就在昨日，国家网信办对外发布了对知网（CNKI）依法作出网络安全审查相关行政处罚的信息。在相关文章中，国家网信办指出“经查实，知网（CNKI）主要运营主体为同方知网（北京）技术有限公司、同方知网数字出版技术股份有限公司、《中国学术期刊（光盘版）》电子杂志社有限公司三家公司，其运营的手机知网、知网阅读等14款App存在违反必要原则收集个人信息、未经同意收集个人信息、未公开或未明示收集使用规则、未提供账号注销功能、在用户注销账号后未及时删除用户个人信息等违法行为”，据此，其于9月1日对知网依法作出行政处罚的决定，责令其停止违法处理个人信息行为，同时处以人民币5000万元的罚款。

【资料图】

自《个人信息保护法》正式出台并实施后，我国对于个人信息保护愈发重视，一方面不断完善相关法律规范、政策标准，使得《个人信息保护法》中的各项内容能够予以落实，另一方面也不断加强监管力度，对市场上的各类主体予以处罚，并规制其行为，这之中又以各类App的监管为重中之重。尽管上述案例并没有公布知网违反相关法律的具体细节，但是我们仍然可以通过国家网信办指出的几方面，向大家简要分析一下，目前最主要也是最值得考虑的个人信息合规要点。

01 难以捉摸的最小必要原则

最小必要原则，是个人信息保护领域的一个重要的基础原则。根据《个人信息保护法》的规定，“处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。”这便是最小必要原则的基本内容，亦即应在最小范围内处理必要的个人信息。

在此基础上，《个人信息保护法》进一步明确“收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息”（第六条），“除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间。”（第十九条）尽管有了一定的细化规则，但很明显，其仍然没有指出对于企业而言究竟哪些信息属于所谓的必要信息，哪种收集力度属于所谓的最小范围。这难免导致，部分企业在处理个人信息时“畏首畏尾”，担忧是否超范围处理，部分企业却又大包大揽，认为一切都属于必要的处理行为。

对于此种情况，监管机关显然也有所了解，因而往往通过出台相关规定予以明确，给相关企业以指引。这之中，以2021年国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅四部门出台的《常见类型移动互联网应用程序必要个人信息范围规定》（下称《通知》）为例，其第五条明确指出了常见类型App的必要个人信息范围，共计39项，并且明确其中部分类型的App不存在所谓的必要的个人信息，如基本功能为“运动健身训练”的运动健身类App。

因此，对于各大企业而言，在处理个人信息时有必要提前了解其所提供服务所涉及的最小而又必要的个人信息内容，防止过度处理个人信息。

02 同意以及明示机制

个人信息的收集通常是通过同意进行的，只有在同意的基础上，个人信息处理者才有合法的授权基础，对个人信息进行处理，因此，这也是监管机关关注的重点领域。个人信息处理者，需要深刻关注自身所收集的个人信息的授权基础，除非满足《个人信息保护法》第十三条第一款第二至七项的规定，否则必须取得个人同意。

此外，《个人信息保护法》第七条规定，“处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。”对此，该法第十七条特别规定了告知机制，要求：“个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：（一）个人信息处理者的名称或者姓名和联系方式；（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；（三）个人行使本法规定权利的方式和程序；（四）法律、行政法规规定应当告知的其他事项。前款规定事项发生变更的，应当将变更部分告知个人。个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的，处理规则应当公开，并且便于查阅和保存。”

以上同意和明示的规则同样需要各大企业注意。

03 个人信息的及时删除

对于个人信息的处理活动而言，其中最容易被忽视的，便是个人信息的删除。

《个人信息保护法》第四十七条规定：“有下列情形之一的，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除：

（一）处理目的已实现、无法实现或者为实现处理目的不再必要；

（二）个人信息处理者停止提供产品或者服务，或者保存期限已届满；

（三）个人撤回同意；

（四）个人信息处理者违反法律、行政法规或者违反约定处理个人信息；

（五）法律、行政法规规定的其他情形。

法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。”

该条规定，个人信息处理者在特定情况下负有主动删除个人信息的义务，其中第一至三项最值得关注。

第一项意味着一旦个人信息的处理活动不再必要（要么该处理目的已经实现，要么无法实现），那么个人信息处理者就必须对个人信息进行删除。

第二项则主要指向在个人信息处理者不再提供产品或者服务或最小的保存期限届满时，个人信息处理者应当删除个人信息，最典型的场景便是App不再运营时，该App运营方应当及时删除个人信息。

第三项的个人撤回同意，其情况便包括了处罚中显示的账号注销的情况，账号注销一般而言系个人信息持有者自身的行为，该行为实质上表征了个人撤回同意的意思表示，因而在该种情况下，个人信息处理者需要及时删除个人信息。在此基础上，《个人信息保护法》规定“基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。”既然用户注销账户可以视为撤回个人同意，那么个人信息处理者就必须提供注销账户这种撤回同意的方式，否则同样属于违法处理个人信息。

此外，应当注意，个人信息的删除存在例外规定，亦即在“法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的”前提下，可以不删除个人信息，但是应当停止除存储和采取必要的安全保护措施之外的处理。

04 写在最后

个人信息保护的规则在未来必定越发周密，这就需要各位老友们如果想从事相关业务，必须熟悉其中的规范和制度，保证自身业务的合规性。同时，我们也期待监管部门能够出台更详细的规则，细化《个人信息保护法》的相关规定，共同构筑和谐、平稳的网络空间。