出品｜WEMONEY研究室

文｜劉雙霞

各類App非法獲取、超范圍收集使用等侵害個人信息的問題已是沉疴宿疾。監(jiān)管部門在完善相關(guān)法規(guī)制度的同時，也在加大日常監(jiān)督和打擊力度。5月10日，國家互聯(lián)網(wǎng)信息辦公室（簡稱“網(wǎng)信辦”）通報了涉及安全管理、網(wǎng)絡(luò)借貸等公眾大量使用的84款A(yù)pp存在的個人信息違規(guī)收集使用情況，包括48款網(wǎng)絡(luò)借貸類App被通報。

值得注意的是，5月1日起施行的《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》確立了App信息采集的“最小必要”原則。其中明確，網(wǎng)絡(luò)借貸類App所能收集的必要個人信息包括：注冊用戶移動電話號碼；借款人姓名、證件類型和號碼、證件有效期限、銀行卡號碼。

屢禁不止

48款網(wǎng)絡(luò)借貸類App被通報

除了騰訊手機管家等安全管理類App外，48款網(wǎng)絡(luò)借貸App被點名通報，幾乎涵蓋了目前市場上的主流借貸App。

網(wǎng)信辦通報的網(wǎng)絡(luò)借貸App涉及銀行系、消金系和網(wǎng)絡(luò)小貸系等。銀行系涉及平安銀行所屬平安貸款1.8.0版本，招商銀行所屬招貸1.0.20版本；持牌消費金融系涉及平安消費金融2.3.0版本，中原消費金融-貸款借錢3.8.1版本，招聯(lián)消費金融所屬招聯(lián)好期貸5.5.2版本；網(wǎng)絡(luò)小貸類涉及萬達旗下萬達普惠4.0.5版本、萬達貸2.5.6版本，51公積金借款4.7.8.0323版本，恒易借條-借錢容易1.5.3版本等。

根據(jù)通報，相關(guān)網(wǎng)絡(luò)借貸App存在的主要問題包括：違反必要原則，收集與其提供的服務(wù)無關(guān)的個人信息；未經(jīng)用戶同意收集使用個人信息等。

通報要求，針對檢測發(fā)現(xiàn)的問題，相關(guān)App運營者應(yīng)當(dāng)于通報發(fā)布之日起15個工作日內(nèi)完成整改，并將整改情況報網(wǎng)信辦，逾期未完成整改的將依法予以處置。

近年來,我國個人信息保護力度不斷加大,但在現(xiàn)實生活中,依然存在一些企業(yè)、機構(gòu)和個人,過度收集、違法獲取、非法買賣個人信息,利用非法獲取的個人信息侵害人民群眾合法權(quán)益的現(xiàn)象。

在過去一年里，工信部已經(jīng)通報了多批存在侵害用戶權(quán)益行為的App名單，并對規(guī)定期限內(nèi)整改不徹底的App進行了下架處理。工信部曾強調(diào)，如果相關(guān)企業(yè)有令不行、整改不徹底，工信部將采取全面下架、停止接入、行政處罰以及納入電信業(yè)務(wù)經(jīng)營不良名單或失信名單等措施，依法嚴(yán)厲處置。

北京尋真律師事務(wù)所律師王德怡表示，用戶數(shù)據(jù)對于平臺或商家而言具有重要的商業(yè)價值，因此各類App都熱衷于收集用戶信息。收集到的信息越多，越有利于其制定市場營銷策略，精準(zhǔn)獲客。

劃定收集范圍

網(wǎng)絡(luò)借貸超范圍采集被嚴(yán)管

超范圍收集信息成為違規(guī)的重災(zāi)區(qū)。此前不少借貸App還會獲取個人手機通訊錄、手機相冊等個人信息。事實上，監(jiān)管部門已經(jīng)對網(wǎng)絡(luò)借貸類App涉及到的必要信息進行了明確規(guī)范。

目前，關(guān)于App搜集使用個人信息的相關(guān)依據(jù)主要是《中華人民共和國網(wǎng)絡(luò)安全法》《App違法違規(guī)收集使用個人信息行為認定方法》《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》等法律和有關(guān)規(guī)定。

《中華人民共和國網(wǎng)絡(luò)安全法》于2017年6月正式施行，是我國第一部網(wǎng)絡(luò)安全的專門性綜合性立法，規(guī)范了網(wǎng)絡(luò)空間多元主體的責(zé)任義務(wù)。

