西盟斯数据观察 - 简评《常见类型移动互联网应用程序必要个人信息范围规定》

2021年3月12日，国家互联网信息办公室联合工信部、公安部、国家市场监督管理总局印发《常见类型移动互联网应用程序必要个人信息范围规定》（《规定》），明确移动互联网应用程序（App）运营者不得因用户不同意收集非必要个人信息，而拒绝用户使用App基本功能服务。《规定》同时列举了39类常见App类型，并一一明确界定其基本功能服务及必要个人信息的范围。《规定》自2021年5月1日起施行。

要点解读

明确将小程序纳入监管

《规定》明确了监管对象App的范围包括移动智能终端预置、下载安装的应用软件，以及基于应用软件开放平台接口开发的、用户无需安装即可使用的小程序。

小程序自2016年出现以来，经历了初始阶段的沉寂，至2018年迎来迅速增长，再到如今已经广泛地应用于各种类型的应用程序，尤其还在去年开始的疫情防控工作中扮演了重要角色。小程序一度是互联网信息服务与电信业务监管的模糊地带，关于小程序经营者是否需要取得ICP证或办理ICP备案的问题，在实践层面上各地监管部门的态度仍然不统一，许多小程序也一直打着监管的"擦边球"。但随着小程序功能的完善和服务业态的丰富，小程序收集和使用用户个人信息的行为在范围和深度上已经与普通应用程序没有实质差异。此次《规定》明确将小程序纳入监管范围，有力地阻断了经营者利用小程序的形式规避监管、侵害用户数据权益的意图。

明确界定基本功能服务和必要个人信息种类

《规定》的另一大看点在于对于不同类别的App的基本功能服务及其对应的必要个人信息种类进行了详尽的列举。以《网络安全法》和《信息安全技术个人信息安全规范》为代表的中国个人信息保护规范一直强调收集和处理个人信息的"必要性"原则，而《规定》则是以穷尽式列举的方式回答了何为必要个人信息的问题。从积极的意义来说，《规定》为执法者提供了具体、统一的监督标准，也为App经营者进行合规自查提供了详细的参照指引，增强了法律要求的确定性、可执行性。

但是，这一做法也不可避免存在一些弊端。例如，《规定》列举了39类常见App，虽然已经足以覆盖实践中绝大多数的App服务类型，但不免会存在遗漏。再者，对某一特定App的基本分型成为最初的问题。融合性的应用程序正在逐渐成为App的发展趋势，单一App上可能存在多种并驾齐驱的基础功能，那么是否可以横跨多种常见类型，其必要个人信息的范围是否可以等同于所有相关类型App的必要个人信息的集合？最后，《规定》所列举的某些App类型的必要个人信息的合理性有待商榷。举例来说：婚恋相亲类App的必要个人信息中选��了年龄而舍弃了其他例如照片、所在地区、择偶条件等个人信息；二手车交易类App的必要个人信息中未包含期望售价，而房屋租售类App的必要个人信息中却包含了期望售价或租金；问诊挂号类App的必要个人信息中却不包含患者性别、年龄。

零必要个人信息的App

《规定》列举的39类App中有11类App属于无需个人信息，即可使用基本功能服务。这意味着，这11类App必须允许非注册用户使用基本功能，对于一些只对注册用户开放实质内容和服务的App经营者来说，其商业模式需要进行调整。例如，应用商店类App，有些需要注册用户账户甚至绑定支付方式，方可进行应用程序的下载（而无论该应用程序本身是否需要付费）；这样的做法就不能符合《规定》所要求的零个人信息收集即可使用基本功能即"App搜索、下载"的要求。与此类似的还有拍摄美化类App，根据《规定》同样属于无需个人信息即应可以使用基本功能服务的类别，但现实中为了实现"拍摄、美颜、滤镜"的基本功能服务，很可能不可避免地会涉及到对照片（包含人像等个人信息）的处理，这个矛盾是否可以通过上位法可能新增的个人信息处理的合法依据来解决，有待观察。此外，零必要个人信息App还包括在线影音、新闻资讯、短视频类等内容类App，可能也需要设立非注册用户、非付费版本的基础内容版块，以满足《规定》的要求。

与其他法律的衔接

《规定》设置了与其他法律的衔接机制，即《规定》第二条："法律、行政法规、部门规章和规范性文件另有规定的，依照其规定。"由此可见，《规定》的效力位阶是较低的，在其与其他法律、行政法规、部门规章和规范性文件相抵触时，应以该等上位法为准。

《规定》作出这样的设置，可能是出于两方面的考虑：一来，在已公布的《个人信息保护法》草案中，同意已不再是处理个人信息的唯一法律依据。App运营者作为个人信息处理者可以依据"为订立或者履行个人作为一方当事人的合同所必需"以及其他的法定情形来收集和处理用户的个人信息。因此，如果为了履行与用户之间约定的合同，提供双方所约定的服务或产品，收集某项个人信息是必要的，那么App运营者即可据此来向用户收集个人信息。这项约定的服务或产品可能是等同或超出App基本功能服务范畴的，但只要App运营者与用户已经就提供和接受该服务或产品达成了合同上的合意，App运营者即可收集和处理相应所需的个人信息。

其次，上位法可能针对某类型的App运营者或其提供的某行业的产品或服务提出了特定的法律要求和义务，而App运营者为了满足该等法定要求、履行法定义务而必须获取和处理额外的用户个人信息。由此，App运营者仍可以超越《规定》所列举的必要个人信息而去收集和处理其履行法定义务所必需的其他个人信息，而同样不需要征求相关用户的同意。其中比较典型的例子是手机银行类和投资理财类App，可能出于法定的客户尽职调查、反洗钱以及合格投资人审查义务，而要求用户提供除《规定》列举的必要个人信息以外的其他个人信息。

结语：

总体上来说，《规定》设定的必要个人信息的范围相当有限，传递了严格监督和管理收集使用用户个人信息、保护用户个人信息权益的监管信号。采取限定必要个人信息类型的方式，虽然能在短时间内提供最为明确、直接的监管标准，也不免在适用到个案判断时出现过于僵化、难以适应变化的弊端。从《个人信息保护法》草案的精神和GDPR以及其他国家的经验来看，对于个人信息处理活动必要性的评价，仍宜结合个人信息的类型、收集该个人信息的目的以及处理方式等因素来综合判断。

对于App经营者来说，《规定》的出台是一次很好的对镜自查机会。对部分设置了较高的用户注册门槛或者主要依赖用户个人信息的分析和利用作为其业务模式的App来说，可能需要对其业务模式和用户注册流程进行必要的调整。距《规定》正式生效尚有1个月的时间，App运营者应对照自身业务类型和《规定》所设定的必要个人信息范围，尽快开展自查整改。