39类App明确个人信息收集范围

由国家互联网信息办公室、工信部、公安部、市场监管总局四部门联合印发的《常见类型移动互联网应用程序必要个人信息范围规定》（以下简称《规定》），于5月1日正式施行。

随着移动互联网快速发展，各类应用程序迅速普及应用，在促进经济社会发展、服务民生等方面发挥了重要作用。但与此同时，App超范围收集用户个人信息问题十分突出。特别是大量App通过捆绑功能服务一揽子索取个人信息授权，用户拒绝授权就无法使用App基本功能服务，变相强制用户授权。

为了规范App个人信息收集行为，解决当前超范围收集、强制授权等突出问题，四部门联合制定出台了《规定》。《规定》明确了地图导航、网络约车、即时通信、网络购物等39类常见类型移动应用程序必要个人信息范围，要求其运营者不得因用户不同意提供非必要个人信息，而拒绝用户使用App基本功能服务。同时，针对当前新技术、新应用违法违规收集使用个人信息问题快速增长的趋势，立足当前与着眼长远相结合，将小程序、预置软件等均纳入了管理范围。

中国信息通信研究院副院长王志勤表示，截至去年底，我国国内市场上监测到的App数量为345万款。研究制定《规定》恰逢其时，为App个人信息处理活动画出底线、明确红线，既有利于监管部门明确职责，按照法定权限和程序行使权力；也有利于降低各类市场主体合规成本，稳定市场预期，促进我国数字经济发展行稳致远。

按照《规定》要求，App运营者应在5月1日前，对运营的App收集使用个人信息行为开展自查，对不符合《规定》要求的及时进行改正。《规定》正式实施后，应用商店等分发平台应当按照《规定》对申请上架的App进行审核，不符合《规定》要求的不予上架；对已上架的App进行复核，不符合《规定》要求的应当予以下架。

“技术前进一小步，管理难度增加一大步，”王志勤表示，新一代信息通信技术的快速发展对个人信息保护工作提出了更高的要求。硬科技需要更硬的法律和监管制度，只有着眼于技术发展规律，有前瞻性地为App发展把好方向、提供适宜的法律制度环境，才能够充分发挥立法维护公民权益、规范产业发展、促进技术进步的作用。

如何通过技术治理进一步强化了个人信息保护的硬度？王志勤分析，首先，要以技术产业创新主体为重点压实监管责任。《规定》从技术研究、应用角度出发，以App开发运营者、App分发平台、App第三方服务提供者、移动智能终端生产企业和网络接入服务提供者5类技术产业主体作为重点监管对象，既规定了五类主体应当共同遵循的个人信息保护总体要求，也分别规定了不同主体在App个人信息保护方面应当承担的具体义务，进一步明确和细化了主体责任。

其次，以技术检测平台为依托提升监管能力。目前，App在架数量大，且保持平均两周一次的频繁迭代更新，对App个人信息保护工作提出了新要求。现有技术监管手段由于自动化检测能力低、覆盖范围受限，很难实现全面均衡监管。

为解决此问题，监管部门指导中国信息通信研究院联合部分互联网企业共同建设了“全国App技术检测平台”，组织行业优势力量，运用人工智能、大数据等技术手段持续优化平台能力，大幅提升监管自动化、智能化、标准化。这种行之有效的技术检测做法为监管部门进行App个人信息保护检查工作提供了有力的支撑。

再者，要以技术标准为核心强化监管要求。标准本质上是一种技术制度，为应对风险社会挑战，标准化越来越强调“事前引领”的功能。例如，在前期App个人信息保护专项治理行动中，工信部指导相关组织制定了《App用户权益保护测评规范》10项标准，对于“最小必要化”等收集使用用户个人信息原则，制定了《App收集使用个人信息最小必要评估规范》26项系列标准，并通过电信终端产业协会以团标形式发布，取得了良好的社会效果。

王志勤还强调，App个人信息保护治理工作情况多变复杂、涉及人数众多，是一项非常艰巨的系统工程，需要提升综合治理能力。《规定》坚持体系化共治思维，坚持政府、企业、行业共同参与，多维度系统推动解决App个人信息保护治理问题。随着《规定》的制定，将推动形成一个涵盖法律、行政法规、部门规章、规范性文件在内多层级的App个人信息保护规范体系，为用户个人信息保护提供更加全面的法律制度保障。

四部门表示，《规定》科学地平衡了个人信息保护与促进App发展应用的关系。《规定》的出台不会影响App的发展应用，有效规范App收集使用个人信息行为有利于促进App的健康发展。（何   珺）