封面評論丨“最小必要”原則具體化，APP收集個人信息規範化

□蔣璟璟

近日，工信部組織中國信通院、電信終端產業協會（TAF）制定了《APP用户權益保護測評規範》10項標準；對於廣大用户特別關心的“最小必要”等收集使用用户個人信息原則，制定了《APP收集使用個人信息最小必要評估規範》8項系列標準，涉及圖片、通信錄、設備信息、人臉、位置、錄像、軟件列表等信息收集使用規範。（中新社）

保護公民信息安全，事實上已有相對健全的法律體系和監管框架。比如説，《網絡安全法》《電信條例》《電信和互聯網用户個人信息保護規定》《App違法違規收集使用個人信息行為認定方法》等，從各個層面、各個維度，就防範APP違規收集用户信息、保護用户隱私權益做出了制度性的安排。可即便在此大背景下，由相關行業協會制定的《APP收集使用個人信息最小必要評估規範》仍然意義重大。

如果説，上層法律着重於界定權力邊界、明確權利歸屬，那麼相關行業協會規範，則旨在建構一種技術化的操作和認定指南。須知，後者對於捍衞前者的法益，是有直接價值的。在各個法律中，關於APP收集用户信息，均強調要“告知”“獲得授權”，同時要堅持“非必要則不為”等原則。應該説，這些表述還是抽象化、概述化的，是缺乏具體化、場景化的解釋的。而《APP收集使用個人信息最小必要評估規範》恰好填補了相應的空白，其實用性是顯而易見的。

APP收集用户信息，到底何謂“最小必要”原則？這不能由從業企業自説自話，而必須由具備專業權威的第三方機構給出回答。《APP收集使用個人信息最小必要評估規範》，就“位置”“圖片”“通訊錄”“人臉信息”“軟件列表”“錄像”等數個具體方面給出了針對性的限定標準。有了這組規範，企業自查自糾、用户對照維權、執法部門追溯取證，都變得容易很多。

只有具化的“法條”，才是有生命力的，才是能指導執法、捍衞權利的。APP收集使用個人信息的“最小必要”原則，既有了具體的認定標準，那麼今後就對明知故犯、擦邊球等行為，更當強力整治保持“零容忍”。