治理App过度索权，应围绕“度”做足文章

记者7日从工信部获悉，为了规范App任意收集、使用麦克风录音权限，工信部已发布《App收集使用个人信息最小必要评估规范》。同时，工信部正在起草《移动互联网应用程序个人信息保护管理暂行规定》，划出底线，明确红线，更好保护个人信息，促进App市场健康发展。

上述两部规定都是针对App过度索权。之前，从媒体到消协组织，都曾曝光部分App过度索权。工信部开展专项整治的8大问题之一就是APP过度索权。这两部规定意味着，我国将对APP过度索权等问题进行长效治理，其中完善制度是长效治理的基础。

2017年6月实施的《网络安全法》第41条规定：网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。这已经明确了“必要”原则和“知情同意”。

但从实际情况来看，不少App无视法律规定继续过度索权。原因之一在于，法律对“必要”原则和“知情同意”规定不够详细，比如某些App运营商对“必要”原则有不同理解和解释，为过度索权辩解。再如，App对“知情同意”表述模糊或隐藏较深。

而正在起草的《移动互联网应用程序个人信息保护管理暂行规定》明确了知情同意和最小必要两项个人信息保护基本原则。知情同意要求App，应当以清晰易懂的语言告知用户个人信息处理规则，由用户在充分支持的前提下作出自愿、明确的意思表示。

除了“清晰易懂”，笔者以为，还应该要求以醒目的字号、字体颜色提醒用户重视“知情同意”。甚至有必要把知情同意置于服务条款或协议条款的前列，以便用户第一眼就能看到，因为很多App相关条款内容繁杂，不少用户没有耐心详细阅读就同意。

最小必要原则要求从事App个人信息处理活动，应当具有明确合理的控制，不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。从“必要”原则到“最小必要”原则，折射出我国治理App过度索权等问题越来越精细，这显然是一种进步。

不过，最小必要原则恐怕还需要具体标准来支撑，争取不给App运营商钻制度漏洞以及随意解释的机会。尤其是“服务场景无关”需要更详细的表述和界定，因为很多App的功能不断在变化，意味着服务场景也会变化，那么最小必要“红线”要更明确。

也就是说，着重治理App过度索权关键在于“度”，既需要把握好“度”，也要对“度”进行明确界定，还需要对越“度”行为有相应的处罚措施。如此一来，App过度索权的权力才能被关进笼子，用户权益才能得到保障。所以，应当围绕“度”做足文章。

让人欣慰的是，针对App过度索权等问题，制度体系正在加快完善。已经出台《App违法违规收集使用个人信息行为认定方法》《App收集使用个人信息最小必要评估规范》等制度标准，还在制定《移动互联网应用程序个人信息保护管理暂行规定》等。

不过，鉴于App数量巨大、种类繁多，侵权方式也比较多，不能指望一个药方能治百病。这就需要根据App发展的新情况、新问题，不断完善相关制度和标准。其实，不管App未来如何发展，其任何时候过度索权，都应该有制度来明确合理的“度”。