2019年是我国个人信息保护的合规元年，相关部门和机构对个人信息保护工作的重视程度与整治力度达到前所未有的高度。2019年1月，中央网信办、工信部、公安部、市场监管总局四部委联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》，并由全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立App专项治理工作组(以下简称“工作组”)，自此拉开重拳治理App强制授权、过度索权、超范围收集个人信息等违法违纪行为的序幕。截至目前，经工作组的评估分析下后，70余个App因涉嫌违规被通报勒令整改，App的安全合规成为移动应用开发者关注的头等大事。

近期，结合评估工作实践与各方征求意见，更新并公开的《信息安全技术移动互联网应用(App)收集个人信息基本规范(最新草案)》(以下简称《草案》)得到社会广泛关注。

一、解读

与前期公安部发布的《互联网个人信息安全保护指南》(以下简称《指南》)相比：

《指南》着眼于互联网应用对个人信息的保障能力与措施；

《草案》更加聚焦于移动互联网应用收集与使用个人信息的合规性管理，特别首次提出App“服务类型”“最少信息”“最小权限范围”的定义并对App必要收集内容做出了具体说明。

《草案》还明确了移动互联网应用收集个人信息时应满足的基本要求，并在附录中列举了地图导航、网络约车、即时通讯、博客论坛、网络支付、新闻资讯、网上购物等21种常用服务类型可收集的最少信息及最小权限范围。

二、建议

这是第一次在国家标准中细化了技术要求，但有几点在大部分App中尚无相关规定。针对《草案》的几点要求，App应用开发者们可以采取以下应对措施。

●要求一

当收集的个人信息超出服务类型的最少信息时，超出部分的个人信息App应逐项征得用户明示同意。

建议

按照服务类型设定最少可收集信息。App在申请收集客户信息时，应按照服务类型设定最少可收集信息范围，结合业务功能应将收集信息分为“必要信息”与“可选信息”，“必要信息”是指客户使用该服务类型时所提供的最少信息，如不提供则可以拒绝提供该服务类型;“可选信息”是指出于安全性、便捷性等因素额外收集的用户个人信息，应逐项征得客户的同意，并且在客户拒绝提供时仍继续向其提供该服务类型。

●要求二

当同一App有2种或2种以上服务类型时，App应允许用户逐项开启和退出服务类型，开启或退出的方式应易于操作。

建议

按照服务类型调整最小权限。与收集个人信息要遵守必要性原则一样，App申请权限也应遵循同样的原则。App在被用户首次开启时，通常将所有服务类型权限打包，在征求用户授权同意后，才能正常进入App主界面。

《草案》提出，App应允许用户逐项开启服务类型，所以在启动App时要求用户一次性同意开启多个可收集个人信息权限，不同意则无法使用App的方式不再适用。比如，若某项应用最小权限范围为存储权限，可以在需要扫码时再申请访问照片权限，在用户进行手机充值业务时再申请读取通讯录权限。

需要注意的是，在实现某种业务功能时，不可将开启权限作为唯一的实现方式，强迫用户打开权限。比如需要联系人信息时应允许用户手动输入，不能仅提供读取通讯录这一种方式。

●要求三

当用户退出某服务类型后，App应终止该服务类型收集个人信息的活动，并对仅用于该服务的个人信息进行删除或匿名化处理。

●要求四

App应向用户提供实时查询已收集个人信息类型的功能；查询结果应以独立界面展示，且查询方式应易于操作。

●要求五

若App具有对外共享、转让个人信息的功能，应向用户提供查询数据接收方身份的功能；查询结果应以独立界面展示，且查询方式应易于操作。

建议

增强用户的权限控制机制。

以上三点重在维护用户的权限，改善用户体验，虽然手机操作系统自身已经为用户提供了开启、关闭权限的控制机制，但是，从用户体验来看，安装大量App后，使用该机制查询权限开启情况变得不太方便。建议App开发应用者们在“设置”中新增用户“隐私管理”专栏，为客户提供方便实时查询收集个人信息类型的功能，如有与第三方共享、转让个人信息的情况，同样提供查询数据接收方身份的功能。