隆安法言 | 导读《移动互联网应用程序（App）收集个人信息基本要求》

要！我们注意到，《App收集个人信息基本要求》仅为推荐性国家标准（GB/T），而非强制性国家标准（GB）。无独有偶，与个人信息相关的系列国家标准大多为推荐性国家标准，如《个人信息安全规范（GB/T 35273-2020）》等。那么问题来了，推荐性国家标准是否需要遵守？

为不影响本文主题篇幅，简单来说：

1、虽然《标准化法》规定“国家鼓励采用推荐性标准。”但《标准化法释义》 中亦明确，在一些情况下，推荐性标准必须执行：（1）推荐性标准被相关法律、法规、规章引用；（2）推荐性标准被企业在产品包装、说明书或者标准信息公共服务平台上自我声明公开；（3）推荐性标准被合同双方作为产品或服务交付的质量依据的。

2、上述观点在国家市场监督管理总局标准创新管理司2021年5月19日答网友问时得到重申。

3、另外，我们注意到，天津法院[1]、北京法院[2]、广州法院[3]的裁判案例中，要么对《个人信息安全规范》进行引用并说理，要么查明事实中对《个人信息安全规范》相关内容进行了确认。

实务中我们也不乏碰到执法部门将推荐性标准作为参考、指引的情况。

除了移动互联网应用程序（App），我们认为，快应用、小程序、浏览器插件均应适用该标准。

《App收集个人信息基本要求》3.1条明确移动互联网应用程序包括应用程序和小程序。另外，我们注意到，为了规范移动互联网应用程序，网信办在2022年6月14日发布了《移动互联网应用程序信息服务管理规定》，该规定于同年8月1日生效。根据该规定第2条，“……本规定所称应用程序信息服务，是指通过应用程序向用户提供文字、图片、语音、视频等信息制作、复制、发布、传播等服务的活动，包括即时通讯、新闻资讯、知识问答、论坛社区、网络直播、电子商务、网络音视频、生活服务等类型。本规定所称应用程序分发服务，是指通过互联网提供应用程序发布、下载、动态加载等服务的活动，包括应用商店、快应用中心、互联网小程序平台、浏览器插件平台等类型。”

简言之，上述规定不仅规范应用程序和小程序，还规范应用程序下载平台以及小程序平台。而且从应用程序信息服务的定义来看，已经涵盖了所有功能的应用程序App。同时，鉴于规范的平台包括快应用中心和浏览器插件平台，故本文认为，快应用和浏览器插件亦应列入应用程序的范畴，而且从功能上看，快应用和浏览器插件与狭义的应用程序App扮演几乎同样的角色。

《App收集个人信息基本要求》提出应划分出App的基本业务功能和扩展业务功能，并以App的基础业务功能作为App的类型，当App类型属于附录A中常见的三十九种类型时[1]，应按对应的要求在最小必要范围内收集个人信息。以地图导航类App为例，该类App基础业务功能为定位和导航，其收集的必要个人信息范围限于位置信息、出发地和到达地。

当然，当下许多App不再仅仅是单一功能，而是多功能高度集成的App，互联网领域巨头参与下的App有为甚。针对该种情况，《App收集个人信息基本要求》指出，应将实现用户主要使用目的的业务功能划分为基础业务功能，将除此之外的划分为扩展业务功能。言下之意，笔者理解，监管要求是让功能聚合型App必须选择一个主要功能作为基础业务功能，并在此功能范围内限制App收集必要个人信息。如此设计，是基于很多人使用App可能只使用其中一两种主要功能，却被一次性收集其他不必要个人信息的情况。而且从网信办、工信部公布的违法违规收集使用个人信息情况来看，违反必要原则收集个人信息在违规行为中占比巨大，其中不乏很多各行业头部企业App。

划分了基本功能和扩展功能，也就划分了必要和非必要个人信息。因此，除了显著通知（弹窗、图文、动画），《App收集个人信息基本要求》进一步指出，应向用户明示App基本业务功能、扩张业务功能和必要个人信息范围，显著区分必要和非必要个人信息。具体包括：必要个人信息和非必要个人信息的拆分同意；同意收集必要信息时，保障可拒绝同意或撤回同意非必要信息收集，以及并不就此影响App基本功能的使用；不能通过捆绑不同类型服务、捆绑基本业务功能和扩展业务功能，批量收集用户的同意请求。

对于可能包含用户重要隐私以及涉及用户敏感个人信息，《App收集个人信息基本要求》单列了附录C，以规范这些特定类型个人信息的收集过程。该部分个人信息包括：日历信息、应用程序列表、设备信息、短信信息、通话记录信息、通讯录信息、位置信息、生物识别信息、录音及拍摄录像信息、传感器信息、相册信息、储存文件信息等。

《App收集个人信息基本要求》要求App应对第三方应用以及第三方SDK（软件开发工具包）进行安全管理。就第三方应用而言，App应与第三方应用明确双方的个人信息处理规则和保护责任；为客户提供关闭第三方应用收集个人信息的授权等。就第三方SDK而言，技术上仅嵌入满足App业务功能最少数量的SDK，App向第三方提供的个人信息也应满足最小必要原则，同样与第三方SDK明确双方的个人信息处理规则和保护责任并向用户履行相关告知义务。