近日，国家四部委联合下发了《常见类型移动互联网应用程序必要个人信息范围规定》，对39类常见App在使用过程中，对必要个人信息的采集类型作出了具体规定。

　　当前，我国以网络安全法、民法典、刑法及其司法解释为核心的个人信息保护体系已经建立，《个人信息保护法（草案）》也开始向社会公开征求意见。不过，从相对抽象的立法条文，到具体落实在特定App应用尚存一定距离，新规通过类型化的方式，将具体应用与抽象规定相结合，对个人信息保护将起到重要抓手作用。

　　互联网实践中，利用App对消费者个人信息过度索权的情况非常普遍，主要包括三个方面：一是通过网民协议格式条款，甚至具有市场支配地位的平台通过霸王条款，强制消费者“同意”对个人信息的无限制索取。二是以技术手段、技术迭代、大数据幌子等方式，掩盖过度获取个人信息目的，消费者维权成本很高，违法成本较低。三是大量不法App通过过度索权，形成了个人信息黑产，导致个人信息被不法分子利用，精准诈骗、撞库窃取、人肉搜索等互联网犯罪行为屡见不鲜。

　　此外，个别App平台忽视本该承担的主体责任，在个人信息采集层面、使用层面、保护层面和处分层面都存在巨大安全隐患。以往执法实践更重视个人信息的使用、保护、处分和事后处罚，忽视了个人信息违法采集的前期责任。其实，从治理成本、执法效率角度看，在个人信息采集层面治理下的功夫越大，后续风险就会变得越小。因此，新规将执法前移，从采集个人信息范围角度加大治理力度，保护个人信息。

　　个人信息安全的治理工作不能过度依靠企业自律和事后执法处罚。平台自律应有法律法规作为基础，只有在足够具体、有效和针对性的规则面前，自律才会在个人信息保护中起到应有的效果。新规把实践中39类App对个人信息索权类别，以非常简练、具体、明确的方式作出了规定，旨在督促平台尽到依法、依约采集个人信息的责任，目的在于强化平台作为信息采集者的主体责任，切实保护消费者个人信息的安全。

　　各部门在对个人信息的保护监管工作中，很难逐款判断App采集个人信息范围的必要性、正当性和合法性具体边界。执法和司法都面临对个人信息采集类型、范围、边界判断困难的情况，这就导致对个人信息保护工作多集中在事后追责，缺乏技术监管的预判。新规出台的目的就是要进行“穿透式”监管，从个人信息采集源头抓起。这就需要App设计者、开发者、经营者、所有者与使用者都必须严格按照规定，落实采集类型和范围责任，明确采集的必要性、正当性，只有达到新规具体标准，才能符合合法性基本原则。换言之，如果平台没有履行新规相关标准，即便采集的信息事先“获得”了消费者同意，或没有对采集的个人信息进行滥用，也不能以此进行抗辩。

　　值得注意的是，新规不仅列明了各类App个人信息采集类别，而且还明确规定，任何组织和个人都有权利向相关部门进行举报，这就畅通了公众对个人信息安全监督的权利，也拓展了相关部门对保障个人信息安全的治理渠道，反过来，也更加夯实了互联网平台积极履行主体责任的必要性。

　　（作者：朱巍，系中国政法大学传播法研究中心副主任）