移动互联网应用基本业务功能必要信息规范发布

《规范》清晰界定了地图导航、网络支付等16类基本业务功能相关的必要信息范围。南都记者 段奇 摄

　　6月1日，全国信息安全标准化技术委员会发布《网络安全实践指南———移动互联网应用基本业务功能必要信息规范》（下称《规范》），App超范围收集、强制授权、过度索权等个人信息安全问题有望得到进一步规范。

　　《规范》针对16类常用的基本业务功能界定了必要信息的范围，比如金融借贷类功能不能强制读取通讯录，设备信息只能用于安全目的等。

　　有专家向南都记者表示，《规范》提供了一个共识基础，有利于提高判定必要信息的效率；如果App需要超出必要性范畴收集信息，必须有充分的理由，并且允许用户自主选择同意。

　　对象：

　　导航、社交等16类基本业务功能

　　据悉，《规范》依据《中华人民共和国网络安全法》中的相关要求，以及相关国家标准提出的个人信息最少够用原则，针对用户数量大、社会关注度高的App的基本业务功能，明确界定了保障其正常运行所需收集的个人信息，为其收集个人信息提供实践指引。

　　中国信息安全研究院副院长左晓栋对南都记者表示，《规范》首次对网安法提出的“合法、正当、必要”原则中的“必要原则”给出具体界定，对推动网安法的实施有积极意义。

　　其中，基本业务功能是指满足个人信息主体选择使用App的最主要需求和根本期待的业务或功能。《规范》清晰界定了地图导航、网络约车、即时通讯社交、社区社交、网络支付、新闻资讯、网上购物、短视频、快递配送、餐饮外卖、交通票务、婚恋相亲、求职招聘、金融借贷、房产交易、汽车交易等16类基本业务功能相关的必要信息范围。

　　“以前在判定什么是必要信息时，通常只能‘一事一议’，效率比较低。现在有了《规范》之后，大家相对来说能形成比较一致的观点，在这个基础上再去讨论，会变得更加方便一点。”谈及《规范》的意义，中国电子技术标准化研究院信息安全研究中心审查部总监何延哲说。

　　南都记者注意到，《规范》有多处定义与《信息安全技术个人信息安全规范》修订草案保持了一致，比如个人信息收集原则、对基本业务功能的定义等等。

　　“《规范》确实是在个人信息安全规范的基础上编写的，但它更为具体”，何延哲提到，《规范》针对的是每一类基本业务功能，根据它们的特点制定的必要信息。

　　近日，中央网信办、公安部等陆续发布了一系列个人信息保护、数据安全相关的政策法规，《规范》的法律效力应该如何理解？

　　浙江垦丁律师事务所联合创始人麻策表示，《规范》在性质上属于技术文件，不属于国家标准，企业可以不必完全依样遵守执行。但若有企业收集使用了超出《规范》所列的必要信息，应当有更充分的理由进行说明，否则容易被认为超出必要性范畴，带来监管执法风险。

　　除安全目的外，不得强制收集设备信息

　　《规范》指出，必要信息主要包括基本业务功能相关必要信息和通用功能相关必要信息：

　　基本业务功能相关必要信息，是与基本业务功能直接关联，一旦缺少会导致基本业务功能无法实现或无法正常运行的个人信息；

　　通用功能相关必要信息，是相关法律法规要求、保障移动互联网应用安全风险管控所必需的个人信息。

　　以新闻资讯类为例。由于该业务功能以提供新闻资讯浏览为主要目的，其基本业务功能必要信息仅有两大项：关注的账号，以及自媒体用户信息。前者用于向用户展示和推送关注的账号发布的新闻资讯，后者用于满足实名认证要求，基本不涉及用户的个人信息。

　　然而，在传统新闻资讯类App之外，也存在像今日头条这种以个性化推荐为核心业务模式的App，需要收集用户的浏览操作记录向用户推送可能感兴趣的内容。

　　对此，《规范》指出：浏览、搜索、点击等操作记录通常是非必要信息，需要收集时告知用户并征得其同意；保存和使用个人上网记录时，应对个人信息进行去标识化处理。

　　针对定向推送需求，《规范》进一步要求，如果用户拒绝，App应提供让其退出定向推送模式的渠道。

　　此外，南都记者还注意到，《规范》在通用功能相关必要信息中明确，设备信息（包括唯一设备识别码、硬件序列号）仅适用于“具有安全风控需求的业务功能”，应对反作弊、反欺诈、违法不良信息管控等安全风险。但事实上，大多数App都在隐私政策中声称需要收集设备识别码。