第九条 个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。
第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
4. 《App违法违规收集使用个人信息行为认定方法》
四、以下行为可被认定为“违反必要原则,收集与其提供的服务无关的个人信息:
1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;
2.因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;
3.App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;
4.收集个人信息的频度等超出业务功能实际需要;
5.仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;
6.要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。
此外,还有网信办、工信部等下发的《关于开展App违法违规收集使用个人信息专项治理的公告》《网络数据安全管理条例(征求意见稿)》《常见类型移动互联网应用程序必要个人信息范围规定》等部门规章以及国家标准化管理委员会发布的(GB/T 35273-2020《信息安全技术 个人信息安全规范》等国家标准等。
从法律规范层面来看,对于收集个人信息的“必要原则”在法律位阶各个层面均有明确规定,但该原则属于个人信息安全的基本原则,在具体应用方面,还需结合互联网行业及App的具体应用场景进行把握。
