出品｜WEMONEY研究室

文｜劉雙霞

各類App非法獲取、超范圍收集使用等侵害個人信息的問題已是沉疴宿疾。監管部門在完善相關法規制度的同時，也在加大日常監督和打擊力度。5月10日，國家互聯網信息辦公室（簡稱“網信辦”）通報了涉及安全管理、網絡借貸等公眾大量使用的84款App存在的個人信息違規收集使用情況，包括48款網絡借貸類App被通報。

值得注意的是，5月1日起施行的《常見類型移動互聯網應用程序必要個人信息范圍規定》確立了App信息采集的“最小必要”原則。其中明確，網絡借貸類App所能收集的必要個人信息包括：注冊用戶移動電話號碼；借款人姓名、證件類型和號碼、證件有效期限、銀行卡號碼。

屢禁不止

48款網絡借貸類App被通報

除了騰訊手機管家等安全管理類App外，48款網絡借貸App被點名通報，幾乎涵蓋了目前市場上的主流借貸App。

網信辦通報的網絡借貸App涉及銀行系、消金系和網絡小貸系等。銀行系涉及平安銀行所屬平安貸款1.8.0版本，招商銀行所屬招貸1.0.20版本；持牌消費金融系涉及平安消費金融2.3.0版本，中原消費金融-貸款借錢3.8.1版本，招聯消費金融所屬招聯好期貸5.5.2版本；網絡小貸類涉及萬達旗下萬達普惠4.0.5版本、萬達貸2.5.6版本，51公積金借款4.7.8.0323版本，恒易借條-借錢容易1.5.3版本等。

根據通報，相關網絡借貸App存在的主要問題包括：違反必要原則，收集與其提供的服務無關的個人信息；未經用戶同意收集使用個人信息等。

通報要求，針對檢測發現的問題，相關App運營者應當于通報發布之日起15個工作日內完成整改，并將整改情況報網信辦，逾期未完成整改的將依法予以處置。

近年來,我國個人信息保護力度不斷加大,但在現實生活中,依然存在一些企業、機構和個人,過度收集、違法獲取、非法買賣個人信息,利用非法獲取的個人信息侵害人民群眾合法權益的現象。

在過去一年里，工信部已經通報了多批存在侵害用戶權益行為的App名單，并對規定期限內整改不徹底的App進行了下架處理。工信部曾強調，如果相關企業有令不行、整改不徹底，工信部將采取全面下架、停止接入、行政處罰以及納入電信業務經營不良名單或失信名單等措施，依法嚴厲處置。

北京尋真律師事務所律師王德怡表示，用戶數據對于平臺或商家而言具有重要的商業價值，因此各類App都熱衷于收集用戶信息。收集到的信息越多，越有利于其制定市場營銷策略，精準獲客。

劃定收集范圍

網絡借貸超范圍采集被嚴管

超范圍收集信息成為違規的重災區。此前不少借貸App還會獲取個人手機通訊錄、手機相冊等個人信息。事實上，監管部門已經對網絡借貸類App涉及到的必要信息進行了明確規范。

目前，關于App搜集使用個人信息的相關依據主要是《中華人民共和國網絡安全法》《App違法違規收集使用個人信息行為認定方法》《常見類型移動互聯網應用程序必要個人信息范圍規定》等法律和有關規定。

《中華人民共和國網絡安全法》于2017年6月正式施行，是我國第一部網絡安全的專門性綜合性立法，規范了網絡空間多元主體的責任義務。

2019年12月底，網信辦發布了《App違法違規收集使用個人信息行為認定方法》（簡稱《認定辦法》）。

根據《認定辦法》，9類行為可被認定為“未經用戶同意收集使用個人信息”：1.征得用戶同意前就開始收集個人信息或打開可收集個人信息的權限；2.用戶明確表示不同意后，仍收集個人信息或打開可收集個人信息的權限，或頻繁征求用戶同意、干擾用戶正常使用；3.實際收集的個人信息或打開的可收集個人信息權限超出用戶授權范圍；4.以默認選擇同意隱私政策等非明示方式征求用戶同意；5.未經用戶同意更改其設置的可收集個人信息權限狀態，如App更新時自動將用戶設置的權限恢復到默認狀態；6.利用用戶個人信息和算法定向推送信息，未提供非定向推送信息的選項；7.以欺詐、誘騙等不正當方式誤導用戶同意收集個人信息或打開可收集個人信息的權限，如故意欺瞞、掩飾收集使用個人信息的真實目的；8.未向用戶提供撤回同意收集個人信息的途徑、方式；9.違反其所聲明的收集使用規則，收集使用個人信息。

《認定辦法》規定，6類行為可被認定為“違反必要原則，收集與其提供的服務無關的個人信息”：1.收集的個人信息類型或打開的可收集個人信息權限與現有業務功能無關；2.因用戶不同意收集非必要個人信息或打開非必要權限，拒絕提供業務功能；3.App新增業務功能申請收集的個人信息超出用戶原有同意范圍，若用戶不同意，則拒絕提供原有業務功能，新增業務功能取代原有業務功能的除外；4.收集個人信息的頻度等超出業務功能實際需要；5.僅以改善服務質量、提升用戶體驗、定向推送信息、研發新產品等為由，強制要求用戶同意收集個人信息；6.要求用戶一次性同意打開多個可收集個人信息的權限，用戶不同意則無法使用。

另外，《常見類型移動互聯網應用程序必要個人信息范圍規定》已于2021年5月1日起正式施行。《規定》在明確App基本功能服務和必要個人信息范圍的基礎上，要求App運營者不得因用戶不同意收集非必要個人信息，而拒絕用戶使用其基本功能服務，同時確立了“最小必要”原則。

值得關注的是，《規定》明確了地圖導航、網絡購物、網絡借貸等39類常見類型移動應用程序必要個人信息范圍。

其中，對于網絡借貸類App，《規定》明確其基本功能服務為“通過互聯網平臺實現的用于消費、日常生產經營周轉等的個人申貸服務”，必要個人信息包括：注冊用戶移動電話號碼；借款人姓名、證件類型和號碼、證件有效期限、銀行卡號碼。

不過，王德怡表示，盡管《規定》規定了必要個人信息的范圍，但并沒有規定相應的處罰措施。對單個用戶而言，既缺少相應的技術手段，也沒有相應的談判能力，因此，只能坐等上述平臺收集個人信息了。另外，違規成本低，查處難度大。

同時，隨著個人信息保護制度不斷完善，對一些從事借貸類業務的風控也提出了挑戰。王德怡指出，借貸平臺如果不能有效掌握借款人的送達信息（特別是地址信息），在發生逾期或其他違約時，會在追賠方面產生一定和程序困難。