一、【背景材料】

最近，国家网络信息办公室等4个部门共同发表了《常见类型的移动网络应用程序所需的个人信息范围规定》(以下简称规定)，明确了地图导航、即时通信、网络购物等39种常见类型的APP所需的个人信息范围，其运营者因用户不同意提供不必要的个人信息而拒绝使用AP的基本功能服务。

二、【解读分析】

安装一个APP来看视频，却要你授权通话记录;安装下一个APP来浏览，竟要获取你的通讯录信息……有些APP不经意间就要求用户默认交出各种本不需要的隐私权限，使用户的手机就像一个不设防的“大房子”，谁都可以在这个“大房子”上砸窗户，拆墙。若任由APP过度索权乱象肆虐，不但个人信息泄露必然成为大概率事件，其所带来的数据安全风险也不容忽视。事实上，大量的不法APP通过过度索权，形成了个人信息黑产，造成了个人信息被不法分子利用，成为电信网络诈骗、人肉搜索等网络犯罪的“温床”。

在个人信息收集方面，《网络安全法》明确规定“合法、正当、必要”原则，这是APP必须始终遵守的铁律。但是，以往由于对个人信息采集范围的合法性、正当性和必要性的规定不够细致，导致对个人信息的采集类型、范围、界限的判断比较困难，导致个人信息保护工作主要集中于事后问责。实际上，从治理成本、执法效率的角度来看，事前的个人信息采集监管是非常必要的。事先监管层次越高，后续风险就越小，而且只有在充分具体和有针对性的规则面前，事前监管才能起到更好的效果。

这一规定进一步细化和落实了网络安全法中的“合法、正当、必要”原则，将执法前移，从收集个人信息范围的角度加强治理，为防止APP过度索权划线，将实践中39种APP中的个人信息索权分类，以具体明确的方式加以规范，督促平台依法、依约收集个人信息，切实履行保护用户个人信息安全的主体责任。

根除APP过度索权化的土壤，除了需要相关部门将事前监管与事后问责相结合，APP运营商要依法依规履行主体责任外，更需要广大用户敢于监督，善于维权。根据该规定，任何组织和个人都有权向有关部门进行举报，这一点很清楚。这不仅保障了个人信息安全的公共监督权，而且拓宽了相关部门对个人信息安全保护的治理渠道。