重點解讀

本條明確了處理個人信息必要性要求的具體內涵。

本條汲取了《信息安全技術 個人信息安全規范》（GB/T 35273-2020）第5.2條的精神，對處理個人信息必要性要求的內涵作了具體闡釋。其一，個人信息的處理應當與處理的目的有直接的關聯，即若沒有相關信息的參與，處理目的無法實現；其二，收集個人信息應當限于實現處理目的的最小范圍，這里的最小范圍不僅包括收集數量的最小化，亦應當包括信息收集頻率的最小化。

實務要點

在實務中，個人信息歷來被視為商業機會的“富礦”，超出必要范圍收集個人信息也一直是監管部門整治的重點問題。2019年，國家網信辦、工信部、公安部，以及市場監管總局聯合發布了《App違法違規收集使用個人信息行為認定方法》，將六類行為明確認定為“違反必要原則，收集與其提供的服務無關的個人信息”，具體包括：“1.收集的個人信息類型或打開的可收集個人信息權限與現有業務功能無關；2.因用戶不同意收集非必要個人信息或打開非必要權限，拒絕提供業務功能；3.App新增業務功能申請收集的個人信息超出用戶原有同意范圍，若用戶不同意，則拒絕提供原有業務功能，新增業務功能取代原有業務功能的除外；4.收集個人信息的頻度等超出業務功能實際需要；5.僅以改善服務質量、提升用戶體驗、定向推送信息、研發新產品等為由，強制要求用戶同意收集個人信息；6.要求用戶一次性同意打開多個可收集個人信息的權限，用戶不同意則無法使用?！?/p>

上述規定可以作為個人信息處理者實務中自查時的參照標準，如存在類似情形的，應當及時進行整改，以避免合規風險。同時，考慮到本條明確規定處理者有義務將收集行為對個人權益的影響降到最低，因此也建議處理者在收集一項個人信息之前應當進行必要性論證，避免因過多采集個人信息而承擔責任。

案例解析

*案情介紹

鑒于App侵害個人信息的現象較為普遍，國家互聯網信息辦公室依據法律和有關規定，持續對各類App的個人信息收集使用情況進行檢測，并且不定期地公示通報相關檢測結果。這些通報就提及了不少App存在超出必要范圍收集個人信息的情況。

以2021年5月10日國家互聯網信息辦公室發布的“App違法違規收集使用個人信息情況”的通報為例，在84款被通報的App中，“違反必要原則，收集與其提供的服務無關的個人信息”的超過60款。而在2021年5月21日國家互聯網信息辦公室發布的“App違法違規收集使用個人信息情況”通報中，105款被通報的App中也有近60款被認定為“違反必要原則，收集與其提供的服務無關的個人信息”。兩次通報涉及的App類型涵蓋安全管理、網絡借貸、短視頻、瀏覽器等多個類別，其中甚至包括一些頭部企業的App。

*法律解析

通過上述數據，不難發現“違反必要原則，收集與其提供的服務無關的個人信息”可以算是目前App行業內的最為嚴重的問題之一，這自然也成為國家互聯網信息辦公室等部門監督、檢查的重中之重。

部分個人信息處理者可能對此尚抱有僥幸心理，認為“通報整改”并不能算是非常嚴重的法律責任。但值得注意的是，隨著監管的完善與公民個人信息保護意識的覺醒，對于此類行為的懲處很可能越來越嚴厲，例如《個人信息保護法》第70條已經明文規定了個人信息公益訴訟制度，未來也不排除出現其他新的個人信息保護及處罰措施。因此個人信息處理者還是應當嚴格遵守法律規定，盡可能減少乃至避免出現超出必要范圍過度收集個人信息的情況。

關聯法條

《民法典》第一千零三十五條；《網絡安全法》第四十一條；《App違法違規收集使用個人信息行為認定方法》第四點。