為App個人信息收集劃紅線

馬旗戟

國家互聯網信息辦公室等四部門近日聯合印發《常見類型移動互聯網應用程序必要個人信息范圍規定》，明確了39種常見類型App的必要個人信息范圍，同時明確運營者不得因用戶不同意收集非必要個人信息，而拒絕其使用App基本功能服務。新規自5月1日起施行。此次新規發布，為App個人信息收集范圍劃出紅線，無疑是對近年來APP違規收集個人信息亂象的針對性治理。

數字科技的發展，為經濟和社會生活帶來極大便利和效益的同時，也衍生出嚴重的侵犯個人信息權利的現象，其中App超范圍收集用戶個人信息、捆綁一攬子索取個人信息授權的問題非常嚴重。事實上，自2019年初開始，工信部等部門就陸續制定、發布和實施了一系列旨在規范個人信息收集與使用的規定，如《關于開展APP違法違規收集使用個人信息專項治理的公告》《關于開展APP侵害用戶權益專項整治工作的通知》《關于開展縱深推進APP侵害用戶權益專項整治行動的通知》等，隨著治理的不斷推進，此次四部門又聯合發布了《常見類型移動互聯網應用程序必要個人信息范圍規定》。

此次規定有兩個亮點：一是規定涵蓋的39類App基本覆蓋了社會生活的絕大方面，提供了較為全面的保障，既將個人信息保護擴展至最大范圍，也避免規定范圍出現缺失導致實施上的漏洞。二是規定的出臺為監管部門提供了更有力的監督和執法依據，為相關企業的合規整改與后續開發提供了明確指引，同時也為用戶進行自我權利保護提供了辨識和監督的指導。

通過與相關法律規定等進行比較，我們可以看到幾點值得關注之處。

第一點，此次規定中的“必要個人信息”的定義主要是指消費側用戶個人信息，不包括服務供給側用戶個人信息，也就是說，在App（及平臺、生態）上的經營者、服務商不包括在內，規范的目標主要是解決社會中的個體消費者群體個人信息權利被侵犯問題。

第二點，此次規定調整（新增或限制）了部分必要個人信息范圍，都是出于規定發布部門對此前相關規定和市場實踐中獲取的經驗及不同意見與觀點進行的平衡，以利于在實務中可以更順暢地施行。例如，除非相關法規有特別規定，身份證不再成為某些App的必要個人信息，這實際上是一個不小的變動，對相關企業的擴展業務也有不確定的影響，企業需要謹慎對待。

第三點，《網絡安全法》和處于立法中的《個人信息保護法（草案）》《數據安全法（草案）》正在逐步構建個人信息保護的法律體系，在這一體系建立之前，目前各部門所發布的規定、規范、通知和標準等都是一種過渡性和實踐性應對，對企業數據合規和數據管理進行一種積極的“指導”，其中當然會涉及許多未來可能會進一步修訂、優化和完善的內容。

例如，必要個人信息的“必要”情形的界定和基礎功能服務的“基礎功能”的描述都還有著模糊、寬泛和不確定之處。在數字經濟的市場發展和業務擴展中，消費者所需要的App功能與價值并非由App最初階段的基本功能所規定，某些以前的附加或增值、擴展功能會轉化為消費者選擇與使用這一App時的基本的功能。那么，如何有效地處理需要更加明確。

毋庸置疑，數字經濟社會下，數據治理、數據監管和數據運用，是所有主體都關切的話題和需要履行的責任、義務，而新規的出臺只是再一次提醒企業需要不斷提升數據合規、安全和保護的意識與能力，使國家、企業和公眾獲得更可信賴、更加安全的數據經濟的效益。

（作者系中國國家廣告研究院研究員）