3月22日，国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》。其中明确了地图导航、网络约车、即时通信、网络购物等39类常见类型移动应用程序必要个人信息范围，要求其运营者不得因用户不同意提供非必要个人信息，而拒绝用户使用App基本功能服务。分析认为，一些App过度收集用户信息进行广告推送，甚至影响到用户的好友，行为十分恶劣。此次《规定》出台后，许多App需要对商业模式进行调整，而不法商家分享用户数据导致用户个人信息泄露和遭遇不当信息骚扰的行为将被极大遏制。

13类App均无须个人信息

《规定》明确要求，App不得因为用户不同意提供非必要个人信息，而拒绝用户使用其基本功能服务，同时对39种常见类型App的必要个人信息范围做出了相应规定。比如即时通信类App必要个人信息包括：注册用户移动电话号码，账号信息：账号、即时通信联系人账号列表；网络支付类App必要个人信息包括：注册用户移动电话号码，注册用户姓名、证件类型和号码、证件有效期限、银行卡号码；网上购物类App必要个人信息包括注册用户移动电话号码，收货人姓名（名称）、地址、联系电话，支付时间、支付金额、支付渠道等支付信息。

北青报记者注意到，在39类常用应用中，没有任何一项的必要个人信息中包括敏感的相册权限、通讯录权限。仅地图导航和网络约车两类App可要求位置信息，其余37项均不包含。13类App无须个人信息即可使用基本功能服务，包括浏览器类、输入法类、安全管理类、应用商店类等。而网络游戏、网络社区、邮箱云盘等5类App必要个人信息仅包含用户的电话号码。仅网络支付类、邮件快件寄递类、交通票务类、网络借贷类等10类App被允许获取用户的身份或其他证件信息。

App超范围手机用户信息问题突出

网信办方面表示，随着移动互联网快速发展，各类应用程序迅速普及应用，在促进经济社会发展、服务民生等方面发挥了重要作用。但同时，App超范围收集用户个人信息问题十分突出。特别是大量App通过捆绑功能服务一揽子索取个人信息授权，用户拒绝授权就无法使用App基本功能服务，变相强制用户授权。为聚焦解决App超范围收集个人信息问题，规范收集个人信息活动，国家互联网信息办公室会同工业和信息化部、公安部、国家市场监督管理总局联合制定实施该《规定》。

北青报记者了解到，此前不少App在安装后首次打开时会向用户索取个人权限，但一些App经常过度索取用户的个人信息。“安卓手机安装微信，一打开就要索取存储和手机识别码”“安装微博App要求包括录音、通讯录在内的全部权限，不然就只能取消安装”“饿了么上来就要申请我的短信电话等权限，外卖软件要这些有什么用呢？”不少有个人信息保护意识的网友此前曾表示。

2019年11月起，工信部启动了APP侵害用户权益专项整治行动工作，重点整治违规收集用户个人信息、违规使用用户个人信息、不合理索取用户权限、为用户账号注销设置障碍等四个方面的8类突出问题。工信部此前的通报显示，知乎日报、店长直聘等App私自收集个人信息，租租车、1药网除私自收集个人信息外，还私自共享给第三方；当当、e代驾还强制用户使用定向推送功能并过度索取权限；好医生则因为私自收集个人信息以及强制用户使用定向推送功能被通报。上海市消保委针对39款网购平台、旅游出行、生活服务等手机APP涉及个人信息权限的评测结果，共有25款存在问题，比如“饿了么”申请了11个权限，包括拨打电话、日历等，在测试新版本时，专家发现旧版中的拨打电话和日历权限已删除，但又新增了“读取通话记录”权限。

据新华社此前报道显示，互联网从业人员叶先生对自己安卓手机上安装的109个应用进行了统计，104个APP都有“读取已安装应用列表”非强制性权限，由此可以了解用户的行为习惯及分析同行情况；第二受关注的权限就是“读取本机识别码”，这是用于确定用户，因为每个手机识别码都是独一无二的；第三是“读取位置信息”权限，有80个APP需要这一权限，可搜集用户的活动范围。在应用商店10款排名靠前的“手电筒”软件中，除了相机权限外，绝大部分都要求用户放开存储、位置信息、电话等，还有1款要求开通访问通讯录的权限。

用户的个人信息很“值钱”

