我國《網絡安全法》第41條和《消費者權益保護法》第29條均規定，收集、使用個人信息的，應當“明示收集、使用信息的目的、方式和范圍”，而何為其中的“范圍”，“范圍”與“目的”“方式”如何界分，信息收集、使用者需要明示的“范圍”應包含哪些內容？既有規范未給出明確指引，導致實踐中各方對于“范圍”的理解較為混亂。

一、“范圍”面臨的實踐困局 

目前，“范圍”在個人信息保護法規范領域仍屬于不確定性概念，不同主體基于各自立場難免產生理解分歧。實踐中，收集、使用者事前明示的“范圍”往往較為寬泛模糊，以便于其事后將“范圍”進行擴大解釋創造空間，調整自身的信息收集、使用權限。而用戶為滿足對自身信息更為細粒度的控制需求，通常希望收集、使用者更精確地告知“范圍”并進行限縮解釋。

然而，處于強勢地位的收集、使用者往往占據了界定“范圍”的主導權。當前，超范圍收集、使用個人信息已成為APP侵害用戶權益的熱點問題。一是超范圍收集現象大量存在，互聯網信息服務投訴平臺上收到用戶關于超范圍收集信息問題的投訴已占違規收集、使用個人信息總體投訴量的25.9%。二是無視用戶授權超范圍使用問題突出。“今日頭條被指侵犯個人隱私”一案中，原被告雙方即針對“在先收集的通訊錄信息”可在什么范圍內使用存有爭議。“范圍”的模糊往往成為了收集、使用者對抗用戶和規避責任的“護身符”。

二、“范圍”和“目的”“方式”的關聯及界分

企業在對信息收集、使用范圍進行描述時，通常不成體系地將其交織混雜于其他內容當中，使用戶難以察覺。這一方面存在“范圍”無法孤立說明的因素，另一方面也反映出企業對“目的”“方式”“范圍”三者邏輯關系的忽視。

“目的”“方式”“范圍”分別解決了“拿來做什么”“怎么拿、怎么用”“拿什么、從哪拿、用在哪”的問題?！毒W絡安全法》第41條規定：“網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意。”若對其進行體系解釋會發現，雖然“合法、正當、必要的原則”應貫穿于收集、使用全過程，但結合到“目的”“方式”“范圍”中卻各有側重，立法者在對收集、使用行為進行規制時，似在有意無意表達了“目的正當”“手段合法”和“必要范圍”的對應關系，實際反映了公法上比例原則及其四個子原則在該領域的運用。

一方面，“必要范圍”是落實“目的正當”的重要內容。“目的正當”要求個人信息的處理目的需滿足合法、合理、必要和明確的要求。而為落實該正當要求，便需要強調所收集、使用信息范圍的“最少夠用”的要求。其一，收集的信息應在滿足用戶授權同意的目的所需的最少個人信息范圍內進行。其二，信息的使用不得超出與收集個人信息時所聲稱的目的具有直接或合理關聯的范圍。今年6月發布的《網絡安全實踐指南——移動互聯網應用基本業務功能必要信息規范》即是基于滿足業務功能維度落實必要原則而提供的實踐指引。

另一方面，“必要范圍”是實施“合法方式”的作用對象。只有解決了信息“拿什么、從哪拿，用在哪”，才能回答信息“怎么拿、怎么用”的問題。而實踐中，卻常常將“范圍”與“方式”混淆，尤其是將頻度、精度、數量等收集、使用方式的均衡性原則同收集、使用范圍的必要性要求混為一談。“頻度”表達的是收集、使用信息方式的“頻率”大小，“精度”表達的是收集、使用信息方式的細粒度，“數量”表達的是收集使用方式的量的多寡，三者均應滿足比例原則均衡性原則的要求，即所實施收集、使用信息的方式所獲得的利益、為用戶帶來的服務質量和效果，必須大于對用戶安寧權的侵害，二者之間應是成比例的，而不能以頻繁的，毫無節制的方式索取、使用用戶信息。

三、認識收集、使用信息“范圍”的三個視角 

國家標準《信息安全技術 個人信息安全規范》也未能對“范圍”進行細粒度規制，目前僅是對用戶針對“范圍”的同意作出效果上的概括性要求。但“效果式”的兜底要求既不利于用戶對授權的信息范圍進行針對性控制，也增添了企業不確定的合規風險。結合目的的正當性要求，可從“拿什么”“從哪拿”“用在哪”三個視角認識收集、使用個人信息的“范圍”。

首先，從內容視角判斷應“拿什么”類型的信息，即信息的內容范圍，包括本身內容范圍和衍生內容范圍。前者是指某一類型的個人信息本身，包括姓名、手機號碼等標識型信息和性別、籍貫等屬性型信息。后者是基于個人和收集、使用者交互行為產生的衍生信息，包括伴生個人信息和預測個人信息。例如，企業為用戶提供網上購物服務而需要收集應用賬號等標識型個人基本信息，并基于用戶的交易行為而記錄了用戶訂單商品、下單時間、支付情況等伴生個人信息，在此基礎上還會通過用戶畫像生成需求、偏好等預測個人信息。對于內容范圍的限定，收集、使用者為實現產品或服務所獲取的信息類型應是直接關聯和必要的，且不得收集法律法規明令禁止收集的個人信息。

其次，從來源視角披露信息將“從哪拿”，即信息的來源范圍。一是告知用戶可能作為其信息來源的關聯第三方，包括向其轉讓、共享信息的主體，或在同用戶交互過程中提供數據信息的第三方。例如，交易中介平臺獲取用戶交易、支付、物流信息時，應向用戶披露作為其信息來源的交易對象、支付機構、物流公司等主體。二是告知用戶其可能通過公開渠道獲取個人信息，如合法新聞報道、政府信息公開等。三是收集、使用者應向用戶承諾，不會基于非法渠道獲取個人信息。

最后，基于用途視角明示信息會“用在哪”，即信息的使用范圍，包括使用的主體、時間和地域范圍。從使用主體范圍上看，應向用戶告知其個人信息是否會通過共享、轉讓或公開披露方式供第三方使用，基于某一業務線收集的信息是否會在企業的其他業務線產品使用。從使用時間范圍上看，收集、使用者應結合業務功能說明為實現目的處理信息所必需的最短時限，滿足個人信息存儲時間的最小化。從地域范圍上看，應向用戶明確告知所收集的個人信息是否會在境外進行分析使用，以保證用戶對流向境外個人信息的有效控制。

為解決群眾最關心最直接最現實的利益問題，工信部今年11月啟動的App侵害用戶權益專項整治工作便將“超范圍收集個人信息”作為其中的重點內容。從內容、來源、用途三方面并結合對象、時間、地域等多個維度有助于我們系統理解法律規定的“收集、使用個人信息的范圍”，但企業在履行“范圍”明示義務時，仍需要落實告知的明確性、透明度和一致性要求，不應使用概括性語言寬泛描述“范圍”，須向用戶提供直觀清晰的索引或提示，并嚴格遵守事先向用戶告知的“范圍”進行收集、使用。

責任編輯：張旖旎