12月30日，國家互聯網信息辦公室、工信部等四部門聯合印發《App違法違規收集使用個人信息行為認定方法》（下稱《方法》）?！斗椒ā诽岢?，征得用戶同意前就開始收集個人信息或打開可收集個人信息的權限、實際收集的個人信息或打開的可收集個人信息權限超出用戶授權范圍等行為可被認定為“未經用戶同意收集使用個人信息”。

智能手機時代，每個人每天打交道最多的可能就是各式APP了。要保護人們的上網安全和個人隱私，很大程度上，也就體現在對app收集和使用個人信息的規范上。但這方面，恰恰是目前突出的短板。以去年底中消協發布的《100款App個人信息收集與隱私政策測評報告》為例，在被檢測的100款App中，超過九成App列出的權限存在涉嫌“越界”，即存在過度收集用戶個人信息的問題。

在這一背景下，國家多部門聯合出臺《方法》，就是對此現象的一種精準回應?？陀^說，諸如個人信息控制者開展個人信息處理活動時，應遵循最少夠用原則；網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，這些原則性倡導在相關規定和法律中早已明確。但是，“上有政策，下有對策”，仍有不少APP要求“若不能按照要求提供個人信息就無法使用”，相當于讓用戶以“隱私”換便利，這無疑大大架空了“最少夠用”原則的真實規制力。

以筆者個人的體驗來說，無數次打開一些網頁或APP，被要求索取微信昵稱、頭像、地區及性別乃至通訊錄等信息，這種信息索取提示雖然表面看履行了提前征求用戶意見的程序，但其所索取的個人信息，是否與提供的業務有關，是否屬于“必要個人信息”，就存在很大的不確定性。因此，《方法》明確，因用戶不同意收集非必要個人信息或打開非必要權限，拒絕提供業務功能，將可被認定為“違反必要原則，收集與其提供的服務無關的個人信息”。這一點對于從源頭減少一些app的信息“綁架”行為，至關重要。

《方法》還明確了app違法違規收集使用個人信息行為的多種具體情形，但認定方法的具體效力，還有待現實的驗證。《方法》最后一條，要求app設置個人信息安全投訴、舉報渠道，這意味著針對不合理的信息收集行為，用戶可以直接向APP投訴。但是，有過相關投訴經驗的人或許都知道，僅僅向APP方面反饋，其效果可能不宜高估。因此，真正檢驗認定方法真實效力的，還是要看有多少用戶，能夠有效維護自己的權益。比如，這方面是否能夠產生有影響力的司法判例，違規收集個人信息的APP，是否會受到懲罰性賠償等。

當然，app收集個人信息的“必要”與“非必要”邊界，也還待進一步厘清。但囿于用戶和APP方面的信息不對稱與地位差距，一個總體的原則，還是該從更有利于對用戶的個人信息安全的保護角度予以考量。

另外，今年8月開始征求個人意見的《信息安全技術 移動互聯網應用(App)收集個人信息基本規范(草案)》中，明確規定了21種常用APP類型可收集的最少信息，如明確可收集的最少信息中包含個人身份信息的的APP類型只有網絡約車、網絡支付、交通票務等；而新聞資訊、短視頻等類別的app，則只能對公眾賬號信息發布服務使用者收集個人身份信息。

無論如何，只有app收集個人信息的“國標”早日出臺，與此次發布的《方法》聯合發力，才能為規范APP收集個人信息提供更大的威懾力。

責任編輯：焦旭