改变App强制用户提供信息的问题

近日，国家互联网信息办、工业和信息化部、公安部、国家市场监管总局联合发文《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称《规定》)，旨在贯彻《中华人民共和国网络安全法》关于个人信息采集的合法性、正当性和必要性的原则。明确规定移动互联网应用(App)运营商不得因用户不同意收集不必要的个人信息而拒绝用户使用App基本功能服务。《规定》定义了39种常见类型应用的必要个人信息范围，将于今年5月1日起实施。

根据工业和信息化部发布的数据，截至2020年底，中国国内市场监控的应用数量已达345万。这些应用涵盖了游戏、电子商务、生活、教育等领域，给网民的生活带来了极大的便利。但是App非法收集个人信息这个老问题并没有完全根治。在刚刚过去的“3.15”派对上，许多应用因非法处理个人信息而被曝光。相关部门明确划定了39种常见类型App所需的个人信息范围，进一步明确了App从系统采集个人信息的合理边界，将有效压缩App灰色运营的空间。

应该说，近年来，个人信息采集标准体系建设不断推进。不仅《网络安全法》明确“合法、公正、必要”是我国网络经营者收集和使用个人信息应遵循的基本原则，《个人信息安全规范》还规定个人信息控制者在进行个人信息处理活动时应遵循“最少足够”的原则。与此同时，相关部门不断开展多批次集中检查，曝光非法收集个人信息的应用，直至下架。

然而，面对个人信息使用的原则和规范，一些应用仍然存在玩球或忽视蛇的问题。比如如何界定“必要”和“至少足够”的原则，在实践中模糊不清，解释权似乎主要掌握在App手里。其中一个突出的表现就是一旦用户不提供一些信息，一些应用就无法直接使用，导致“必要收集”原则的开销。《规定》中要求运营商不得因为用户不同意收集不必要的个人信息而拒绝用户使用App的基本功能服务，同时要明确必要信息的范围，这无疑击中了重点。比如地图导航App之类的基本功能服务是“定位导航”，与之对应的必要个人信息只有“位置信息、出发地点、到达地点”；而短视频、新闻和信息、体育和健身应用“可以使用基本功能服务，无需个人信息”。

这些规定直接戳穿了一些应用利用“基本使用权”来“敲诈”用户的潜规则。在落地过程中，预计容易解决“网格过大”和相关原则边界模糊的问题，违规红线变得更清晰。对于用户来说，哪些信息是必须提交的，哪些信息是不必要的，一目了然，有利于相应的权利保护。总之，App收集个人信息的界限和标准变得更加清晰透明。

当然，这个规定中规定的合理的信息范围只是App收集个人信息的指导标准的定义。它需要法律和制度的进一步支持，以产生严格的约束力，并确保禁止命令。日前，有关部门负责人表示，正在加大《数据安全法》和《个人信息保护法》的力度，从法律层面为数据安全和个人隐私保护提供保障。当相关标准和“顶级设计”与“发挥”相匹配时，违反规定索要个人信息的App的手就能绑得更牢。