马旗戟

国家互联网信息办公室等四部门近日联合印发《常见类型移动互联网应用程序必要个人信息范围规定》，明确了39种常见类型App的必要个人信息范围，同时明确运营者不得因用户不同意收集非必要个人信息，而拒绝其使用App基本功能服务。新规自5月1日起施行。此次新规发布，为App个人信息收集范围划出红线，无疑是对近年来APP违规收集个人信息乱象的针对性治理。

数字科技的发展，为经济和社会生活带来极大便利和效益的同时，也衍生出严重的侵犯个人信息权利的现象，其中App超范围收集用户个人信息、捆绑一揽子索取个人信息授权的问题非常严重。事实上，自2019年初开始，工信部等部门就陆续制定、发布和实施了一系列旨在规范个人信息收集与使用的规定，如《关于开展APP违法违规收集使用个人信息专项治理的公告》《关于开展APP侵害用户权益专项整治工作的通知》《关于开展纵深推进APP侵害用户权益专项整治行动的通知》等，随着治理的不断推进，此次四部门又联合发布了《常见类型移动互联网应用程序必要个人信息范围规定》。

此次规定有两个亮点：一是规定涵盖的39类App基本覆盖了社会生活的绝大方面，提供了较为全面的保障，既将个人信息保护扩展至最大范围，也避免规定范围出现缺失导致实施上的漏洞。二是规定的出台为监管部门提供了更有力的监督和执法依据，为相关企业的合规整改与后续开发提供了明确指引，同时也为用户进行自我权利保护提供了辨识和监督的指导。

通过与相关法律规定等进行比较，我们可以看到几点值得关注之处。

第一点，此次规定中的“必要个人信息”的定义主要是指消费侧用户个人信息，不包括服务供给侧用户个人信息，也就是说，在App（及平台、生态）上的经营者、服务商不包括在内，规范的目标主要是解决社会中的个体消费者群体个人信息权利被侵犯问题。

第二点，此次规定调整（新增或限制）了部分必要个人信息范围，都是出于规定发布部门对此前相关规定和市场实践中获取的经验及不同意见与观点进行的平衡，以利于在实务中可以更顺畅地施行。例如，除非相关法规有特别规定，身份证不再成为某些App的必要个人信息，这实际上是一个不小的變动，对相关企业的扩展业务也有不确定的影响，企业需要谨慎对待。

第三点，《网络安全法》和处于立法中的《个人信息保护法（草案）》《数据安全法（草案）》正在逐步构建个人信息保护的法律体系，在这一体系建立之前，目前各部门所发布的规定、规范、通知和标准等都是一种过渡性和实践性应对，对企业数据合规和数据管理进行一种积极的“指导”，其中当然会涉及许多未来可能会进一步修订、优化和完善的内容。

例如，必要个人信息的“必要”情形的界定和基础功能服务的“基础功能”的描述都还有着模糊、宽泛和不确定之处。在数字经济的市场发展和业务扩展中，消费者所需要的App功能与价值并非由App最初阶段的基本功能所规定，某些以前的附加或增值、扩展功能会转化为消费者选择与使用这一App时的基本的功能。那么，如何有效地处理需要更加明确。

毋庸置疑，数字经济社会下，数据治理、数据监管和数据运用，是所有主体都关切的话题和需要履行的责任、义务，而新规的出台只是再一次提醒企业需要不断提升数据合规、安全和保护的意识与能力，使国家、企业和公众获得更可信赖、更加安全的数据经济的效益。

（作者系中国国家广告研究院研究员）