今年以来超200款App因违规收集个人信息被通报 抖音、快手、百度、腾讯均在列

（原标题：今年以来超200款App因违规收集个人信息被通报 抖音、快手、百度、腾讯均在列）

5月21日，抖音、快手等105款App因违法违规收集使用个人信息被通报。21世纪经济报道注意到，这已是今年国家网信办通报的第三批违法违规收集个人信息的App，此前腾讯手机管家、360借条、搜狗输入法等117款App已被通报。

此次通报针对的是短视频、浏览器、求职招聘等App，第一批和第二批则针对输入法、地图导航、安全管理、网络借贷等类型的App，搜狗输入法、高德地图、百度地图、腾讯手机管家、360手机卫士、还呗等均在列。

这些App均为常见类型、公众大量使用的App，根据网信办对其检测结果，主要违法违规表现在：未经用户同意收集使用个人信息；违反必要原则，收集与其提供的服务无关的个人信息等。

短视频类App无须收集个人信息

对App的治理是近年来网信办的重点工作。

根据通报，短视频类App主要存在问题包括：未经用户同意收集使用个人信息，未公示收集个人信息的规则等。抖音、快手两大主要短视频平台都“违反必要性原则，收集和产品服务无关的信息”。

如何理解必要原则？

《网络安全法》第四十一条第一款规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

就在今年3月22日，国家网信办等多部门联合印发《常见类型移动互联网应用程序必要个人信息范围规定》(简称《规定》)，细化了“必要原则”，明确了39类App收集必要个人信息的界限。

何为必要个人信息？即保障App基本功能服务正常运行所必需的个人信息，缺少该信息App即无法实现基本功能服务。具体是指消费侧用户个人信息，不包括服务供给侧用户个人信息。

此次公布的短视频类、浏览器类以及此前通报的输入法类、安全管理类等App，根据《规定》，均无须个人信息，即可使用基本功能服务。

浙江垦丁律师事务所联合创始人王琼飞告诉21世纪经济报道记者，目前短视频类应用收集的信息，从商业化角度看，主要是用于精准化营销；从产品服务角度，用于内容精准推荐；从保障角度来看，也可用于对黑灰产的预防和打击。

对于短视频类App，虽然要求无须收集个人信息，但王琼飞表示，在遵守必要性原则的情况下收集非必要个人信息，可以征得用户同意收集，但如果完全和提供产品服务无关，也和安全无关，即便是非必要个人信息，也不能请求用户同意收集。

百度浏览器未提供删除或更正个人信息功能

除了短视频类App，这次还公布了百度浏览器、360浏览器等浏览器类App存在的问题。

浏览器类App基本功能服务为“浏览互联网信息资源”，根据《规定》要求：无须个人信息，即可使用基本功能服务。

但是根据通报，34款浏览器App存在未经用户同意收集使用个人信息，以及违反必要原则、收集与其提供的服务无关的个人信息等情况。其中，百度浏览器还存在未按法律规定提供删除或更正个人信息功能的问题。

“删除权”曾被视为《网络安全法》的亮点，其明确规定，个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。

对于求职招聘类App，根据通报，主要存在违反必要性原则，收集与其提供的服务无关的信息。

根据《规定》，求职招聘类App必要个人信息仅包括两类：1。注册用户移动电话号码；2。求职者提供的简历。

App治理进入深水区

工信部数据显示，截至2020年底在我国国内市场上监测到的App数量为345万款。海量的App，在给我们生活带来便利的同时，过度收集个人信息、强制索权等问题也层出不穷。

近年来，对App的治理整顿逐渐进入深水区。2019年开始，网信办便开始全国范围组织开展App(移动互联网应用程序)违法违规收集使用个人信息专项治理行动。

工信部方面，今年4月份称已完成了对国内用户使用率较高的81万款App的技术检测工作，责令3433款违规App进行整改，公开通报819款整改不到位的App，下架239款拒不整改的App。

伴随着密集的执法活动，相关政策文件也不断完善。上述提到，今年3月出台的《常见类型移动互联网应用程序必要个人信息范围规定》，明确了39类App收集必要信息的范围。

4月26日，工信部会同公安部、市场监管总局发布《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》(简称“征求意见稿”)，向社会公开征求意见。

《征求意见稿》进一步细化了个人信息收集的最小必要原则，要求从事App个人信息处理活动的，应当具有明确、合理的目的，并遵循最小必要原则，不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动，并提出了“六项不得”要求。

“六项不得”要求，处理个人信息的数量、频次、精度等应当为服务所必需，不得超范围处理个人信息。并且，个人信息的本地读取、写入、删除、修改等操作应当为服务所必需，不得超出用户同意的操作范围。

（文章来源：21世纪经济报道）