App收集个人信息应该遵守三大原则

 (网经社讯)我们可能都遇到过以下情况：用手机号码注册使用了一个App，接着就收到数不清的垃圾短信以及广告电话；通过一个App购物，能够看到另一个App上推荐类似的商品；没必要收集位置信息的App，也在收集位置信息；有的网络贷款App收集到联系方式后，一旦有用户未及时还款，网贷公司就打电话给该用户的朋友，说其是一个欠债不还、不诚信的人。在这些案例中，我们能够感受到自己在信息社会中“裸奔”。

出现上述问题的首要责任在于App，治理首先应从信息收集的源头上解决。2019年8月8日，国家市场监督管理总局和中国国家标准化管理委员会联合发布的《移动互联网应用（App）收集个人信息基本规范（草案）》征求意见稿，其亮点之一是在附录中列举出21种常用App收集的最少信息，比如地图导航、网约车、即时通信、博客论坛等。通读这部国家标准，可以总结出App收集个人信息应该遵守的三大原则。

“最少信息”“最小权限范围”，体现比例原则

比例原则是行政法的基本原则，即选择既能够达成目的、对相对方侵害又最小的手段，但适用范围已经溢出行政法领域。《移动互联网应用（App）收集个人信息基本规范（草案）》提出“最少信息”“最小权限范围”这两个概念，前者即“保障某一服务类型正常运行所必需的个人信息”，后者即“保障某一服务类型正常运行所必需的最少系统权限”。这既满足了App收集个人信息的必要性和合乎目的性，又要求必须尽可能少地收集信息，正是贯彻比例原则的体现。

App不能因用户拒绝提供最少信息之外的个人信息而拒绝提供服务，不得收集与所提供服务无关的个人信息，防止其使用的第三方代码、插件收集无关的个人信息，因为收集最少信息之外的个人信息以及与提供服务无关的个人信息，不具备必要性和合乎目的性。不可变更的设备唯一识别（如IMEI号、MAC地址）相当于手机的“身份证”，至关重要，是不可收集的。

“授权才能收集”，保护用户的知情权、同意权

其实，之所以要提出“最少信息”这个概念，是因为App收集的信息越多，用户可能享受的服务类型就越多，但与此同时，信息也越不安全。有的人以为这种信息无关紧要，可以被收集，有的人却认为这种信息是必须保密的。那么，在“最少信息”的底线上，可向用户指出App要收集的个人信息数量，由用户自己决定是否允许App收集更多的个人信息。

《移动互联网应用（App）收集个人信息基本规范（草案）》从个人信息收集以及处置两方面，保护了用户的知情权、同意权。在收集方面，App要明示申请权限或收集信息的目的，收集的个人信息超出“最少信息”的部分，App要逐项征得用户明示同意。第三方代码、插件也要遵守这方面的规定。在处置方面，对外共享、转入个人信息前，App要事先征得用户明示同意；同意后，用户可以通过独立界面查询数据接收方身份。

“退出App后删除个人信息或匿名化”，保护用户的被遗忘权

被遗忘的前提是曾经存在过。一般来说，如果用户未曾使用过某App，也就未曾在该App上留下过痕迹，那么也就谈不上“被遗忘”了。“被遗忘权”赋予用户在网络工具中删除自己的名字或相关历史事件的权利。《移动互联网应用（App）收集个人信息基本规范（草案）》有一款规定：“当用户退出某服务类型后，App应终止该服务类型收集个人信息的活动，并对仅用于该服务的个人信息进行删除或匿名化处理。”这也体现了“被遗忘权”的理念。

在我看来，这一款与比例原则也有关系。当用户不再使用某款App，该App再保留其个人信息，也就没有必要性以及合乎目的性，从保护个人信息安全的角度来看，App应当删除个人信息，或进行匿名化处理。

《移动互联网应用（App）收集个人信息基本规范（草案）》是自2019年1月23日国家网信办、工信部、公安部以及国家市场监督管理总局联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》以来，从“如何做”的方面规定了App如何收集个人信息的国家标准。它虽然只是国家推荐性标准，并非强制性标准，但不仅可以作为App收集个人信息的企业合规经营的指南，还可以作为政府监管部门评估、检查App的执法指南。