绘就个人信息保护的法治新篇——写在个人信息保护法施行之际( 二 ) 2021年11月1日

“说句不好听的话，现在是既怕贼偷又怕贼
惦记。我们很多信息和秘密都存在手机里，这么多应用却能想看就看，感觉很没有安全感。”北京石景山的李女士最近刚换了新手机，她的担忧将随着个人信息保护法的实施迎来转机。
处理个人信息应当“遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息”“具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式”；收集个人信息应当“限于实现处理目的的最小范围，不得过度收集个人信息”“遵循公开、透明原则，公开个人信息处理规则”……在对应用程序收集、处理个人信息行为作出明确规范之外，个人信息保护法还规定了违法行为惩处规则，对违法处理个人信息的应用程序，最高可处5000万元罚款。
“随着个人信息保护法的施行，相关执法有了更加明确的法律依据。”北京大学法学院教授薛军表示。
谁来定义、如何定义“必需”
安装图像处理程序，要提供地理位置信息；下载文字编辑App，需获取通讯录权限；在公共场所毫不知情时，人脸信息可能被记录……有人说，对于生活在信息化时代的人们，这是一个最好的时代，也是一个最坏的时代——面对疫情防控形势，可以“一码走天下”，犯罪嫌疑人在联网人脸识别系统下无所遁形；但人们在享受数据带来便利的同时，也对信息收集处理的尺度、界限有着高度的敏感。
按照相关规定，App收集处理用户信息应该遵循“收所必需、用所必需”的基本准则，所收集、处理的信息应该处于“必需”，且在合理的时间段、规定的业务范围内被正当使用。
个人信息保护法第16条规定：个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外。
“这里的‘必需’怎么认定？由谁来确定？这就很关键了。”全国人大常委会委员彭勃表示：“现在人民群众对于个人信息保护反映最大的，就是个人信息处理者过度采集和占有公民个人信息。某种意义上来讲，我们制定这个法恰恰就是为了约束这个。要对供应和服务运营商、信息处理者进行严格、科学的约束和规范。”
许可表示，这里的“必需”条款，源自个人信息处理的最小必要原则。“提供产品或服务所必需”，必须从用户和企业两方来看，不能只看单方面的企业观点，也不能只看单方面的用户观点，而是要通过双方的合意来判断。
根据个人信息保护法第26条规定，在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需。全国人大常委会委员李巍观察到，实践中一些社区、银行、商店并不是完全按照这个规定，“或者说是以假借维护公共安全为目的，设置很多人脸识别等生物识别手段”，他建议采取措施防止滥用和扩大图像采集、人脸识别等手段。
许可表示，“为维护公共安全所必需”应当遵循行政法上的比例原则。“为了维护公共安全而处理个人的敏感信息，特别是人脸信息，应当遵循其必要性。即是为了实现特定的公共目的之必要，不能超出维护公共安全目的” 。