用制度保障个人信息收集的最小必要原则丨网眼看法

个人信息保护法规范的主体除了收集者与被收集者，还应当增加基础软件和硬件厂商等可能对个人信息收集产生重大影响的机构。

如果只做境外立法比较研究，个人信息保护法似乎规范的主体就是收集者（处理者、控制者）和被收集者（个人），但是如果询问技术人员，就会发现操作系统对个人信息收集和处理起着非常重大的作用。最近十年手机主要是安卓和苹果iOS两大操作系统，其中安卓因其开源软件的开放性可以由各手机厂商自行开发，导致其个人信息保护水平参差不齐，总体不高。笔者也是多年前询问一些技术人员为何不能改进个人信息收集的相关技术设置时，技术人员给出的理由是相关权限的技术架构是由操作系统决定的，才观察到这个问题的。

换句话说，中国企业依照中国法律应当进行数据合规，但技术人员根据操作系统的技术架构并不是依照中国法律框架设计的。在可以把责任推给操作系统的场合，可想而知企业会怎么答复监管的合规要求。对个体企业来说，在中国目前的互联网竞争激烈格局下，眼看竞争对手多收滥用，若要约束自己做老实人，企业既不情愿，产品又不可行。

笔者粗略研究了一下，现在各国个人信息保护法律直接对于操作系统等底层软件以及电信营商、物联网硬件企业等相关个人信息保护的要求尚不多见，要约束这些头部企业以影响整个产业的个人信息保护水平甚至影响上下游的商业生态，谈何容易？前几年欧盟《通用数据保护条例》（GDPR）出台之际，笔者曾建议中国消保机构对操作系统的个人信息保护问题予以关注，但是终因GDPR并非中国法律而中国法律又缺乏明确依据而未被消保机构采纳。

技术是个人信息保护的第一位因素，但法律可以影响技术。

个人信息成为一个需要保护的法律问题是信息网络技术的发展带来的，反过来要保护个人信息，必须重视技术的第一顺位的优先作用，而法律则是引导技术向善的规则，规则定得科学与否会引导甚至决定市场主体的博弈行为。

笔者自2012年全国人大常委会通过《关于加强网络信息保护的决定》开始，在对企业信息合规培训中一直主张企业是实施个人信息保护的第一责任人，而且头部企业基本就是行业的风向标，也可能在很大程度上甚至可以说代表了我们国家和我们这个时代的个人信息保护的真实水平。因而跟其他领域一样，管好领头羊的大企业和关键少数操作系统等基础软件企业，以及物联网的硬件厂商的相关标准，就相当于牵住了牛鼻子，个人信息的大格局应该就总体安全，不至于出现全局性的重大问题。

2020年8月，苹果公司宣布对于试图绕过Safari浏览器反跨网页追踪机制的网站和应用，将采取类对待恶意软件的同样处理方式。特殊情况下它还会启用新的反追踪功能，对违规者精准打击。苹果为此更新了Safari反追踪功能，阻止第三方网站把用户数据分享给广告商。因为Mozilla开发的Firefox也有类似政策，苹果还特别在WebKit网站中提到自己是见贤思齐，受Mozilla的启发才这么干的。2020年9月iOS14发布前，苹果公司有关iOS14对用户隐私保护的新政策（即对于广告标识符IDFA的授权申请将在用户首次打开手机客户端软件时进行）引起轩然大波，原因在于互联网绝大多数是小白用户，无论你给他们什么他们都不会改变而是照用不误，所以预计这个改变将很可能直接导致不授权广告主追踪IDFA的用户显著增加，由此根据设备进行精准推荐的APP广告将面临颠覆性影响，由此引起移动广告相关利益群体震动。苹果公司迫于网络广告利益团体的巨大压力一再延期，就目前来说，以广告为重要吸金来源的Facebook、Google以及营销获取用户的相关产业都需要为随之而来的影响作出准备，虽然2018年苹果提供了替代方案SKAdNetwork，但它没有受到重视，广告界怀疑数据不能满足自己的需求。

另一方面，现在国内很多大型互联网厂商，甚至包括前五名的头部企业，完全无视安卓辅助功能设计目的在于为残障人士服务的根本，随意调用安卓的辅助功能监控用户的计算机终端屏幕，甚至窃取数据，实现自己不正当竞争的目的。我国最近一些互联网大厂的安全人员因为不愿意干违法的事情不得不辞职的舆情，足见我国企业在利益面前是何等漠视法律，如果不对操作系统这样的基础软件进行个人信息保护的法律设计，技术人员就会借口安卓的架构允许调用辅助功能而任意启用这个功能监控屏幕窃取信息，类似事件会在多种技术场景重复发生。而且企业不是生活在真空里，如果别的企业都在利用安卓的开放系统随意收集个人信息并且最大化商业利用，最终会导致无底线的企业得利而老实人吃亏。

综上，笔者呼吁立法部门研究计算机终端包括PC和手机、服务器等其他设备，要求所有的操作系统以及其他基础软件厂商，移动通信基站、PC和手机等硬件厂商，以及云计算服务商等具有底层信息收集控制能力的厂商，确立合理谨慎的个人信息保护义务，要求其在产品研发设计中设计保护隐私与个人信息的要求。

具体来说，软硬件厂商应通过技术架构和规则协议约束其平台商家收集个人信息遵从最小必要原则。个人信息的收集不仅包括主动向用户提示后再收集个人信息，也包括无提示或者无法提示场景下生成个人信息的场景，例如户外广告设备通过针对一定范围内的手机MAC地址进行探测获取个人信息进行分析，监控设备对个人信息的收集或者生成的即时交通信息同时构成驾驶人或乘客的行踪轨迹信息，等等。

鉴于我国强制性国家标准有法律约束力，因而建议个人信息保护法规定物联网设备的国家标准、行业标准制定，应当体现设计保护隐私与个人信息原则。标准的制定本身专业性强，一般人根本不懂，也很难吸引媒体和公众的关注，但是越是这样具体实施法律的细节性规定越是决定了企业和公民个人之间信息权利的争夺边界，越是容易被资本影响甚至俘获。近年来国家队干部和研究人员下海投奔监管对象较多，有些部门对前沿问题重视程度也有待提高。个人信息领域强制性标准较少，但近年来几乎所有个人信息推荐性国家标准的制定都是大企业在明里暗里参与，推荐性标准虽然没有强制力，但可以作为应对监管调查的企业行为合法性抗辩的依据，现在虽然精准广告巨头年收入几百甚至上千亿元，但几乎看不到它因为个人信息或者广告违法收到多少罚单。因而也建议有关部门考虑出台个人信息标准时确保标准本身的独立和科学合理性。

（作者系上海段和段律师事务所律师）