前不久,针对当前移动互联网应用中存在的超范围收集、强制授权、过度索权等个人信息收集安全问题,全国信息安全标准化技术委员会发布了《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》(以下简称《规范》)。
　　《规范》出台的背景是什么?有哪些亮点和意义?《法制日报》记者对此采访了业内相关专家。
　　明确收集信息原则
　　增强法律可操作性
　　《规范》依据《中华人民共和国网络安全法》中的相关要求以及个人信息最少够用原则,针对App的基本业务功能,明确界定了保障其正常运行所需收集的个人信息,给出了每类业务功能相关的必要信息范围,其中包括地图导航等16个类型。
　　北京师范大学法学院教授刘德良分析称,《规范》的出台是对网络安全法相关规定和《信息安全技术个人信息安全规范》的细化和具体落实,如网络安全法中规定的合法、正当、必要的原则如何具体界定?同时,《信息安全技术个人信息安全规范》中也没有关于个人信息使用的具体标准。
　　中国政法大学传播法研究中心副主任朱巍也认为,《规范》出台的主要目的是为了落实网络安全法中对合法性、正当性、必要性作基本规范。
　　在中国传媒大学政法学院法律系副主任郑宁看来,近年来,移动互联网应用中存在超范围收集、强制授权、过度索权等个人信息收集安全问题,给用户的个人信息安全造成严重威胁和侵害,而网络安全法的规定又较为原则,需要具体细化。在此背景下,《规范》应运而生。
　　记者注意到,《规范》中明确了应用可获取的必要信息。如地图导航类应用其基本业务功能必要信息仅为位置信息,短视频类应用只能获取用户关注的账号信息,但自媒体用户则需要提供姓名、证件和证件号码等用于实名认证的信息。
　　对此,刘德良说:“《规范》对16种不同的常见业务类型明确了收集个人信息的原则,增强了可操作性。”
　　在朱巍看来,《规范》的最大亮点是对抽象事物的具体落实,是一个具体到位的规范。对于常见的各种App,根据功能、用途不同,作了类型化的分类,基本涉及各个领域。此外,还明确了具体的搜集原则,如《规范》提到的权责一致原则,特别是最小够用原则,之前只是理论上的名词,现在明确在适用中,这些是《规范》的最大亮点。
　　郑宁对此看法相同,她认为给出地图导航、网络约车、即时通讯社交、社区社交、网络支付、新闻资讯、网上购物、短视频、快递配送、餐饮外卖、交通票务、婚恋相亲、求职招聘、金融借贷、房产交易、汽车交易16类基本业务功能正常运行所需的必要个人信息范围,是《规范》的主要亮点。
　　引导发展合规业务
　　参考查处相关案件
　　那么,《规范》的出台具有哪些意义呢?
　　朱巍说:“有了基本标准之后,在判断一个App收集使用个人信息是否遵循了合法性、正当性、必要性原则时,就一目了然了。《规范》提到了最小够用原则和权责一致原则,也明确了哪种类型的App只能收集哪些信息,App不能过分收集。”
　　朱巍说,《规范》把App收集个人信息的底线问题规定得很清楚,简单直白,每个人都看得懂,而且以后再出现相关问题,有关部门在查处时会发现《规范》其实就是一个底线。
　　“但《规范》毕竟是一个标准,不一定具有司法上和执法上的强制性,也许只能作为一个参考。《规范》是App个人信息使用边界问题以及在个人信息保护法出来之前的一个实践指南,起到指引作用,这是它的重要性所在。”朱巍说。
　　郑宁也认为,《规范》只是给行业提供了一份有益参考,没有法律上的强制约束力。但《规范》的意义不容忽视,首先,为互联网常见企业的个人信息合规业务提供了较为明确的指引；其次,为执法机关和司法机关处理相关案件提供了行业标准的参考；最后,有利于保障个人信息安全,维护用户合法权益,从根本上保障了网络安全。（记者韩丹东实习生姜珊）