近日，國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、國家市場監(jiān)督管理總局聯(lián)合發(fā)布的《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》（以下簡稱《規(guī)定》）確立了各類App收集必要個人信息的范圍，并明確要求：“移動互聯(lián)網(wǎng)應(yīng)用程序（App）運營者不得因用戶不同意收集非必要個人信息，而拒絕用戶使用App基本功能服務(wù)?！薄兑?guī)定》體現(xiàn)了個人信息保護(hù)的價值導(dǎo)向，彰顯了以人民為中心的根本立場。

收集用戶信息不能任性而為

目前，大量移動互聯(lián)網(wǎng)應(yīng)用程序（App）存在強(qiáng)制授權(quán)、過度索權(quán)、超范圍收集個人信息的情形，尤其是違法違規(guī)使用個人信息的問題十分突出，已經(jīng)毫無規(guī)則和底線，廣大網(wǎng)民深惡痛絕。每當(dāng)我們在給手機(jī)安裝某些App時，往往會被詢問是否允許索取定位、發(fā)送通知、訪問設(shè)備照片、通訊錄、撥打電話等權(quán)限等。為了可以正常使用App，用戶不得不選擇“允許”或“接受”，這樣用戶的一些個人信息，乃至一些與使用App無關(guān)的個人信息也被App平臺非法收集。當(dāng)我們在其后打開手機(jī)App時，所看到的是一些推送內(nèi)容，這些內(nèi)容恰恰是自己剛剛給與他人通話時所說的內(nèi)容，導(dǎo)致大量的個人隱私信息被收集和泄露。

近幾年，盡管相關(guān)部門不斷查處各類違規(guī)App，細(xì)化各項隱私政策和規(guī)范，起到了一定的震懾作用，但是App超范圍收集和使用個人信息等行為依然嚴(yán)重。使用App難免需要用戶信息，但不能超過必要限度。在現(xiàn)實中，不少App卻超范圍索取信息。比如，一些與通訊功能無關(guān)的天氣預(yù)報、健身應(yīng)用等，也要求用戶授權(quán)其使用通訊錄等敏感信息。表面來看，運營者似乎告知了用戶相關(guān)權(quán)利，用戶可以選擇不授權(quán)，但這樣做的結(jié)果是App無法使用。特別是，當(dāng)這種做法成為行業(yè)“潛規(guī)則”的時候，除了被迫同意，用戶幾乎沒有其他選擇。對于治理App過度收集個人信息的問題，人民群眾呼吁應(yīng)當(dāng)依法明確“必要個人信息范圍”，只要超過“必要個人信息范圍”的收集和處理行為，均屬于超范圍收集個人信息，必須堅決予以打擊和懲處。此次四部門聯(lián)合發(fā)布的《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》，填補(bǔ)了這一空白。

超范圍收集個人信息的主要情形

關(guān)于App超范圍收集個人信息的情形，主要有三類：一是App收集無關(guān)信息；二是App強(qiáng)制收集非必要信息；三是App收集頻率不合理。

1.App收集無關(guān)信息

App收集的個人信息類型或申請的系統(tǒng)權(quán)限與App提供的業(yè)務(wù)功能無關(guān)，已經(jīng)成為常態(tài)。多數(shù)情況下，App實際收集的個人信息類型與現(xiàn)有業(yè)務(wù)功能無關(guān)，這里的“無關(guān)”，是指該類信息并非實現(xiàn)現(xiàn)有業(yè)務(wù)功能所必需。實踐中，尤其令人厭惡的是，一些App捆綁多項業(yè)務(wù)功能一攬子征求用戶同意，不同意則不提供任何單一服務(wù)。

2.App強(qiáng)制收集非必要信息

我國《網(wǎng)絡(luò)安全法》第四十一條第二款明確規(guī)定：“網(wǎng)絡(luò)運營者不得收集與其提供的服務(wù)無關(guān)的個人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息，并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個人信息?！?/p>

上述規(guī)定是一項強(qiáng)制性規(guī)定，有三層意思：首先，網(wǎng)絡(luò)運營者收集的個人信息必須嚴(yán)格限制在“必要個人信息”范圍之內(nèi)，不得超越；其次，網(wǎng)絡(luò)運營者不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集和使用個人信息；再次，在符合以上強(qiáng)制性規(guī)定的前提下，App收集個人信息之后，必須依法和依約，處理其保存的個人信息，確保個人信息的安全。

3.App收集頻率不合規(guī)

許多App在用戶使用業(yè)務(wù)功能時，收集個人信息的頻率嚴(yán)重超出其業(yè)務(wù)功能的實際需要，以“網(wǎng)絡(luò)預(yù)約出租汽車服務(wù)、巡游出租汽車電召服務(wù)”為例，其基本功能服務(wù)需要的必要個人信息有三類：一是注冊用戶移動電話號碼；二是乘車人出發(fā)地、到達(dá)地、位置信息、行蹤軌跡；三是支付時間、支付金額、支付渠道等支付信息等。如果每1秒上傳一次用戶的精確定位信息，就屬于收集頻率不合規(guī)。

