网信办等四部门发布App个人信息收集规定

蒙慧欣

2021年3月22日，国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合印发《常见类型移动互联网应用程序必要个人信息范围规定》，明确移动互联网应用程序（App）运营者不得因用户不同意收集非必要个人信息，而拒绝用户使用App基本功能服务，并且《规定》明确了39种常见类型App的必要个人信息范围。

随着移动互联网的快速发展，各类应用程序迅速普及应用，在促进经济社会发展、服务民生等方面发挥了重要作用。但同时，App超范围收集用户个人信息问题十分突出。特别是大量App通过捆绑功能服务一揽子索取个人信息授权，用户拒绝授权就无法使用App基本功能服务，变相强制用户授权。为聚焦解决App超范围收集个人信息问题，规范收集个人信息活动，国家互联网信息办公室会同工业和信息化部、公安部、国家市场监督管理总局联合制定实施该《规定》。

《规定》明确了地图导航、网络约车、即时通信和网络购物等39类常见类型移动应用程序必要个人信息范围，要求其运营者不得因用户不同意提供非必要个人信息，而拒绝用户使用App基本功能。

《规定》明确规定了App收集的必要个人信息

网经社电子商务研究中心特约研究员、浙江垦丁律师事务所褚霞律师提到，除了移动智能终端的应用软件，《规定》明确了小程序属于App的范围，小程序运营者同样需要遵循依法规范收集用户个人信息。明确界定了必要个人信息是指保障App基本功能服务正常运行所必需的个人信息，缺少该信息App即无法实现基本功能服务。从实务上的进一步理解，则可以理解为用户向App提供的个人信息是为了订立或履行双方合同的客观必要，该类信息属于必要个人信息。同时，该规定还明确了39类常见类型App的基本功能服务和必要个人信息。

褚霞說道，该《规定》明确App不得因为用户不同意提供非必要个人信息而拒绝用户使用其基本功能服务。比如根据《规定》，地图导航类的App基本功能服务为定位和导航，必要个人信息为位置信息、出发地和到达地，如果超出了前述必要个人信息的范围就属于非必要个人信息，App不能因为用户不提供该类非必要信息而拒绝为用户提供定位和导航服务。同时，该规定也明确了必要个人信息具体是指“消费侧用户个人信息，不包括服务供给侧用户个人信息”。比如以滴滴为例，其用户版本即消费侧，而司机版本则是供给侧，理解为若用户属于终端消费者，则该用户个人信息即为消费侧用户个人信息。

成本低监管缺失是App侵犯个人信息原因之一

近年来，信息泄露事件屡屡发生，而App过度索要授权是个人信息泄露的导火索之一。2020年，工信部App侵害用户权益专项整治行动纵深推进，截至2020年12月，已经对52万款App进行了技术检测工作，责令1 571款违规App进行整改，公开通报了500款App，下架120款整改不到位及拒不整改的App。

2020年，工信部向社会通报了7批存在侵害用户权益行为App企业的名单。

网经社电子商务研究中心法律权益部助理分析师方熠智认为，首先，犯罪成本低、定罪和监管力度不够导致了侵犯个人信息的行为屡禁不止；其次，从行为本身来看，侵犯个人信息往往只需要在网络上略加操作，便可达成交易获利，违法行为的简易性以及高回报率也使得该现象难以根治。

同时，网经社电子商务研究中心特约研究员、浙江垦丁律师事务所褚霞律师也表示，需求与供给是相对应的，侵犯个人信息的行为也是基于市场需求的。互联网的双边效应和前端免费后端收费的模式，在一定程度上促使了侵犯个人信息行为的发生。虽然在逐步完善过程中的法律体系以及多方参与治理，使得侵犯个人信息的行为在近年来得到了有效控制。但基于现实情境的多样化和我国互联网快速发展的现状，难免仍有持续侵犯个人信息的行为。此外，公民对个人信息的保护意识逐渐从没有感知、不在意到愈加重视，并积极依法维权。比如人脸识别等案件都为公民依法保护其个人信息不受侵犯提供了良好的范例。