信息，目前國(guó)家已有一些規(guī)定。例如，2021年3月，國(guó)家網(wǎng)信辦秘書局、工信部辦公廳、公安部辦公廳、國(guó)家市場(chǎng)監(jiān)管總局辦公廳聯(lián)合印發(fā)的《常見類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》就明確指出，對(duì)于App而言，所謂必要個(gè)人信息就是指保障App基本功能服務(wù)正常運(yùn)行所必需的個(gè)人信息，缺少該信息App即無法實(shí)現(xiàn)基本功能服務(wù)。同時(shí)，該規(guī)定針對(duì)目前我國(guó)App市場(chǎng)上最為常見的39類App的基本功能，以及為實(shí)現(xiàn)該基本功能所需的必要的個(gè)人信息的范圍作出了明確列舉。以本次國(guó)家網(wǎng)信辦通報(bào)的違反必要原則收集個(gè)人信息的輸入法類App為例，其基本功能服務(wù)就是“文字、符號(hào)等輸入”。要實(shí)現(xiàn)這一基本功能，完全不需要任何個(gè)人信息就可以做到。然而，本次查處的多款輸入法App，如訊飛輸入法、搜狗輸入法、QQ輸入法，卻完全無視必要原則，過度收集個(gè)人信息，這種行為顯然是違法的。國(guó)家網(wǎng)信部門責(zé)令其下架，要求App運(yùn)營(yíng)者依法整改，對(duì)于防止過度收集個(gè)人信息，保護(hù)個(gè)人信息權(quán)益，是非常必要的。
　　我國(guó)個(gè)人信息保護(hù)的相關(guān)立法歷來都非常明確地將必要原則作為個(gè)人信息處理的一項(xiàng)基本原則，要求企業(yè)等組織或個(gè)人在收集、使用個(gè)人信息時(shí)必須予以遵循。2012年頒布的全國(guó)人大常委會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定明確指出，網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位在業(yè)務(wù)活動(dòng)中收集、使用公民個(gè)人電子信息時(shí)，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則。2016年頒布的網(wǎng)絡(luò)安全法再次重申，網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則。今年1月1日起施行的民法典亦明確規(guī)定，處理個(gè)人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過度處理。
　　當(dāng)前，我國(guó)正在起草個(gè)人信息保護(hù)法，個(gè)人信息保護(hù)法（草案二次審議稿）（以下簡(jiǎn)稱《二審稿》）不僅在第一章“一般規(guī)定”中明確了必要原則是個(gè)人信息處理的基本原則，還結(jié)合具體的個(gè)人信息處理行為，就必要原則的貫徹落實(shí)作出了更細(xì)致的規(guī)定。首先，《二審稿》明確要求處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的所必要的最小范圍、采取對(duì)個(gè)人權(quán)益影響最小的方式，不得進(jìn)行與處理目的無關(guān)的個(gè)人信息處理。其次，就個(gè)人信息的保存，《二審稿》要求保存期限應(yīng)當(dāng)限制在為實(shí)現(xiàn)處理目的所必要的最短時(shí)間，除非法律行政法規(guī)另有規(guī)定。再次，《二審稿》要求，個(gè)人信息處理者具有特定的目的和充分的必要性，方可處理敏感個(gè)人信息，且必須將必要性向個(gè)人加以告知。最后，當(dāng)個(gè)人信息對(duì)于實(shí)現(xiàn)處理目的而言，不再必要時(shí)，處理者應(yīng)當(dāng)主動(dòng)刪除該個(gè)人信息?！抖徃濉纺壳半m然尚未通過，但可以由此看出立法層面試圖為用戶織就嚴(yán)密個(gè)人信息保護(hù)網(wǎng)的價(jià)值取向。
　　個(gè)人信息保護(hù)一直是世界各國(guó)高度關(guān)注的問題，而要更好地保護(hù)個(gè)人信息，就必須真正貫徹落實(shí)必要原則，對(duì)于那些違反必要原則，過度收集個(gè)人信息的行為，國(guó)家網(wǎng)信部門應(yīng)當(dāng)依法進(jìn)行查處并予以處罰。只有這樣才能從源頭預(yù)防各類違法違規(guī)處理個(gè)人信息的行為，有效保護(hù)用戶個(gè)人信息權(quán)益，促進(jìn)數(shù)字經(jīng)濟(jì)健康發(fā)展。
（作者系清華大學(xué)法學(xué)院副院長(zhǎng)、教授）