那么，这些App运营者索取到个人信息后，会如何使用这些个人信息呢？知名科技评论人闫跃龙表示，其中一个很大的用处是将用户这些数据拿来自己用或者与其他平台共享，“比如对广告商，有了这些数据，可以对用户进行用户画像，更精准地推送广告。还有一些更恶劣的，读取了用户的通讯录，就可以给用户的通讯录里面的人群发相关推广广告，等于将用户的通讯录卖了。此前，还有App有过隔空将用户手机中的图片删除的案例，试想，有App可以随意看、删除用户的手机图库里面的图片，是多么可怕？”

有用户表示，朋友通过微信App中发送语音消息的方式向自己推荐了一家酒店，此前自己从未听说过该酒店。当自己打开携程App时，搜索栏中的底纹字样就显示该酒店，令自己十分震惊。而自己也根据推荐，点击“搜索”按钮，最终成功预订了该酒店。“不知道到底是在哪个环节泄露了我的隐私？”该用户表示，这样的精准营销的确非常受用，但也令人害怕。

互联网评论家葛甲说：“过度索取用户信息背后必然是用户信息的滥用和非法使用。之前被爆出的很多有关私自出售用户信息的案例。还有包括社会舆论比较关注的大数据杀熟等事件，客观上其实都是过度索取信息所造成的某种后果。本次新规落地之后，将对部分生活服务类App造成重大影响，对微信生态中的部分组成部分也有相当强的影响。”

中南财经政法大学数字经济研究院执行院长、教授盘和林认为，App运营者收集数据的好处很多，最为普遍的是挖掘用户数据，形成推送，这种广告推送的精准度很高，利于达成交易，但这些信息收集一般不涉及敏感信息，脱敏之后，用户习惯依然可以精准挖掘。当然也有App运营者进行个人信息买卖非法获利，这是很严重的违法行为，最终导致骚扰电话和诈骗短信泛滥。

运营者将必须调整商业模式

葛甲表示，移动互联网一些长期形成的痼疾，如过度索要用户信息及权限等，将被纳入治理范围，移动互联网运营者将面临着前所未有的严峻局面，不对商业模式进行调整，是无法满足越来越严厉的新规监管要求的。从长远来看，个人信息保护这块儿的监管越来越严格，对规范整个市场，建立健康市场竞争环境是有帮助的，但是从短期来说，移动运营者必然会丧失一部分短期利益，甚至要经历一段痛苦的调整过程。

中央财经大学数字经济融合创新发展中心主任陈端表示，原本以来，在线上经济崛起、新消费引领消费升级的今天，不同平台之间基于用户数据共享的交叉导流和商业价值创新存在巨大的想象空间。而此次《规定》出台后，对用户个人信息采集方面的限制和分层带来的用户信息不对称性将对不同功能平台的信息共享和交叉导流及关联业务创新带来较大影响。过去超出实际功能需求索取用户信息用以与其他平台，甚至与不法商家分享用户数据导致用户个人信息泄露和遭遇不当信息骚扰的行为将被极大遏制。

她认为，此次调整中受影响最大的可能包括女性健康类、网络直播类、在线影音类、短视频类、新闻资讯类、运动健身类、浏览器类、输入法类、安全管理类、电子图书类等共13类App，用户无须个人信息，即可使用基本功能服务，也即意味着此类APP未来是“即插即用”模式，难以形成稳定的用户黏性和精准化的用户关系管理。

《规定》定义，本规定所称必要个人信息，是指保障App基本功能服务正常运行所必需的个人信息，缺少该信息App即无法实现基本功能服务。具体是指消费侧用户个人信息，不包括服务供给侧用户个人信息。

盘和林认为，《规定》的总基调是将个人信息定义为权益，也就是在个人同意的情况下，依然可以授权使用，而文件其实明确提出了“基本功能”的概念，也就是说，信息换取增值功能是被允许的。这其实在用户和APP商户之间采取了折中做法。在保证数字经济发展的前提下，完善用户信息归属权和保护。

他认为，此次《规定》出台后，对旅游平台、二手车和房屋租赁平台影响较大，因为这几个领域是用户信息流失的重灾区。而对于物流快递行业，未来信息要求可能需要他们改变投递方式，他们需要引入信息脱敏机制。

文/北京青年报记者 温婧
编辑/田野