隨著移動互聯網快速發展，各類應用程序迅速普及應用，在促進經濟社會發展、服務民生等方面發揮了重要作用。但同時，App超范圍收集用戶個人信息問題十分突出。今年全國兩會期間，有關數據信息安全以及個人隱私保護話題就一度成為代表委員關注的焦點。

久久不忘，必有回響。

就在全國兩會剛結束不久，國家網信辦、工信部、公安部、國家市場監管總局四部門聯合發布《常見類型移動互聯網應用程序必要個人信息范圍規定》（以下簡稱“規定”），明確了地圖導航、網絡約車、即時通信、網絡購物等39類常見類型移動應用程序必要個人信息范圍，并要求App不得因為用戶不同意提供非必要個人信息，而拒絕用戶使用其基本功能服務。

那么此次規定出臺的背景是什么？此時出臺有哪些重要意義？下一步該如何落實，人民政協報記者第一時間就上述問題采訪了全國政協委員、上海市信息安全行業協會名譽會長談劍鋒。

記者：今年全國兩會期間您一直關注數據信息安全話題，特別是對個人隱私保護提出了很多呼吁。您認為在全國兩會閉幕不久此項規定出臺有何背景和意義？

談劍鋒：App超范圍收集用戶個人信息這個問題已經存在有一段時間了，用戶的投訴和相關訴訟這幾年也是日益增多，原先的《網絡安全法》、《電信和互聯網用戶個人信息保護規定》等法規有相關的要求，但是缺乏可衡量和可參考的依據，隨著數字化經濟的蓬勃發展則需要有更為精準的法律武器給相關方面作為依據。

此次《常見類型移動互聯網應用程序必要個人信息范圍規定》的出臺，可以說是對《中華人民共和國網絡安全法》中關于個人信息收集合法、正當、必要的原則，規范移動互聯網應用程序（App）個人信息收集行為，保障公民個人信息安全的進一步落實，將為進一步規范互聯網應用和平臺的業務和行為提供有力支撐，也為互聯網用戶保護個人隱私提供有力依據。

記者：在《常見類型移動互聯網應用程序必要個人信息范圍規定》第三條中提到“必要個人信息”，我們該如何理解“必要”這個詞？

談劍鋒：“必要”是指保障App基本功能服務正常運行所必需的個人信息，缺少該信息App即無法實現基本功能服務。具體可以從四個方面理解：首先初心是否可鑒，App服務提供商的數據處理行為的“必要性”需要基于服務合同目的本身進行判斷，而不能本末倒置將數據處理行為作為合同的目的。

第二是客觀性，“必要性”必須是客觀上的必要：一方面判斷這種必要性是假定了一個合理的App服務提供者在其與用戶訂立合同時，就客觀上期待和判斷這項服務中必須要進行的數據處理行為。另一方面，App服務提供者需要承擔舉證責任來證明某一項數據處理行為如果沒有進行，合同就會無法履行或者無法訂立。

第三是最小化，如果合同目的可以不需要進行該數據處理行為即可以完成，或者是該合同目的可以通過另外一種對App用戶影響更小的數據處理行為完成，則該等數據處理行為不具有客觀上的“必要性”。

第四是生命周期的視角，一旦合同終止后，因為App服務提供者不再存在任何履約的“必要性”，所以數據處理行為必須停止，除非有法律、法規特殊規定的例外情況。

記者：四部門已經明確App必要個人信息范圍，同時也明確了該規定將于2021年5月1日起施行。那么從下一步落實來看，您認為還要注意哪些方面？

談劍鋒：從落地實施來看，可能仍然面臨不小的挑戰。監管的基本要求是從反向限制，即App不得因為用戶不同意提供非必要個人信息，而拒絕用戶使用其基本功能服務，但并不能阻止App運營者采取規避措施，誘導客戶授權。此外，《個人信息安全規范》對基本業務的界定帶有一定的主觀性、時效性。現有規定將“必要信息”進行固化，是否可以滿足不斷變化的業務需求，這也是需要考慮的。

因此，我建議，從相關監管部門層面，可以推進相關對應細化措施的出臺，在安全隱私的原則基礎上，運用監管科技手段，建設相關監管科技基礎設施，加強對相關領域進行監控，并結合典型案例的處理開展規定的宣傳工作；從行業協會層面，積極組織相關監管單位、第三方服務企業、個人信息處理者等機構開展相關政策研討、宣傳、培訓，加強行業自律；配合監管部門進行行業監管平臺的建設。從第三方服務企業層面，結合規定要求運用大數據、人工智能、區塊鏈等技術開發相應科技產品以及法律、咨詢、取證等服務，提升監管部門能力以及App服務提供者的隱私保護能力以及公民個人信息保護能力。