不给权限不让用？App超范围收集个人信息遭诟病已久。近日，中央网信办、工信部、公安部、国家市场监管总局四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》（以下简称《规定》），涉及网上购物、网络支付、即时通信等39种常见类型App，自今年5月1日起施行。

中央网信办官网截图。

值得注意的是，除了App之外，《规定》把小程序也纳入管理，并强调App运营者不得因用户不同意收集非必要个人信息，而拒绝用户使用App基本功能服务。

据南都个人信息保护中心联合中国信通院安全研究所去年9月发布的《小程序个人信息保护研究报告》显示，小程序超范围收集个人信息等问题较为严重。如某防疫类小程序，除获取个人姓名、身份证号等敏感信息外，还需进行人脸识别。

报告认为，在实际线下防疫工作中通过姓名、身份证号以及二者的对应关系，再配合真人及身份证查验，在不获取人脸信息的情况下即可保证信息的准确性。此次《规定》明确，小程序也纳入到管理中，不可超出必要范围收集个人信息。

四部门印发关于上述《规定》的通知中强调，App运营者不得因用户不同意收集非必要个人信息，而拒绝用户使用App基本功能服务。

何为使用App基本功能的必要个人信息？《规定》中明确，必要个人信息为保障App基本功能服务正常运行所必需的个人信息，缺少该信息App即无法实现基本功能服务。如：地图导航类的基本功能服务为“定位和导航”，必要个人信息为：位置信息、出发地、到达地。

北京理工大学法学院教授洪延青认为，从《规定》的逻辑结构可以推断出，一个App应当确定其“基本服务功能”，进而按照规定明确自己必要的个人信息范围。

南都记者注意到，与去年12月发布的征求意见稿相比，此次《规定》增加了“演出票务类”，App类型由38类扩充到39类。其中有13类App无需个人信息即可使用基本功能，包括：网络直播类、在线影音类、新闻资讯类、输入法类等。

近年来，App违规收集个人信息问题持续引发关注，其中超范围收集个人信息为焦点之一。据工信部2月5日通报的26款侵害用户权益App中，近7成存在违规收集个人信息问题，知名App墨迹天气（8.0606.02）涉及“超范围收集个人信息”。

中国电子技术标准化研究院副院长程多福曾介绍，仅2020年10月，App“超范围收集与业务功能无关个人信息”的问题已被举报超百次。网络安全法也规定，网络运营者不得收集与其提供的服务无关的个人信息。

《个人信息保护法（草案）》规定，个人信息处理者可以处理个人信息的情形之一是—“为订立或者履行个人作为一方当事人的合同所必需”。

洪延青认为，《规定》实际上为后续《个人信息保护法》的落地，提前针对‘履行个人作为一方当事人的合同所必需’这一条款做出了细化规则。

附件：

《常见类型移动互联网应用程序必要个人信息范围规定》全文
http://www.cac.gov.cn/2021-03/22/c_1617990997054277.htm

采写：南都见习记者 孙朝

编辑：蒋琳