近日，國家四部委聯合下發了《常見類型移動互聯網應用程序必要個人信息范圍規定》，對39類常見App在使用過程中，對必要個人信息的采集類型作出了具體規定。

當前，我國以網絡安全法、民法典、刑法及其司法解釋為核心的個人信息保護體系已經建立，《個人信息保護法(草案)》也開始向社會公開征求意見。不過，從相對抽象的立法條文，到具體落實在特定App應用尚存一定距離，新規通過類型化的方式，將具體應用與抽象規定相結合，對個人信息保護將起到重要抓手作用。

互聯網實踐中，利用App對消費者個人信息過度索權的情況非常普遍，主要包括三個方面：一是通過網民協議格式條款，甚至具有市場支配地位的平臺通過霸王條款，強制消費者“同意”對個人信息的無限制索取。二是以技術手段、技術迭代、大數據幌子等方式，掩蓋過度獲取個人信息目的，消費者維權成本很高，違法成本較低。三是大量不法App通過過度索權，形成了個人信息黑產，導致個人信息被不法分子利用，精準詐騙、撞庫竊取、人肉搜索等互聯網犯罪行為屢見不鮮。

此外，個別App平臺忽視本該承擔的主體責任，在個人信息采集層面、使用層面、保護層面和處分層面都存在巨大安全隱患。以往執法實踐更重視個人信息的使用、保護、處分和事后處罰，忽視了個人信息違法采集的前期責任。其實，從治理成本、執法效率角度看，在個人信息采集層面治理下的功夫越大，后續風險就會變得越小。因此，新規將執法前移，從采集個人信息范圍角度加大治理力度，保護個人信息。

個人信息安全的治理工作不能過度依靠企業自律和事后執法處罰。平臺自律應有法律法規作為基礎，只有在足夠具體、有效和針對性的規則面前，自律才會在個人信息保護中起到應有的效果。新規把實踐中39類App對個人信息索權類別，以非常簡練、具體、明確的方式作出了規定，旨在督促平臺盡到依法、依約采集個人信息的責任，目的在于強化平臺作為信息采集者的主體責任，切實保護消費者個人信息的安全。

各部門在對個人信息的保護監管工作中，很難逐款判斷App采集個人信息范圍的必要性、正當性和合法性具體邊界。執法和司法都面臨對個人信息采集類型、范圍、邊界判斷困難的情況，這就導致對個人信息保護工作多集中在事后追責，缺乏技術監管的預判。新規出臺的目的就是要進行“穿透式”監管，從個人信息采集源頭抓起。這就需要App設計者、開發者、經營者、所有者與使用者都必須嚴格按照規定，落實采集類型和范圍責任，明確采集的必要性、正當性，只有達到新規具體標準，才能符合合法性基本原則。換言之，如果平臺沒有履行新規相關標準，即便采集的信息事先“獲得”了消費者同意，或沒有對采集的個人信息進行濫用，也不能以此進行抗辯。

值得注意的是，新規不僅列明了各類App個人信息采集類別，而且還明確規定，任何組織和個人都有權利向相關部門進行舉報，這就暢通了公眾對個人信息安全監督的權利，也拓展了相關部門對保障個人信息安全的治理渠道，反過來，也更加夯實了互聯網平臺積極履行主體責任的必要性。

(作者：朱巍，系中國政法大學傳播法研究中心副主任)

關鍵詞：

責任編輯：Rex_08