监管“划底线” APP索取个人信息被戴“紧箍”

　　监管“划底线” APP索取个人信息被戴“紧箍”

　　本报记者/曲忠芳/李正豪/北京报道

　　不注册无法使用APP、一注册就被营销电话“轰炸”、过度索要多项信息授权、…… 长期困扰消费者的APP过度收集个人信息“弊病”，终于迎来了监管的重拳出击。

　　3月22日，国家网信办、工信部、公安部和国家市场监督管理总局四部门联合印发了《常见类型移动互联网应用程序必要个人信息范围规定》（以下简称“《规定》”），明确APP（移动互联网应用程序）运营者不得因用户不同意收集非必要个人信息，而拒绝用户使用APP基本功能服务，还明确了39类常见类型APP的必要个人信息范围，该《规定》自今年5月1日施行。

　　距离《规定》施行还有1个多月，《中国经营报》记者近日来测试体验了多款不同类别的APP，发现不少APP已更新了“隐私协议”及“用户协议”，但部分APP仍存在不注册、拒绝授权就无法使用基本功能等问题。

　　北京云嘉律师事务所律师、中国政法大学知识产权研究中心特约研究员赵占领指出，网络安全法等法律规定了收集、使用个人信息需要遵守正当、合法、必要三个原则。其中关于必要原则如何理解，实践中经常存在着很大争议，经常存在着收集范围是否过宽的问题。而《规定》是对收集、使用个人信息要遵守正当、合法、必要三个原则中“必要原则”的细化，对于解决必要原则的适用提供了非常明确具体的标准，有助于避免APP扩大范围收集和使用个人信息。

　　监管“划线”

　　如同《西游记》中孙悟空给唐僧划了一道“安全圈”，《规定》的发布，也给APP运营者划出了一道“底线”，一旦突破“底线”将被相关部门依法予以处理。

　　记者注意到，《规定》全文明确了39大类APP的必要个人信息范围，几乎覆盖了地图导航、网络约车、餐饮外卖、网上购物、婚恋相亲、房屋租售、问诊挂号等消费者的全部日常生活，不仅明确了各类APP的“基本功能服务”是什么，还细化了“必要个人信息”具体包括哪些内容。比如，网络约车类APP，基本功能服务为“网络预约出租汽车服务、巡游出租汽车电召服务”，必要个人信息包括三项，一是注册用户移动电话号码，二是乘车人出发地、到达地、位置信息、行踪轨迹；三是支付时间、支付金额、支付渠道等支付信息。

　　值得注意的是，《规定》中对13类APP明确要求“无须个人信息”即可使用基本功能服务，包括女性健康类、网络直播类、运动健身类、输入法类、浏览器类、拍摄美化类、实用工具类等等。

　　某工具APP的研发人士杜星（化名）告诉记者，对于APP厂商，运营部门很重要，用户数据——总量、新增数、留存率、活跃度等，在市场竞争与股权融资中起着非常重要的作用，为了尽最大限度地获取流量、更清晰地知晓用户画像，APP对个人信息以往是“粗暴而野蛮”的，“不管是什么类的APP，从安装到用户手机的那一刻，先要求注册，明里暗里再获取你的手机号、设备型号、摄像录音、地理位置等各项信息，甚至连你手机里装了其他哪些应用，它都一清二楚。由此滋生电信网络诈骗、个人信息倒卖黑产利益链也就不足为奇了。”

　　上海申伦律师事务所律师夏海龙指出，从法律角度，互联网时代个人信息、隐私保护理念逐渐深入人心，《民法典》《网络安全法》《消费者权益保护法》等法规对此都有直接的规定。另外，去年10月向社会公开征集意见的《个人信息保护法（草案）》，也在逐步推进立法过程。因此，包括《规定》在内的相关监管文件出台，既是对已有法律的回应，也是个人信息保护非常关键的环节。

　　在夏海龙看来，我们已经进入到平台型超级APP的时代，诸如支付宝、微信等涵盖了大部分日常生活的通用类型APP，这对监管水平、灵活性提出了更高要求——既要保护用户个人信息、防止不良APP回避监管，又不能以过度阻碍移动互联网发展为代价。

　　仍有APP过度索取个人信息

　　记者亲自测试体验了二十多款不同类别的APP，其中大多APP早已更新了功能，并更新了自己的《隐私政策》《用户协议》等。

　　然而，在记者测试体验的APP中，仍有部分还没有完全遵循必要原则。比如，运动健身类的两款APP——Keep、悦跑圈，《规定》中明确无须个人信息即可使用“运动健身训练”基本功能服务，但在测试登录过程中，两款APP均要求登录、注册，而Keep跳转过程中，还主动获取到“本机号码”，引导用户“本机号码一键登录”。

　　对此，悦跑圈400客服人员解释称，“因为我们的数据是跟随ID账号记录的，如果不注册的话，数据无法绑定在账号里。国家规定网络平台数字账号必须要使用手机号，注册的个人资料并没有要求真实性，不注册账号的话，我们就无法去生成一个悦跑圈ID，无法记录数据。”

　　记者随机下载了一款名为“海星闹钟”的APP，它属于《规定》中第三十八类“实用工具类”，按《规定》无须个人信息即可使用基本功能服务。不过海星闹钟APP仍要“获取手机号及通话状态”、“读写设备上的照片及文件”，才可以正常使用。根据APP信息，运营主体是一家叫“上海嵩恒网络科技股份有限公司”的开发商，由其开发的另一款APP“万能五笔输入法”，安装打开后同样要求获取手机号及通话状态，当点击“拒绝”按钮后，该款APP却提示“应用缺少必要的权限”，无法正常使用。记者根据嵩恒网络官网显示的电话号码试图采访询问，截至发稿前，电话一直处于无人接听状态。

　　在随机测试的这些APP中，它们绝大多数都在使用时通过关键文字高亮、加粗等形式提示了“隐私政策”“用户协议”，由侧面也可以看出，法律层面和政策端对APP的监管力度在不断加大，侵犯公民个人信息的门槛和代价在不断抬高。

　　网经社电子商务研究中心特约研究员、浙江垦丁律师事务所律师褚霞指出，互联网的双边效应和前端免费后端收费的模式，在一定程度上导致了侵犯个人信息行为的发生。虽然逐步完善的法律体系以及多方参与治理，使得侵犯个人信息的行为在近年来得到了有效控制。但基于现实情境的多样化和我国互联网快速发展的现状，难免仍有侵犯个人信息的行为在持续。此外，公民对个人信息的保护意识逐渐从“没有感知”“不在意”到“愈加重视”，并积极依法维权。比如去年底的“人脸识别第一案”等案件，都为此后的公民依法保护其个人信息不受侵犯提供了良好的范例。

责任编辑：王婷