《規(guī)范》中對于網(wǎng)絡(luò)約車、網(wǎng)絡(luò)支付、短視頻、金融借貸、房產(chǎn)交易、汽車交易等16類，針對不同類型App的特點(diǎn)，給出了每一類搜集用戶必要信息的范圍。

對于《規(guī)范》中必要信息的解讀

必要信息主要包括基本業(yè)務(wù)功能相關(guān)必要信息和通用功能相關(guān)必要信息，且《規(guī)范》對概念做了詳細(xì)定義，如下：

基本業(yè)務(wù)功能相關(guān)必要信息，是與基本業(yè)務(wù)功能直接關(guān)聯(lián)，一旦缺少會導(dǎo)致基本業(yè)務(wù)功能無法實(shí)現(xiàn)或無法正常運(yùn)行的個人信息。

通用功能相關(guān)必要信息，是相關(guān)法律法規(guī)要求、保障移動互聯(lián)網(wǎng)應(yīng)用安全風(fēng)險管控所必需的個人信息。

根據(jù)南方都市報的報道，對于必要信息的內(nèi)容，浙江墾丁律師事務(wù)所聯(lián)合創(chuàng)始人麻策表示，企業(yè)可以不必完全依樣遵守執(zhí)行，因?yàn)?/span>此次發(fā)布的《規(guī)范》在性質(zhì)上屬于技術(shù)文件，不屬于國家標(biāo)準(zhǔn)。但他強(qiáng)調(diào)，若有企業(yè)收集使用了超出《規(guī)范》所列的必要信息，應(yīng)當(dāng)有更充分的理由進(jìn)行說明，否則容易被認(rèn)為超出必要性范疇，帶來監(jiān)管執(zhí)法風(fēng)險。

中國電子技術(shù)標(biāo)準(zhǔn)化研究院信息安全研究中心審查部總監(jiān)何延哲表示，“以前在判定什么是必要信息時，通常只能‘一事一議’，效率比較低?，F(xiàn)在有了《規(guī)范》之后，相對來說能夠形成比較一致的觀點(diǎn)，在這個基礎(chǔ)上再去討論，會變得更加方便一點(diǎn)。”

下表是《規(guī)范》中網(wǎng)絡(luò)支付和金融借貸兩類App收集用戶必要信息的詳細(xì)界定。

根據(jù)《規(guī)范》要求，網(wǎng)絡(luò)支付基本業(yè)務(wù)功能必要信息有：手機(jī)號碼、賬號信息、身份信息、銀行賬戶信息、交易信息、交易身份驗(yàn)證信息等6項(xiàng)。

其中，對于賬號信息，《規(guī)范》要求僅用于保障賬號信息安全；對于需要提供生物特征的身份驗(yàn)證方式，會涉及個人生物特征信息的，《規(guī)范》要求網(wǎng)絡(luò)支付機(jī)構(gòu)應(yīng)再次告知用戶并獲取用戶明示同意，并應(yīng)優(yōu)先采取本地終端認(rèn)證機(jī)制。

對于安全風(fēng)控和生物識別，中倫律師事務(wù)所金融部合伙人劉新宇律師談到，第一，設(shè)備信息只能用于安全風(fēng)控目的，意味著網(wǎng)絡(luò)支付應(yīng)用的運(yùn)營者收集用戶的設(shè)備信息只能用于應(yīng)對反作弊、反欺詐、違法不良信息管控等業(yè)務(wù)安全風(fēng)控用途。如果用于安全風(fēng)控以外的目的，則需要再次征得用戶同意；第二，生物識別信息應(yīng)優(yōu)先采取本地終端認(rèn)證機(jī)制，意味著在技術(shù)等條件允許的情況下，運(yùn)營者應(yīng)當(dāng)僅接收用戶生物識別信息的驗(yàn)證結(jié)果，而不應(yīng)收集用戶的指紋信息或面容ID等生物識別信息。

金融借貸基本業(yè)務(wù)功能必要信息有：手機(jī)號碼、賬號信息、身份信息、銀行賬戶信息、個人征信信息、緊急聯(lián)系人信息、借貸交易記錄等7項(xiàng)。其中“緊急聯(lián)系人信息”僅限兩人，用于逾期不還情況下進(jìn)行催款，且應(yīng)允許手動輸入，而非強(qiáng)制讀取通訊錄?？梢宰⒁獾?，《規(guī)范》首次明確不應(yīng)強(qiáng)制讀取用戶的通訊錄。

針對金融借貸相關(guān)要求，麻策解釋說基于貸款業(yè)務(wù)場景中失信人慣于“玩消失”的行業(yè)特色，允許App適當(dāng)通過其它聯(lián)系人了解情況也是符合行業(yè)習(xí)慣的，但他強(qiáng)調(diào)，借款人通訊錄中其他用戶信息，除非基于擔(dān)保等法定情形，并無接收任何催收信息的義務(wù)，故強(qiáng)制讀取通訊錄的做法不符合最小化收集的原則，此類催收不被法律所允許。

劉新宇律師認(rèn)為《規(guī)范》對于金融借貸的影響有兩點(diǎn)：第一，學(xué)信網(wǎng)信息、通話記錄等信息未納入基本業(yè)務(wù)功能必要信息范疇，意味著金融借貸應(yīng)用的運(yùn)營者如果需要收集該等信息，需要具有充分的理由并允許用戶自主選擇同意；第二，不得強(qiáng)制讀取用戶的通訊錄，意味著強(qiáng)制讀取通訊錄這一屢被詬病和大量投訴的“默認(rèn)操作”失去其必要性基礎(chǔ)，如果金融借貸行業(yè)繼續(xù)堅(jiān)持強(qiáng)制讀取通訊錄，即使用于催收，也會面臨較高的監(jiān)管合規(guī)風(fēng)險。

APP違法違規(guī)專項(xiàng)治理在行動

截至2018年12月，我國手機(jī)網(wǎng)民規(guī)模達(dá)8.17億，網(wǎng)民中手機(jī)上網(wǎng)比例高達(dá)98.6%，我國市場上檢測到在架APP數(shù)量的高達(dá)449萬款，App違法違規(guī)收集使用個人信息受到相關(guān)部門的高度重視，開展了一系列APP違法違規(guī)收集使用個人信息專項(xiàng)治理行動。

1月25日，自《關(guān)于開展App違法違規(guī)收集使用個人信息專項(xiàng)治理的公告》的發(fā)布，APP違法違規(guī)收集使用個人信息專項(xiàng)治理行動正式拉開帷幕。

下表是對近半年來相關(guān)部門開展治理行動的整理。

據(jù)新華社報道，截至4月16日，被舉報的App數(shù)量已經(jīng)達(dá)到1300余款，主要集中在金融借貸、社區(qū)社交、網(wǎng)上購物、短視頻與直播、即時通訊等領(lǐng)域。

從舉報的問題來看：31%的App在申請打開收集個人信息相關(guān)權(quán)限時，未明確告知用戶；26%的App沒有隱私條款或未在隱私條款中明確收集個人信息的目的、方式、范圍；20%的App收集與業(yè)務(wù)功能無關(guān)的個人信息，如金融借貸App收集用戶通訊錄；19%的App未經(jīng)用戶同意，向他人提供設(shè)備ID、應(yīng)用程序列表等個人信息；13%的App強(qiáng)制索要與業(yè)務(wù)功能無關(guān)的權(quán)限，如計算器、手電筒App強(qiáng)制要求打開地理位置權(quán)限。其中App獲取個人信息相關(guān)權(quán)限時未明確告知用戶的問題最為突出，占總舉報數(shù)量的31%，占比最高。