“刷脸”立规影响谁：金融类、导航类、通讯类APP最受影响

原标题：“刷脸”立规影响谁？

本报记者 裴昱 北京报道

备受争议的移动互联网APP收集包括面部信息在内的个人信息问题，终于有了初步“有规可依”的迹象。中央政府监管部门已经开始着手制定、出台有关政策，对于包括采集用户面部信息在内的个人信息范围等，进行规定。

承担这一职能的，便是《常见类型移动互联网应用程序必要个人信息范围规定》（以下简称《规定》）。这份由国家网信办、公安部、工信部、市场监管总局的监管文件，目前已经下发，并开始执行。相关互联网企业内部人士称，正在对照《规定》，进行自查，以避免违规。

此前，各类APP无序收集用户个人信息等问题，一直为社会公众所诟病。但是，在互联网日益成为社会运行的基础设施的大背景下，如何处理便利性、效率与用户个人信息之间的平衡问题，在互联网公司、政府监管部门和用户之间，难有共识。而此次《规定》的出台，恰是一个“好的开始”。

实质性立规

2020年底，一宗本应不甚起眼的民事纠纷案件在杭州宣判，却引起了社会的广泛关注。这是一起由杭州一家动物园，强制要求采集用户面部信息引发的民事纠纷案件。原告方浙江理工大学特聘副教授郭兵的部分诉请，得到了法庭裁决的支持，法院判令杭州野生动物园删除郭兵办理指纹年卡时提交的包括照片在内的面部特征信息，并赔偿郭兵1038元。

“案子不大，但是我们还是非常关注。”在谈起已经下发的《规定》时，一位大型互联网公司法务部门的负责人告诉《中国经营报》记者，“倒不是赔偿的问题，而是这个案子的判决，我们觉得传递出一种信号，就是对于移动互联网APP采集用户个人信息这个问题，监管部门有出手规范的意思，我们当时就在内部做了沟通和提示，现在看，果不其然。”

让这位从事20多年互联网公司法务工作的负责人感叹“果不其然”的，便是《常见类型移动互联网应用程序必要个人信息范围规定》。在他看来，《规定》虽然“层级不高”，但是，出台部门却都是互联网机构的实体监管部门，因此，“不能简单看待”。

记者了解到，《规定》的联合制定部门，包括国家网信办、工信部、公安部和国家市场监管总局。根据上述四机构的“三定方案”，其对互联网公司及其产品、服务，都有直接进行监管的权力。另外一家中型互联网企业的法务部门人士告诉记者，这几个监管部门，对于APP产品，都有认定违规后，依法暂停运行APP产品的权力。

“之前对于采集个人信息这个领域，没有太具体的规定，而这次《规定》填补了空白，对于我们的合规工作，是很好的事，工作就有了比较明确的标准，内部也更有利于沟通，毕竟合规部门和产品、运营部门的关注点是不一样的，但前提是必须合规经营，企业风险才能降到最小。”前述互联网企业的法务部门负责人表示。

关键的“必要”

多位互联网公司的合规部门人士都告诉记者，在拿到《规定》之后，他们都进行了仔细的研究。“一方面是研究监管的要求和标准，识别合规与违规的界限；二是也逐步先给自己体检，看看在用户个人信息采集方面，有没有不合规的情况，至少自己心里有个‘底数’。”

在他们研究、初步对照自查的过程中，有一点是较为一致的“共识”，那就是《规定》的核心，在于强调运营者不得因用户不同意提供非必要个人信息，而拒绝用户使用APP基本功能服务。在这个核心内容中，“必要”的标准，就成为了关键所在。

一位接近监管部门的人士向记者表示，《规定》在起草拟定的过程中，就十分重视可执行性，因此，“分类非常细，也基本反映了当前市场上运行的APP的类型，具有很强的执行性。”记者查阅《规定》，总计对APP划分了39大类，并明确了这39类APP可以采集的用户个人信息范畴。他告诉记者，最初是38类，在最后下发的时候，又增加票务演出一类，总计39类。“已经非常细，非常专业了。”他说。

在此之前，《网络安全法》出台，对个人信息的使用提出了“合法、正当、必要”的三项基本原则。但是，在市场实践中，很多APP虽然遵循“授权后采集”，但是，其授权收集范围，往往“扩”得十分广泛，而此次《规定》的出台，即是“堵上”这个“口子”，通过明确“必要”的标准，来制约APP运营方，通过超范围收集“非必要个人信息”，从而使这一切的监管，有的放矢。

“必要就是最关键的，只要不必要，就不应该收集用户的信息，而什么是必要，《规定》里是分类说了的，这一点很明确，所以，我和内部沟通的时候，一直也在说什么是‘必要’，这个问题，在这上面，必须在合规上从内部达成共识。”前述互联网企业的法务部负责人表示。

谁受到影响？

记者查阅《规定》发现，在“必要”问题上，《规定》采用了详细的、针对性的方式，开列了每一类APP可以采集的用户个人信息的范围，并且明确规定了不得采集用户个人信息的范围。这无疑会对APP的运营和运行，产生实质性的影响。

记者了解到，《规定》将涉及金融行业的APP进行了单独分类，为网络借贷类、投资理财类和手机银行类三类金融类APP。而规定在这三类APP的“可采集的必要个人信息”范围中，并不包括人脸等生物识别信息和通讯录。同时，《规定》的第四条又提出，“APP不得因为用户不同意提供非必要个人信息，而拒绝用户使用其基本功能服务”。

而这一领域规定的必要个人信息包括：注册用户移动电话号码；借款人姓名、证件类型和号码、证件有效期限、银行卡号码。

而对于地图导航类APP，必要个人信息为位置信息、出发地、到达地，该类APP不得因搜集其他信息而拒绝用户使用“定位和导航”这一基本功能。此外，另一大类用户最为广泛的APP——即时通讯类APP，其必要信息则是包括信息包括注册用户移动电话号码、账号、即时通信联系人账号列表，基本功能则包括提供文字、图片、语音、视频等网络即时通信服务。

“从目前市场上的情况看，各类APP都不同程度地存在超必要范围采集用户个人信息的问题，尤其是在面部等生物识别信息方面，所以，在合规这条路上，互联网公司还有很长的路要走，在防止资本无序扩张的大背景下，大家都应该认清这个现实，环境不一样了。”前述互联网企业法务部门的负责人表示。

（编辑：孟庆伟 校对：彭玉凤）

责任编辑：尹悦