个人所得税App：隐私政策丢了？

作者：孙益武，杭州师范大学沈钧儒法学院，浙江省法治教育研究中心

作为纳税义务人，我们有理由相信国家税务总局收集的信息满足了信息收集的“最小必要原则”，即没有收集不必要的个人信息。收集的目的为了税收管理，而不会用于其它非法目的。然而，《用户注册协议》中提及“符合法律规定的其他用途”指的又是什么？对于数据主体的所依法享有的数据更正权和删除权又如何得到行使和救济？这些在《用户注册协议》 中都未得到详细而全面地阐述。

2018年的最后一天，超大流量现象级移动互联网应用程序（App）——国家税务总局个人所得税App——横空出世，然而用户在登录注册时却无法找到“隐私政策”，注册完毕时在使用中的App界面和菜单中也找不到“隐私政策”。

隐私政策，是网络服务提供者与用户之间关于如何处理和保护用户个人信息的基本的权利义务的文件，用以告知用户个人信息如何被搜集、使用、与第三方共享的情况。它不是仅对网络服务提供者（平台）的束缚，也是网络服务提供者提示用户自主、自愿、合理提供和处分个人信息，并区分与用户责任的依据。

在注册个人所得税App账户过程中，只存在一个在线的《用户注册协议》，协议包括了服务内容、账户的注册与使用、帐户的安全及管理、免责声明等八个部分。其中，在第二条“账户的注册与使用”中，第4款约定：“您了解并知悉：您通过本平台提交的个人涉税信息及资料均会报送至税务机关，上述信息的提供是为履行个人纳税义务，且仅会用于税务机关的税收管理及符合法律规定的其他用途。”用户只能点击“同意并继续”，进入注册流程。

▌个人所得税App收集了哪些信息？是否都是个人信息？

根据《网络安全法》，个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

显然，在个人所得税的六项专项附加扣除中，“子女教育”专项扣除涉及填报人子女的个人信息，且多数涉及未成年人的个人信息。“继续教育”专项扣除信息涉及个人接受继续教育的信息，虽然这些信息不如个人生物识别信息和身份证件号码等那样敏感，但只要能识别出自然人个人身份，也属于个人信息。“大病医疗”专项扣除申报还涉及个人健康数据等重要信息。“住房贷款利息”和“住房租金”专项扣除涉及个人财产和居所等个人敏感信息。“赡养老人”不仅涉及申报人本人，还涉及他们的父母或其它被赡养人，这些信息的获取不应当是申报人本人同意，而应当是父母或被赡养人等数据主体同意；如果申报人擅自拿取父母的身份证信息进行填报，则有违《网络安全法》所规定的收集个人信息的“知情同意原则”。

▌个人信息收集和使用目的、方式和范围明示不够

《网络安全法》第四十一条规定：网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

作为纳税义务人，我们有理由相信国家税务总局收集的信息满足了信息收集的“最小必要原则”，即没有收集不必要的个人信息。收集的目的为了税收管理，而不会用于其它非法目的。然而，《用户注册协议》中提及“符合法律规定的其他用途”指的又是什么？对于数据主体的所依法享有的数据更正权和删除权又如何得到行使和救济？这些在《用户注册协议》 中都未得到详细而全面地阐述。

此外，个人所得税服务平台是否以及在何种情况下共享或公开披露个人信息也未明示。信息收集者应当说明在何种情况不经用户同意，会向其它行政机关或应司法机关裁定向私主体共享或披露信息。此外，涉税数据如何脱敏，如何被妥善保护，这些纳税人关心的问题，税务部门也应当进行回应。（据《半岛都市报》记者采访获悉，“为了保护个人隐私，（个人所得税app的）系统将一些关键信息，比如身份证号做了脱敏处理，单位也不能擅自修改员工填写的专项附加扣除信息”。）

▌App隐私政策合规应一视同仁

2017年7月，中央网信办等指导并组织开展了对支付宝、微信、京东商城等十款产品和服务隐私条款进行评审。通过评审，网络产品服务提供商原本缺失或者不完整的隐私条款变得更加完整，并且告知、提示用户；原本语言不详的、晦涩难懂的、避重就轻的隐私条款文本将变得更加易读和规范。因此，这些商业App已经能够为政务App在隐私政策构建方面提供较多的样本参考。

2018年12月，“南都个人信息保护研究中心”对购物导购、移动金融、教育文化、旅游交通、生活服务等十个行业共1000款App进行了测评。其中，12306等耳熟能详、下载量较大的极少数App没有隐私保护条款。

另据中国消费者协会2018年8月发布的《App个人信息泄露情况调查报告》，消费者个人信息泄露途径主要是经营者未经本人同意，暗自收集个人信息；经营者或不法分子故意泄露、出售或者非法向他人提供个人信息等。与此同时，手机App过度采集个人信息呈现普遍趋势。

虽然说政务App与商业App在服务对象、服务目的等多方面存在不同，但App提供者都是《网络安全法》中的网络运营者，即网络的所有者、管理者和网络服务提供者。《移动互联网应用程序信息服务管理规定》第七条进一步规定：移动互联网应用程序提供者应当严格落实信息安全管理责任，建立健全用户信息安全保护机制，收集、使用用户个人信息应当遵循合法、正当、必要的原则，明示收集使用信息的目的、方式和范围，并经用户同意。

鼓励各级党政机关积极运用移动互联网应用程序，推进政务公开，提供公共服务，这一宗旨不会变，这既是“互联网+政务”的应有之意，也是落实“最多跑一次”等行政审批改革的有效举措。政务App隐私政策合规既是法律的明确要求，也是对行政相对人私权保护的有效落实。

声明：本文来自南都观察家，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。