還有相當(dāng)數(shù)量的App，用戶每次使用時，對于可選提供的系統(tǒng)權(quán)限，在用戶已經(jīng)拒絕之后，每當(dāng)其重新打開App或進(jìn)入相應(yīng)界面時，仍然會不斷地向用戶索要或以彈窗等形式提示用戶缺少相關(guān)權(quán)限，嚴(yán)重干擾了用戶正常使用。

《規(guī)定》明確“必要個人信息”的定義

收集用戶信息不能任性而為，這是法治社會的必然要求?！兑?guī)定》對“必要個人信息”做出了定義：“必要個人信息是指，保障App基本功能服務(wù)正常運行所必需的個人信息，缺少該信息App即無法實現(xiàn)基本功能服務(wù)。具體是指消費側(cè)用戶個人信息，不包括服務(wù)供給側(cè)用戶個人信息?！?該定義有以下特征：首先，必要個人信息是指保障App業(yè)務(wù)功能正常運行所最少夠用的個人信息；其次，所謂”必要個人信息“是指一旦缺少這些必要的信息將導(dǎo)致App服務(wù)無法實現(xiàn)或無法正常運行，比如網(wǎng)約車App收集的位置信息，即時通信類App收集的用戶移動電話號碼，網(wǎng)絡(luò)支付類App收集的注冊用戶姓名、證件類型和號碼、證件有效期限、銀行卡號碼等，如果缺少這些基本的信息，App的正常服務(wù)功能將無法實現(xiàn)。

不是所有的App服務(wù)都需要必要個人信息

《規(guī)定》明確了39種常見類型App的必要個人信息范圍。有些App需要必要個人信息，有些App根本不需要必要個人信息。《規(guī)定》列舉出不需要必要個人信息就可以提供業(yè)務(wù)的App有十三類：女性健康類、網(wǎng)絡(luò)直播類、在線影音類、短視頻類、新聞資訊類、運動健身類、瀏覽器類、輸入法類、安全管理類、電子圖書類、拍攝美化類、應(yīng)用商店類等，以“運動健身類“和”網(wǎng)絡(luò)直播類“為例，前者的基本功能服務(wù)為“運動健身訓(xùn)練”，無須個人信息，即可使用基本功能服務(wù)；后者的基本功能服務(wù)為“向公眾持續(xù)提供實時視頻、音頻、圖文等形式信息瀏覽服務(wù)”，也無須個人信息，即可使用基本功能服務(wù)。

由此，消費者要在下載和使用App時，一定要分清哪些App需要必要個人信息，哪些App根本不需要必要個人信息。即使App需要必要個人信息才能實現(xiàn)其功能和服務(wù)，我們也一定要清楚，“必要個人信息”一定是保障App業(yè)務(wù)功能正常運行所需要的最少夠用的個人信息，App超范圍收集個人信息是一種違法行為，應(yīng)當(dāng)向監(jiān)管機(jī)關(guān)反映和舉報。

App運營者也要尊法而行、合規(guī)經(jīng)營，保障用戶在網(wǎng)絡(luò)空間的合法權(quán)益，在法治軌道上謀求自身的長遠(yuǎn)發(fā)展。

App超范圍收集個人信息的法律責(zé)任

法律的生命力在于實施，法律的權(quán)威也在于實施。我國《網(wǎng)絡(luò)安全法》第四十一條第二款規(guī)定：“網(wǎng)絡(luò)運營者不得收集與其提供的服務(wù)無關(guān)的個人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息，并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個人信息?！?/p>

《網(wǎng)絡(luò)安全法》第六十四條對網(wǎng)絡(luò)運營者、網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的提供者違反第四十一條的規(guī)定明確了以下法律責(zé)任：侵害個人信息依法得到保護(hù)的權(quán)利的，由有關(guān)主管部門責(zé)令改正，可以根據(jù)情節(jié)單處或者并處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款，沒有違法所得的，處一百萬元以下罰款，對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款；情節(jié)嚴(yán)重的，并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照。

中共中央《法治社會建設(shè)實施綱要（2020－2025年）》提出，嚴(yán)格規(guī)范收集使用用戶身份、通信內(nèi)容等個人信息行為，加大對非法獲取、泄露、出售、提供公民個人信息的違法犯罪行為的懲處力度。筆者建議，應(yīng)當(dāng)將四部委確立的“必要個人信息”法律化，提高法律位階，把這一制度納入正在審議的《個人信息保護(hù)法（草案）》。同時，要加大對非法獲取、泄露、出售、提供公民個人信息的違法犯罪行為的懲處力度，加大違法成本是遏制侵犯公民個人信息最有效的手段。

作者為浙江大學(xué)教授、博導(dǎo)，南京郵電大學(xué)數(shù)字經(jīng)濟(jì)戰(zhàn)略與法治研究中心主任

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/