涤荡App 不正之风

南方周末评论员

日前，全国信息安全标准化技术委员会发布《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》。其最大的特色是，依据个人信息最少够用原则，以基本业务功能划分了16类App，给出了与每类业务功能相关的必要信息范围，即一旦缺少会导致基本功能无法实现或无法正常运行的信息。这是对行业不正之风动真格，有望极大改善个人信息与隐私保护。

想必不少人遇见过这样的情况：随便一款App，都敢向用户索要访问通讯录、读取短信与读取通话记录的权限；某些热门App，店大欺客，你不给它想要的个人信息就安装或使用不了，而这些信息与其业务功能一毛钱关系都没有。尤其是适用安卓机的各类App，超范围收集、强制授权与过度索取等是一个值得关切的现象。

在上述规范通过后，有媒体在2019年6月10-17日使用安卓系统华为手机进行测试，发现在被测试的50款App中，仍有24款App索取权限超出规范。

2016年网络安全法第41条规定：网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则……并经被收集者同意；不得收集与其提供的服务无关的个人信息。第64条规定的罚则包括没收违法所得、罚款等，情节严重的，可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

这一法律对App不法运营者有所震慑。不过，何谓“必要”，或者何谓“最少够用”，仍有待一个独立第三方来进行清晰界定。

上述规范解决了这个问题。首先，全国信息安全标准化技术委员会是官方机构，成员包括中央网信办、工信部与公安部等部门的官员与专业人士。其次，规范界定的基本业务功能必要信息，很清晰很具体，不厌其烦。例如，地图导航类仅为位置信息；新闻资讯类、短视频类App只能获取用户关注的账号信息，但自媒体用户需要实名认证；即时通讯社交类，应允许用户手动添加好友，金融借贷类，应允许用户手动输入两位紧急联系人信息，都不应强制读取用户的通讯录。

上述规范既适用于App提供者“规范个人信息搜集行为”，也适用于“主管监管部门、第三方评估机构等对于个人信息收集行为进行监督、管理和评估”，可能还会影响网络完全法对个人信息搜集行为合法与非法边界的认定，即会影响监管与司法实践。所以必将对App业态产生积极影响。

当然，哪怕仅就App而言，个人信息保护也是一个系统工程。让个人信息最少够用原则成为可操作性的规范，只是其中的一个方面。保障被搜集的个人信息不被过度使用、非法使用与倒卖，保障个人信息“被遗忘权”等等，也都不可或缺。