網信辦等四部門發布App個人信息收集規定

蒙慧欣

2021年3月22日，國家互聯網信息辦公室、工業和信息化部、公安部、國家市場監督管理總局聯合印發《常見類型移動互聯網應用程序必要個人信息范圍規定》，明確移動互聯網應用程序（App）運營者不得因用戶不同意收集非必要個人信息，而拒絕用戶使用App基本功能服務，并且《規定》明確了39種常見類型App的必要個人信息范圍。

隨著移動互聯網的快速發展，各類應用程序迅速普及應用，在促進經濟社會發展、服務民生等方面發揮了重要作用。但同時，App超范圍收集用戶個人信息問題十分突出。特別是大量App通過捆綁功能服務一攬子索取個人信息授權，用戶拒絕授權就無法使用App基本功能服務，變相強制用戶授權。為聚焦解決App超范圍收集個人信息問題，規范收集個人信息活動，國家互聯網信息辦公室會同工業和信息化部、公安部、國家市場監督管理總局聯合制定實施該《規定》。

《規定》明確了地圖導航、網絡約車、即時通信和網絡購物等39類常見類型移動應用程序必要個人信息范圍，要求其運營者不得因用戶不同意提供非必要個人信息，而拒絕用戶使用App基本功能。

《規定》明確規定了App收集的必要個人信息

網經社電子商務研究中心特約研究員、浙江墾丁律師事務所褚霞律師提到，除了移動智能終端的應用軟件，《規定》明確了小程序屬于App的范圍，小程序運營者同樣需要遵循依法規范收集用戶個人信息。明確界定了必要個人信息是指保障App基本功能服務正常運行所必需的個人信息，缺少該信息App即無法實現基本功能服務。從實務上的進一步理解，則可以理解為用戶向App提供的個人信息是為了訂立或履行雙方合同的客觀必要，該類信息屬于必要個人信息。同時，該規定還明確了39類常見類型App的基本功能服務和必要個人信息。

褚霞說道，該《規定》明確App不得因為用戶不同意提供非必要個人信息而拒絕用戶使用其基本功能服務。比如根據《規定》，地圖導航類的App基本功能服務為定位和導航，必要個人信息為位置信息、出發地和到達地，如果超出了前述必要個人信息的范圍就屬于非必要個人信息，App不能因為用戶不提供該類非必要信息而拒絕為用戶提供定位和導航服務。同時，該規定也明確了必要個人信息具體是指“消費側用戶個人信息，不包括服務供給側用戶個人信息”。比如以滴滴為例，其用戶版本即消費側，而司機版本則是供給側，理解為若用戶屬于終端消費者，則該用戶個人信息即為消費側用戶個人信息。

成本低監管缺失是App侵犯個人信息原因之一

近年來，信息泄露事件屢屢發生，而App過度索要授權是個人信息泄露的導火索之一。2020年，工信部App侵害用戶權益專項整治行動縱深推進，截至2020年12月，已經對52萬款App進行了技術檢測工作，責令1 571款違規App進行整改，公開通報了500款App，下架120款整改不到位及拒不整改的App。

2020年，工信部向社會通報了7批存在侵害用戶權益行為App企業的名單。

網經社電子商務研究中心法律權益部助理分析師方熠智認為，首先，犯罪成本低、定罪和監管力度不夠導致了侵犯個人信息的行為屢禁不止；其次，從行為本身來看，侵犯個人信息往往只需要在網絡上略加操作，便可達成交易獲利，違法行為的簡易性以及高回報率也使得該現象難以根治。

同時，網經社電子商務研究中心特約研究員、浙江墾丁律師事務所褚霞律師也表示，需求與供給是相對應的，侵犯個人信息的行為也是基于市場需求的。互聯網的雙邊效應和前端免費后端收費的模式，在一定程度上促使了侵犯個人信息行為的發生。雖然在逐步完善過程中的法律體系以及多方參與治理，使得侵犯個人信息的行為在近年來得到了有效控制。但基于現實情境的多樣化和我國互聯網快速發展的現狀，難免仍有持續侵犯個人信息的行為。此外，公民對個人信息的保護意識逐漸從沒有感知、不在意到愈加重視，并積極依法維權。比如人臉識別等案件都為公民依法保護其個人信息不受侵犯提供了良好的范例。