App过度收集个人信息？四部门：13类App不需个人信息即可使用

《财经》新媒体2021-03-25 19:46:371阅

原标题：App过度收集个人信息？以后不行了

来源：财经E法

文 | 《财经》E法樊瑞编辑 | 鲁伟

规范、整治手机App，监管部门又有新动作。

3月22日，国家网信办、工信部、公安部、国家市场监管总局四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》（下称《规定》），明确App运营者不得因用户不同意收集非必要个人信息，而拒绝用户使用App基本功能服务，并明确39类App必要个人信息范围。《规定》将于2021年5月1日起实施。

近年来，用户个人信息被泄露事件时有发生。工信部已连续两年开展App侵害用户权益专项整治行动，重点整治包括App违规收集使用个人信息在内的问题。截至2021年3月，工信部共完成73万款App的技术检测，责令整改3046款违规App，下架179款拒不整改的App，相关治理工作取得了积极成效。

有专家对《财经》E法表示，此次《规定》的出台，有助于避免App扩大范围收集和使用个人信息，从而进一步压缩恶意使用个人信息的空间。

13类App不需个人信息即可使用

国家网信办指出，App超范围收集用户个人信息问题十分突出。特别是大量App通过捆绑功能服务一揽子索取个人信息授权，用户拒绝授权就无法使用App基本功能服务，变相强制用户授权。为聚焦解决App超范围收集个人信息问题，规范收集个人信息活动，国家网信办会同工信部等四部分联合制定《规定》。

《规定》明确了地图导航、网络约车、即时通信、网络购物等39类常见App必要个人信息范围，要求其运营者不得因用户不同意提供非必要个人信息，而拒绝用户使用App基本功能服务。

适用于《规定》的App包括移动智能终端预置、下载安装的应用软件，基于应用软件开放平台接口开发的、用户无需安装即可使用的小程序。

值得注意的是，3月12日，工信部点名了2021年第三批侵害用户权益行为的136款App，这是2019年以来，工信部第12次针对APP违规收集个人信息发布公告，这其中网络游戏多达十余款。

此次《规定》的出台，对于网游玩家的隐私也将起到较好的保护作用。对于网络游戏App，《规定》认定其基本功能服务为“提供网络游戏产品和服务”，必要个人信息仅为注册用户的移动电话号码。

《规定》还认定包括短视频类、新闻资讯类、浏览器类、拍摄美化类、实用工具类等共计13种App不需个人信息，即可使用基本功能服务。

中国电子技术标准化研究院网安中心测评实验室副主任何延哲告诉《财经》E法，《规定》的出台显示监管部门对App治理呈现精细化的趋势，核心是要解决超范围收集和过度收集个人信息的问题，“个人信息一旦被收集，即使再做处罚也无法改变消费者的合法权益已经被损害的事实，所以要从源头上开始进行管制，明确什么信息可收集。”

何延哲表示，前述39类App基本涵盖个人生活的所有类型，《规定》的出台能起到保护个人信息的关键作用，但并不意味着结束，这是在释放以后会加大对个人信息保护的信号。

明确必要信息的收集范围

北京云嘉律师事务所律师、中国政法大学知识产权研究中心研究员赵占领表示，《网络安全法》等法律规定了收集、使用个人信息需要遵守“正当”、“合法”、“必要”三个原则。关于“必要原则”如何理解，实践中经常存在着很大争议。《规定》是对“必要原则”的细化，明确了各类常见的应用软件所能收集的必要个人信息的范围。这对于解决“必要原则”的适用提供了非常明确具体的标准，也有助于避免应用软件扩大范围收集和使用个人信息。

《规定》明确，“必要个人信息，是指保障App基本功能服务正常运行所必需的个人信息，缺少该信息App即无法实现基本功能服务。具体是指消费侧用户个人信息，不包括服务供给侧用户个人信息。”

清华大学法学院副院长程啸表示，《规定》实际体现了两个方面的要求】其一，保证App基本功能服务正常运行的需要。App的服务实际上在网络运营者和用户之间形成了网络服务合同，在履行合同中，合同当事人必须互相提供必要的信息（包括个人信息），否则就无法履行合同。