2019年12月底，網(wǎng)信辦發(fā)布了《App違法違規(guī)收集使用個人信息行為認定方法》（簡稱《認定辦法》）。

根據(jù)《認定辦法》，9類行為可被認定為“未經(jīng)用戶同意收集使用個人信息”：1.征得用戶同意前就開始收集個人信息或打開可收集個人信息的權(quán)限；2.用戶明確表示不同意后，仍收集個人信息或打開可收集個人信息的權(quán)限，或頻繁征求用戶同意、干擾用戶正常使用；3.實際收集的個人信息或打開的可收集個人信息權(quán)限超出用戶授權(quán)范圍；4.以默認選擇同意隱私政策等非明示方式征求用戶同意；5.未經(jīng)用戶同意更改其設(shè)置的可收集個人信息權(quán)限狀態(tài)，如App更新時自動將用戶設(shè)置的權(quán)限恢復(fù)到默認狀態(tài)；6.利用用戶個人信息和算法定向推送信息，未提供非定向推送信息的選項；7.以欺詐、誘騙等不正當(dāng)方式誤導(dǎo)用戶同意收集個人信息或打開可收集個人信息的權(quán)限，如故意欺瞞、掩飾收集使用個人信息的真實目的；8.未向用戶提供撤回同意收集個人信息的途徑、方式；9.違反其所聲明的收集使用規(guī)則，收集使用個人信息。

《認定辦法》規(guī)定，6類行為可被認定為“違反必要原則，收集與其提供的服務(wù)無關(guān)的個人信息”：1.收集的個人信息類型或打開的可收集個人信息權(quán)限與現(xiàn)有業(yè)務(wù)功能無關(guān)；2.因用戶不同意收集非必要個人信息或打開非必要權(quán)限，拒絕提供業(yè)務(wù)功能；3.App新增業(yè)務(wù)功能申請收集的個人信息超出用戶原有同意范圍，若用戶不同意，則拒絕提供原有業(yè)務(wù)功能，新增業(yè)務(wù)功能取代原有業(yè)務(wù)功能的除外；4.收集個人信息的頻度等超出業(yè)務(wù)功能實際需要；5.僅以改善服務(wù)質(zhì)量、提升用戶體驗、定向推送信息、研發(fā)新產(chǎn)品等為由，強制要求用戶同意收集個人信息；6.要求用戶一次性同意打開多個可收集個人信息的權(quán)限，用戶不同意則無法使用。

另外，《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》已于2021年5月1日起正式施行。《規(guī)定》在明確App基本功能服務(wù)和必要個人信息范圍的基礎(chǔ)上，要求App運營者不得因用戶不同意收集非必要個人信息，而拒絕用戶使用其基本功能服務(wù)，同時確立了“最小必要”原則。

值得關(guān)注的是，《規(guī)定》明確了地圖導(dǎo)航、網(wǎng)絡(luò)購物、網(wǎng)絡(luò)借貸等39類常見類型移動應(yīng)用程序必要個人信息范圍。

其中，對于網(wǎng)絡(luò)借貸類App，《規(guī)定》明確其基本功能服務(wù)為“通過互聯(lián)網(wǎng)平臺實現(xiàn)的用于消費、日常生產(chǎn)經(jīng)營周轉(zhuǎn)等的個人申貸服務(wù)”，必要個人信息包括：注冊用戶移動電話號碼；借款人姓名、證件類型和號碼、證件有效期限、銀行卡號碼。

不過，王德怡表示，盡管《規(guī)定》規(guī)定了必要個人信息的范圍，但并沒有規(guī)定相應(yīng)的處罰措施。對單個用戶而言，既缺少相應(yīng)的技術(shù)手段，也沒有相應(yīng)的談判能力，因此，只能坐等上述平臺收集個人信息了。另外，違規(guī)成本低，查處難度大。

同時，隨著個人信息保護制度不斷完善，對一些從事借貸類業(yè)務(wù)的風(fēng)控也提出了挑戰(zhàn)。王德怡指出，借貸平臺如果不能有效掌握借款人的送達信息（特別是地址信息），在發(fā)生逾期或其他違約時，會在追賠方面產(chǎn)生一定和程序困難。