近日，国家互联网信息办公室公布《信息安全技术移动互联网应用（App）收集个人信息基本规范》（草案），并向全社会征求意见。《草案》中明确规定，App不得收集与所提供的服务无关的个人信息。对外共享、转让个人信息前，App应事先征得用户明示同意。App应对其使用的第三方代码、插件的个人信息收集行为负责。《草案》更对21种常用APP类型可收集的“最少信息”进行了界定。这也被看作是移动互联网应用一项国家标准的出台。相信在不久的将来，移动互联网个人信息的保护将步入正轨。

　　APP不应收集“最少信息”外的无关信息

　　今年2月，一则京东金融App涉嫌获取用户的敏感图片并上传的新闻一度将APP是否过度收集用户隐私的话题推上风口浪尖，7月底，铁路官方APP“铁路 12306”也被曝出不同意获取个人信息就“闪退”的新闻。是否同意移动互联网应用的隐私条款，是否同意移动互联网应用搜集你的部分个人信息，成为不少移动互联网应用是否可以被用户使用的先决条件。

　　为落实《网络安全法》对个人信息保护的相关要求，加快相应标准化工作，国家互联网信息办公室8日公布了《信息安全技术 移动互联网应用（App）收集个人信息基本规范（草案）》（以下简称《草案》）。红星新闻记者查阅《草案》发现，不少用户日常会遇见的头痛问题，草案中都进行了明确界定，可谓树立了行业标准。

　　《草案》规定，App运营者应保障用户个人信息安全，当用户同意App收集某服务类型的最少信息时，App不得因用户拒绝提供最少信息之外的个人信息而拒绝提 供该类型服务，App也不得收集与所提供的服务无关的个人信息。《草案》更明确规定了21种常用APP类型可收集的“最少信息”，也指出当收集的个人信息超出服务类型的“最少信息”时，超出部分的个人信息，App应逐项征得用户明示同意。

　　21种常见APP类型中，网络约车、网络支付、交通票务、金融借贷、房屋租售、二手车交易等APP类型明确可收集的最少信息包括个人身份信息。即时通讯、博客论坛、新闻资讯、短视频等类别仅对公众账号信息发布服务使用者收集个人身份信息，问诊挂号类则仅对患者收集身份信息。

　　根据《草案》，浏览器、输入法、安全管理这三类APP可收集的最少信息只有网络日志一项。

　　《草案》还规定，当用户退出某服务类型后，App应终止该服务类型收集个人信息的活动，并对仅用于该服务的个人信息进行删除或匿名化处理。

　　此外，《草案》中明确，App应对其使用的第三方代码、插件的个人信息收集行为负责。第三方代码、插件收集个人信息视同App收集，App应防止第三方代码、插件收集无关的个人信息。

　　实测：APP确仍存在收集个人无关信息现象

　　今年5月，App专项治理工作组发布《百款常用App申请收集使用个人信息权限列表》，其中显示在10大类26项个人信息相关权限中，平均每个App申请收集数目达10项。按《草案》规定的21种常见APP应收集“最少信息”来看，目前的APP收集个人信息权限申请是远远不合格的。

　　以常用的地图导航一项类别来看，《草案》规定只能收集用户的网络日志和精准定位信息。但据《百款常用App申请收集使用个人信息权限列表》显示，百度地图申请收集了包括修改或查看拨号、拍摄、读取通讯录、录音、读取电话状态等10项个人信息相关权限，其中用户不同意开启，则App无法安装或运行的权限数达2项。另外一款高德地图也申请收集了包括拍摄、录音、读取电话状态等8项个人信息相关权限，其中用户不同意开启，则App无法安装或运行的权限数更高达5 项。

　　记者下载了属于浏览器类别的UC浏览器，按《草案》规定该APP可收集的“最少信息”只有网络日志这一项。下载后，UC浏览器随即要求访问记者的位置，但选择不允许后仍可正常使用。7月底刚因过度收集用户个人信息而被舆论关注的“铁路12306”仍要求获取记者包括定位、相机、相册、推送权限等一系列权限。记者点击不同意选项，APP随即 闪退。对此“铁路12306”在请求收集个人信息页显示，其申请相机权限是为了“方便使用扫描车票二维码等功能”，申请相册权限是为了“方便保存、分享列车信息等功能”，申请定位是为了“方便在‘最近常用’车站中自动增加当前所在城市的车站等功能。”

　　相关专家：标准符合市场趋势，监管会有一定滞后性

　　据全国信息安全标准化技术委员会公告显示，《草案》现面向社会公开征求意见，意见征集结束日期将在于2019年8月31日24:00前。《草案》是否具有指导意义？能否从根本上解决移动互联网应用过度收集用户个人信息，从而保护用户的隐私安全呢？记者采访了网经社电子商务研究中心特约研究员、合规监管专家董毅 智律师，董律师用“难、严、细、好”四个字概括了他对此次《草案》公布的看法，“《草案》的公布在意料之中，因为长期以来大众都呼吁对移动互联网信息安全 进行市场监管，但实施起来可能比想象中更困难。”董律师表示，现在移动互联网涉及的广度、深度越来越大，涉及的领域、行业也越来越多，“每个行业都有自己的规则，要统一标准也需要协调每一个行业每一个领域的具体需求，所以这也是相关监管进展缓慢的原因。”

　　董律师称，从全球移动互联网的趋势上看，对移动互联网的监管也是越来越严了，“你会发现现在移动互联网的隐私安全已经不仅仅局限于个人安全，甚至与国家安全也联系在了一起，所以这次《草案》的公布是符合全球的趋势的。”但董律师也谈到，目前公布的草案只是一个基本的规范标准，并不涉及到立法层面，如何处罚、 怎么处罚是需要深入挖掘的。

　　“总的来说，《草案》公布是一个非常好的事情，因为互联网更新换代太快，标准先行、监管滞后是完全可以理解的事情。正因为有了标准，才给了立法一个很好的契机与起点。”董律师谈到，监管需要一步步的进行改进，“比如监管由谁进行？预算怎么定？这些都需要细细讨论。”