其二，体现合法原则。从《规定》列举的39类App可知，几乎绝大部分的App都将“注册用户移动电话号码”作为必要的个人信息。《网络安全法》第24条第1款规定：“网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。”

由此可见，中国的移动电话号码依法采取实名制。App要求将注册用户移动电话号码作为必要的个人信息，一方面是对法律要求的实名制的落实，另一方面也有利于维护网络运营者和自然人双方的合法权益。

哪些App受影响最大？

App过度收集个人信息的乱象频出。中国目前有数百万个App，不少App都存在过度收集收集、使用个人信息的行为。

中国的互联网产业在发展过程中非常依赖个人信息，在何延哲看来，“很难想象没有个人信息的互联网产业，那可能就类似于传统软件产业，限制过度采集个人信息，其实戳中了互联网产业的软肋”。

不过，何延哲也强调，过度搜集个人信息会增加信息泄漏和滥用的可能性。“我们不拒绝大数据，但是我们需要压缩恶意使用个人信息的空间”。

在程啸看来，对个人信息进行过度的收集、使用、存储等处理行为，为泄露、非法公开或非法买卖个人信息的违法犯罪行为埋下隐患，客观上也增加了个人信息权益遭受侵害的风险，既不利于有效保护广大民事主体的人身财产权益，也不利于网络信息产业乃至整个信息经济的发展。他指出，《规定》是对《网络安全法》《民法典》中对个人信息保护原则的具体贯彻落实。

何延哲表示，经过前期的治理，现在一些App学“聪明”了，把隐私政策放在前面，用户需要点击确认才可使用软件。用户授权同意获得个人信息，企业可能损失用户的体验度，但是换来了所谓的“合规”前提。《规定》实施后，如果企业通过捆绑基本功能和其他功能的方式，强制获取非必要的个人信息，即使经过用户点击过同意隐私政策，也依然是不合规的。

程啸分析，《规定》对于网络运营者来说，有了非常明确的、具有可预期的行为规范，可减少合规成本，避免出现违法违规行为；监管机关有更明确的执法标准，做到有章可循，依法行政；对于个人来说，可有效维护自身的信息权益。

何延哲认为，《规定》出台后，对定向广告依赖强的App可能受到较大影响，“这些App获利的方式就是根据精准的画像推送广告，如果不知道是谁在使用设备，那广告的价值要大打折扣。”

39种常见类型App的必要个人信息范围，其中13类App无须个人信息，即可使用基本功能服务。

【女性健康类、网络直播类、在线影音类、短视频类、新闻资讯类、运动健身类、浏览器类、输入法类、安全管理类、电子图书类、拍摄美化类、应用商店类、实用工具类】均无须个人信息，即可使用基本功能服务。

【地图导航类】位置信息、出发地、到达地。

【网络约车类】注册用户移动电话号码；乘车人出发地、到达地、位置信息、行踪轨迹；支付时间、支付金额、支付渠道等支付信息（网络预约出租汽车服务）。

【即时通信类】注册用户移动电话号码；账号信息，包括账号、即时通信联系人账号列表。

【网络支付类】注册用户移动电话号码；注册用户姓名、证件类型和号码、证件有效期限、银行卡号码。

【网上购物类】注册用户移动电话号码；收货人姓名（名称）、地址、联系电话；支付时间、支付金额、支付渠道等支付信息。

【餐饮外卖类】注册用户移动电话号码；收货人姓名（名称）、地址、联系电话；支付时间、支付金额、支付渠道等支付信息。

【邮件快件寄递类】寄件人姓名、证件类型和号码等身份信息；寄件人地址、联系电话；收件人姓名（名称）、地址、联系电话；寄递物品的名称、性质、数量。

【交通票务类】注册用户移动电话号码；旅客姓名、证件类型和号码、旅客类型。旅客类型通常包括儿童、成人、学生等；旅客出发地、目的地、出发时间、车次/船次/航班号、席别/舱位等级、座位号（如有）、车牌号及车牌颜色（ETC服务）；支付时间、支付金额、支付渠道等支付信息。