和静钧 段礼乐 张继生 

    日前，为规范APP个人信息收集行为，保障公民个人信息安全，国家互联网信息办公室研究起草了《常见类型移动互联网应用程序（APP）必要个人信息范围（征求意见稿）》。其中，不仅对地图导航、网络约车、即时通信等38类常见APP必要个人信息范围进行了明确规定，而且还对必要个人信息做出了界定。同时要求，只要用户同意收集必要个人信息，APP不得拒绝用户安装使用。

    我国《宪法》《民法典》等基本法律对于个人隐私均有全面明确的法律保障。从网络安全的角度看，使用个人信息，应当遵循合法、正当、必要的原则，这个是收集个人信息的底线和基础。“不同意采集个人信息就无法安装APP”的“霸王条款”肆意收集超出其提供服务范围的个人信息，明显违反了上述法律规定，应予以规范及惩戒；从保护个人权益的角度看，“不同意采集个人信息就无法安装APP”的“霸王条款”，容易泄露用户个人的上网浏览信息、购买商品信息、个人身份信息等，侵犯了用户的隐私权和信息受保护的权利。同时，用户信息泄露，也给不法分子以可乘之机，容易发生网络诈骗、电信诈骗等，严重危害用户的财产安全。

    《征求意见稿》最大的亮点就是确立了“最小必要”原则，把这一原则从契约性原则上升为法定原则，一方面体现了APP与个人信息之间的关联性，允许合理采集必要的个人信息；另一方面给APP划定了红线，超出合理、必要范围的采集和窥探个人信息如通信录等，必将受侵权行为法的追究责任与互联网管理法的行政制裁，甚至有可能触犯刑法。“最小必要”原则是善意原则，要求APP方应奉行“勤勉原则”和履行“照顾义务”，以符合专业精神的合理安排判断个人信息采集的范围、管理及守密等，这一强制和法定义务的确立，有助于扭转和平衡双方契约地位，朝更有约束力和公正的契约精神迈进。

    从立法体系来看，《征求意见稿》是落实《中华人民共和国网络安全法》关于个人信息收集合法、正当、必要的原则体现，以正面清单形式来规范APP个人信息收集行为，保障公民个人信息安全的具体举措。从立法的规范对象来看，《征求意见稿》明确规范的对象是与个人日常生活密切相关的38类场景的APP。明确只要用户同意收集必要个人信息，APP不得拒绝用户安装使用，这个强制性规定，是《征求意见稿》最大的亮点所在，打击了APP的垄断行为。

    个人信息保护中，应注意新领域、新问题、新动向。如人脸识别，APP方会坚持人脸识别是属于“最小必要”范围，但人脸识别信息具备与其他个人信息不一样的特性，并且属于稀有资源和不可再生资源，属于国家信息安全中最为核心的个人身份信息。因此，应出台针对人脸识别的法律法规，不可把人脸识别私有化、私法化。除人脸识别之外，其他如个人基因信息、指纹信息等，也应该严格限制APP方采集这方面的身份信息。

    来源：深圳特区报