网信办拟为38类App收集信息“划界”

发布时间: 2020-12-03 15:30 | 来源: 新京报 | 作者: 罗亦丹 | 责任编辑: 江虹霖

网络直播、短视频、新闻资讯等12类App无需个人信息即可使用基本功能服务。地图导航类收集的必要个人信息仅为位置信息……对于App超范围、强制收集用户个人信息这一备受关注的问题,网信办拟以清单的方式进行立规。

根据网信办12月1日发布的《常见类型移动互联网应用程序(App)必要个人信息范围》公开征求意见(下称“征求意见稿”),对38类常见类型App的基本服务功能和必要个人信息范围作出了界定,例如网约车、导航类App需要收集定位信息,即时通信、网购类App需要收集用户注册电话等信息。对此,新京报贝壳财经记者对52款不同类别的App测试发现,薄荷健康、keep、黄油相机和起点读书需要社交账号信息或者手机号注册,否则无法使用。

实测:4款App或越界,薄荷健康强制索要手机号

一直以来,App存在“不给权限不让用”的问题。对此,征求意见稿规定,只要用户同意收集必要个人信息,App不得拒绝用户安装使用。而“必要个人信息”的概念是指保障App基本功能正常运行所必须的个人信息,缺少该信息App无法提供基本功能服务。

有监管层人士告诉贝壳财经记者,这意味着用户只要同意App收集这些信息,即便不同意其他权限,App也必须允许用户安装使用并提供服务;反过来,若用户不同意收集这些必要信息,App则可以不提供服务。

12月2日,贝壳财经记者对征求意见稿中38类App随机挑选主流的52款进行测试,结果显示市面上主流App中,有4款App或存在越界行为,分别为薄荷健康、keep、黄油相机和起点读书,分属“运动健身类”、“拍摄美化类”和“电子图书类”。需要指出的是,征求意见稿规定,在线影音、短视频、新闻资讯、运动健身、拍摄美化等12类App无须个人信息即可使用基本功能服务。也就是说,这12类App在无须注册的情况下,应允许用户使用基本功能服务。

测试中,新京报贝壳财经记者使用华为手机与苹果手机同时进行测试发现,keep、黄油相机和起点读书必须通过微信、微博等社交账号注册或手机号注册(可跳过),而薄荷健康虽然可通过社交账号注册,但即便注册了社交账号,也无法跳过手机号注册步骤,否则就无法使用基本功能。

其中,首次安装薄荷健康时,该App除强制要求用户进行手机注册外,在注册成功后还必须完善性别、身高、出生日期、体重等个人信息,否则就无法使用基本功能。

此外,kindle阅读App的情况在安卓与苹果端不一致:使用苹果手机下载该App后,若不进行手机号或邮箱注册无法使用,但使用华为手机下载该App则不要求必须注册。

“微信、微博等社交账号也属于个人信息。”北京师范大学网络法治国际中心执行主任、博导、中国互联网协会研究中心秘书长吴沈括对贝壳财经记者表示,“这实际上涉及App的数据共享问题,有的是与微信等有数据协议,有的则是数据抓取的方式。”

新规:为38类App“画圈”,有助理清合法采集范围

除了规定必要个人信息外,征求意见稿也对38类App的基本功能服务作出了明确界定。此外,还有两类App虽然不用注册就能使用基本功能服务,但需要用户提交其他个人信息,如地图导航类的基本功能是定位和导航,必须提供位置信息;快递物流类App的基本功能服务是提供包裹、印刷品等物品的快递寄收件服务,所需要的必要个人信息包括寄件人真实姓名、地址、联系电话和收件人姓名、地址、联系电话。

贝壳财经记者发现,一些App在基本功能上有所交叉,如根据征求意见稿,“女性健康类”App获取用户移动电话号码属于“必要个人信息”,而薄荷健康除运动课程外,也有健康管理,其中包括女性健康,因此该App若划分至“女性健康类”分类下,则可以索取用户电话号码。

有监管层人士向记者表示,目前工信部、网信办等部门的监管举措频出,其逻辑是数据必须支撑为用户服务的目的。贝壳财经记者注意到,这并非是监管部门第一次对App收集信息的范围作出界定,2019年6月,全国信息安全标准化技术委员会秘书处发布的技术文件《网络安全实践指南》中也对App满足基本业务功能时需要收集的个人信息范围给出了界定。

上述监管层人士表示,此次网信办发布的征求意见稿此后可能会成为规范性文件,“征求意见稿若获得通过,此前发布的《网络安全实践指南》自然就会成为过去时,应以征求意见稿内容为标准。”

对此,吴沈括对贝壳财经记者表示,目前App数据治理中的数据权限问题在《网络安全保护法》、《民法典》等都有相近的立法思路,但在实操时因为场景多样,哪些属于必要权限,哪些属于非必要权限存在落地的困惑,急需操作规范的指引,征求意见稿的出台有助于理清哪些属于合法采集的范围,对于企业的合规、用户的权益保障、维权、监管和更进一步的司法裁断衡量都有很好的参考意义。