文：楊帆

來源：21世紀經(jīng)濟報道(dào)

近日，國(guó)家互聯網信息辦公室發(fā)布《常見類型移動互聯網應用程序（App）必要個人信息範圍（征求意見稿）》（簡稱《必要個人信息範圍》）向(xiàng)社會(huì)公開(kāi)征求意見。

在大數據時代，數據是重要的生産要素和互聯網企業的核心資産，國(guó)家也認可數據作爲新型生産要素的意義和價值，而我們每個個體幾乎每時每刻都(dōu)在生産著(zhe)數據，我們的個人信息中相關權益的界定成(chéng)爲一個複雜問題。如何在推動數字經(jīng)濟發(fā)展和加強對(duì)個人信息的法律保護之間取得平衡，是我們這(zhè)個時代面(miàn)臨的重大社會(huì)和法律問題。

2020年5月，十三屆全國(guó)人大三次會(huì)議表決通過(guò)的《中華人民共和國(guó)民法典》在總則編的111條規定了“自然人的個人信息受法律保護”的基本原則，人格權編的第六章“隐私權和個人信息保護”具體闡述了個人信息利用和保護的具體規則，侵權責任編的第三章規定了網絡用戶、網絡服務提供者利用網絡侵害他人民事(shì)權益應承擔的侵權責任。應該說，《民法典》兼顧了個人信息保護和信息利用之間的平衡，呼應了時代發(fā)展的需求。

但《民法典》作爲民事(shì)基本法，其确立的規則畢竟還(hái)是較爲抽象原則，所以政府各相關部門還(hái)有必要根據《民法典》的規定，制定更爲詳細的規範性文件。而《必要個人信息範圍》正是《民法典》關于個人信息保護規則的進(jìn)一步落實。

衆所周知，一些App存在強制授權、過(guò)度索權、超範圍收集個人信息的現象，違法違規使用個人信息的問題時有發(fā)生。用戶在給手機安裝某些App時，往往會(huì)被(bèi)詢問是否允許索取定位、發(fā)送通知、訪問設備照片、撥打電話等權限，爲了可以正常使用App，用戶不得不選擇“允許”或“接受”。由于當前關于個人信息收集隻是原則性規定，而信息和數據背後(hòu)也牽涉著(zhe)一些商業利益，部分App會(huì)爲自己收集個人信息或過(guò)度收集的必要性進(jìn)行辯解。比如有的短視頻、新聞資訊類App收集個人信息的理由是要提供精準推送服務，但其實際意圖可能(néng)是收集與分析用戶個人信息，以精準刻畫出用戶畫像，構建低成(chéng)本、高精準的用戶群體數據庫，獲得可觀的商業回報。因爲目前缺乏統一的執法标準，相對(duì)合規的企業也隻能(néng)綜合考慮自身掌握的行業普遍實踐情況、監管部門公布的執法案例情況，來決定企業自身的業務實踐标準，因此企業數據合規的完整性和穩定性還(hái)有待進(jìn)一步保障。

《必要個人信息範圍》正是App合規走向(xiàng)标準化的重要舉措。該文件開(kāi)宗明義地指出“必要個人信息是指保障App基本功能(néng)正常運行所必須的個人信息，缺少該信息App無法提供基本功能(néng)服務。隻要用戶同意收集必要個人信息，App不得拒絕用戶安裝使用。”這(zhè)直接就否定了一些App對(duì)于用戶不交個人信息就不能(néng)下載安裝的做法。并且，文件還(hái)對(duì)地圖導航、網絡約車、即時通信等38類常見類型App的必要個人信息收集逐一進(jìn)行了明确的列舉，規範其過(guò)度收集個人信息的行爲，比如地圖導航類App，對(duì)應的可收集的必要個人信息就隻有位置信息；網約車類App對(duì)應的則隻有用戶電話号碼或其他真實身份信息，以及乘車人出發(fā)地、到達地、位置信息、行蹤軌迹等。而對(duì)于短視頻類、網絡直播類、新聞資訊類等12類App，文件明确規定，無需個人信息，即可使用基本功能(néng)服務，讓這(zhè)些App不再有借口違規收集個人信息。

應當說，《必要個人信息範圍》基于App提供的基本功能(néng)服務，劃定了各類App個人信息收集的邊界，明确了各類App收集必要個人信息的範圍，防範App過(guò)度收集個人信息，真正體現了個人信息收集的“必要”、“最小”原則，讓“必要”與“非必要”的紅線變得一目了然。這(zhè)就使法律的原則性規定走向(xiàng)精細化。一方面(miàn)，這(zhè)讓企業主體知道(dào)在收集、處理、利用個人信息的過(guò)程中要采用什麼(me)方法，遵守哪些規則，什麼(me)能(néng)做，什麼(me)不能(néng)做，什麼(me)能(néng)采集，什麼(me)不能(néng)采集，采集不同類型的個人信息需要采用哪種(zhǒng)形式來獲得用戶的同意，有了清晰明确的規則，更有利于企業有針對(duì)性地去做合規。另一方面(miàn)，明晰的規則也劃定了監管紅線，爲監管部門處理App運營企業違法行爲提供了明确的依據。若最終《必要個人信息範圍》正式公布實施，必將(jiāng)有利于降低監管成(chéng)本，規範和促進(jìn)我國(guó)移動互聯網行業的發(fā)展。

最後(hòu)還(hái)需要指出兩(liǎng)點，第一，《必要個人信息範圍》這(zhè)樣(yàng)的規範性文件十分有必要，但這(zhè)還(hái)不足夠，還(hái)需要加快制定并完善《個人信息保護法》（2020年10月，十三屆全國(guó)人大常委會(huì)第二十二次會(huì)議進(jìn)行了一審）和《數據安全法》（2020年6月，十三屆全國(guó)人大常委會(huì)第二十次會(huì)議進(jìn)行了一審）等一系列法律法規。第二，《必要個人信息範圍》所列舉的“常見類型App必要個人信息範圍”也不應是一成(chéng)不變的，應該随著(zhe)時代發(fā)展不斷進(jìn)行調整和優化。