金融借贷类不可强制读取通讯录

《规范》清晰界定了地图导航、网络支付等16类基本业务功能相关的必要信息范围。南都记者段奇摄

6月1日，全国信息安全标准化技术委员会发布《网络安全实践指南———移动互联网应用基本业务功能必要信息规范》(下称《规范》)，App超范围收集、强制授权、过度索权等个人信息安全问题有望得到进一步规范。

《规范》针对16类常用的基本业务功能界定了必要信息的范围，比如金融借贷类功能不能强制读取通讯录，设备信息只能用于安全目的等。

有专家向南都记者表示，《规范》提供了一个共识基础，有利于提高判定必要信息的效率;如果A pp需要超出必要性范畴收集信息，必须有充分的理由，并且允许用户自主选择同意。

对象：

导航、社交等16类基本业务功能

据悉，《规范》依据《中华人民共和国网络安全法》中的相关要求，以及相关国家标准提出的个人信息最少够用原则，针对用户数量大、社会关注度高的A pp的基本业务功能，明确界定了保障其正常运行所需收集的个人信息，为其收集个人信息提供实践指引。

中国信息安全研究院副院长左晓栋对南都记者表示，《规范》首次对网安法提出的“合法、正当、必要”原则中的“必要原则”给出具体界定，对推动网安法的实施有积极意义。

其中，基本业务功能是指满足个人信息主体选择使用App的最主要需求和根本期待的业务或功能。《规范》清晰界定了地图导航、网络约车、即时通讯社交、社区社交、网络支付、新闻资讯、网上购物、短视频、快递配送、餐饮外卖、交通票务、婚恋相亲、求职招聘、金融借贷、房产交易、汽车交易等16类基本业务功能相关的必要信息范围。

“以前在判定什么是必要信息时，通常只能‘一事一议’，效率比较低。现在有了《规范》之后，大家相对来说能形成比较一致的观点，在这个基础上再去讨论，会变得更加方便一点。”谈及《规范》的意义，中国电子技术标准化研究院信息安全研究中心审查部总监何延哲说。

南都记者注意到，《规范》有多处定义与《信息安全技术个人信息安全规范》修订草案保持了一致，比如个人信息收集原则、对基本业务功能的定义等等。

“《规范》确实是在个人信息安全规范的基础上编写的，但它更为具体”，何延哲提到，《规范》针对的是每一类基本业务功能，根据它们的特点制定的必要信息。

近日，中央网信办、公安部等陆续发布了一系列个人信息保护、数据安全相关的政策法规，《规范》的法律效力应该如何理解?

浙江垦丁律师事务所联合创始人麻策表示，《规范》在性质上属于技术文件，不属于国家标准，企业可以不必完全依样遵守执行。但若有企业收集使用了超出《规范》所列的必要信息，应当有更充分的理由进行说明，否则容易被认为超出必要性范畴，带来监管执法风险。

除安全目的外，

不得强制收集设备信息

《规范》指出，必要信息主要包括基本业务功能相关必要信息和通用功能相关必要信息：

基本业务功能相关必要信息，是与基本业务功能直接关联，一旦缺少会导致基本业务功能无法实现或无法正常运行的个人信息;

通用功能相关必要信息，是相关法律法规要求、保障移动互联网应用安全风险管控所必需的个人信息。

以新闻资讯类为例。由于该业务功能以提供新闻资讯浏览为主要目的，其基本业务功能必要信息仅有两大项：关注的账号，以及自媒体用户信息。前者用于向用户展示和推送关注的账号发布的新闻资讯，后者用于满足实名认证要求，基本不涉及用户的个人信息。

然而，在传统新闻资讯类A pp之外，也存在像今日头条这种以个性化推荐为核心业务模式的A pp，需要收集用户的浏览操作记录向用户推送可能感兴趣的内容。

对此，《规范》指出：浏览、搜索、点击等操作记录通常是非必要信息，需要收集时告知用户并征得其同意;保存和使用个人上网记录时，应对个人信息进行去标识化处理。

针对定向推送需求，《规范》进一步要求，如果用户拒绝，App应提供让其退出定向推送模式的渠道。

此外，南都记者还注意到，《规范》在通用功能相关必要信息中明确，设备信息(包括唯一设备识别码、硬件序列号)仅适用于“具有安全风控需求的业务功能”，应对反作弊、反欺诈、违法不良信息管控等安全风险。但事实上，大多数App都在隐私政策中声称需要收集设备识别码。

何延哲说，收集设备信息的确是一个普遍现象。“现在还有很多企业，说是为了安全风控，但是用的过程中可不一定”，他指出，《规范》的这条要求意味着要是A pp强制收集设备信息，就超出了必要信息的范围，除非是出于安全目的;如果变更使用目的，需要再次征得用户同意。

左晓栋也强调，太多的A pp试图获得唯一设备识别码，一定会出现将“安全风控”扩大化的情况，“这一点应当引起警惕”。

专家说法

超出必要性范畴，收集信息须有充分理由

近年来，因在金融借贷类App上欠钱不还，导致家人朋友被疯狂催债的案例屡见不鲜。读取通讯录似乎已经成为此类App的“标配”，但其合规性往往饱受质疑。对此，《规范》首次明确，不应强制读取用户的通讯录。

根据《规范》要求，金融借贷基本业务功能必要信息有手机号码、账号信息、身份信息、银行账户信息、个人征信信息、紧急联系人信息、借贷交易记录等七项。其中“紧急联系人信息”仅限两人，用于逾期不还情况下进行催款，且应允许手动输入，而非强制读取通讯录。

针对这一要求，麻策解释说，在金融类业务场景中，基于还款催收等核心业务功能，App可以直接向借款人催收，而基于贷款业务场景中失信人惯于“玩消失”的行业特色，允许A pp适当通过其他联系人了解情况也是符合行业习惯的。

但他强调，借款人通讯录中的其他所有用户，除非基于担保等法定情形，并无接收任何催收信息的义务，故强制读取通讯录的做法不符合最小化收集的原则，此类催收不被法律所允许。

如果确实需要超出必要信息范畴收集个人信息，企业怎样做才算合规?

“不论是否为核心业务功能，App都只能收集业务功能所必要的用户信息。”麻策分析说，当某项业务属于App的核心功能时，用户若拒绝提供必要信息，App可以拒绝向用户提供服务(例如强制退出);非核心业务功能收集个人信息时，用户有权拒绝其收集但仍可正常使用核心业务功能。

他举例说，用户拒绝向地图类App提供地理位置信息时，App可以直接拒绝提供导航服务，但App中若有用户评论这一扩展功能，App就不能因为用户拒绝提供评论相关的个人信息而拒绝提供导航服务这一核心功能。

何延哲也表示，不是说App完全不能超出必要性范畴收集信息，但是必须得有充分的理由，或者额外的规定，比如国家的法律法规或行业管理要求等等，并且允许用户自主选择同意。

关键词： 通讯录，金融借贷