新华社北京6月15日电 “手机下载一个‘手电筒’应用，却被要求访问通信录。”“安装某个手机应用，不同意访问地理位置就安装不了。”“在APP里浏览某类信息后，就会收到相关产品的广告短信。”日前，针对当前移动互联网应用中存在的超范围收集、强制授权、过度索权等个人信息收集安全问题，全国信息安全标准化技术委员会在其官网发布了《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》（以下简称《规范》），为移动互联网应用收集个人信息提供实践指引。

《规范》指出，依据《中华人民共和国网络安全法》中的相关要求，以及个人信息最少够用原则，针对APP的基本业务功能，明确给出了每类业务功能相关的必要信息范围，其中包括地图导航、网络约车、即时通信社交、社区社交、网络支付、新闻资讯、网上购物、短视频、快递配送、餐饮外卖、交通票务、婚恋相亲、求职招聘、金融借贷、房产交易、汽车交易。

记者注意到，《规范》明确划定了地图导航类应用和短视频类应用可获取的必要信息仅一项，大大缩小了获取范围。比如，地图导航类应用，其基本业务功能的必要信息仅为位置信息，包括精准定位信息和行踪轨迹；短视频类应用只能获取用户关注的账号信息，但自媒体用户需要提供姓名、证件和证件号码等用于实名认证的信息。

工信部赛迪研究院电子信息研究所副所长陆峰认为，让APP根据其业务功能按照最小够用的原则采集个人信息，可以有效限制APP对个人信息的过度获取，控制因超范围采集个人信息导致的滥用、泄露和非法交易等行为。

针对目前较多APP读取用户通信录的要求，《规范》也给出了明确的范围限制。比如金融借贷类应用，《规范》要求，应允许用户手动输入两位紧急联系人信息，而不应强制读取用户的通信录；即时通信社交应用，应该允许用户手动添加好友，而不应强制读取用户的手机通信录。有网友表示，“保护好通信录信息，不仅是对自己负责，而且是对手机通信录好友负责”。

《规范》中还指出，浏览、搜索、点击等操作记录通常是非必要信息，收集时应告知用户并征得其同意；保存和使用个人上网记录时，对个人信息进行去标识化处理；使用个人上网记录用于分析用户画像进行个性化展示和推荐时，告知用户使用目的，并提供用户退出定向推送模式选项。

中国人民大学法学院未来法治研究院副院长丁晓东认为，一些APP为了不断改善品质、提升用户体验，围绕其核心业务收集个人信息可以理解，但应该有边界。《规范》的发布，划定了边界范围，为APP的开发者和提供者规范个人信息收集行为提供了标准和参考。

此外，《规范》还指出，这套标准适用于主管监管部门、第三方评估机构等对于个人信息收集行为进行监督、管理和评估。

陆峰建议应加快个人信息保护法或保护条例出台，明确个人信息采集、传输、存储、流通、交易、开发、利用等全流程环节权利和责任等法律要求。

丁晓东表示，应该加强对信息倒卖和过度挖掘等行为的执法，提高违法成本，形成法律震慑效应。

用户也有必要逐步增强自身安全意识。专家建议，应该选择正规的下载渠道，认真阅读APP在安装时的要求访问权限，及时关闭不必要的授权。

■ 相关新闻

国家计算机病毒应急处理中心：

10款移动应用涉及恶意扣费、隐私窃取、赌博

新华社天津6月16日电 国家计算机病毒应急处理中心近期在“净网2019”专项行动中通过互联网监测发现，十款违法有害移动应用存在于移动应用发布平台中。其主要危害涉及恶意扣费、隐私窃取和赌博三类。

这些违法有害移动应用具体如下：

1.《小历》（版本1.0）、《头像吧》（版本1.0）、《Pictu》（版本2.9.1）这三款移动应用在用户不知情或未授权的情况下，通过隐蔽执行、欺骗用户点击等手段，订购各类收费业务，导致用户经济损失，具有恶意扣费属性。

2.《Ramadan Wallpapers》（版本1.1）、《Charge and Sync Dock Reviews》（版本1.0）、《MayDayOnAir》（版本2.0.6）这三款移动应用在用户不知情或未授权的情况下，获取用户个人信息，具有隐私窃取属性。

3.《德汇科技》（版本1.2）、《特米科技》（版本1.2）、《天汇幼儿园家长端》（版本1.2）、《竞技欢乐牌—精品游戏》（版本1.0）这四款移动应用涉及赌博，通过押点数、斗牌、博彩等形式进行含有赌资往来的赌博活动，涉嫌违法并使用户存在财产风险。

国家计算机病毒应急处理中心提醒广大手机用户不要下载这些违法有害移动应用，避免手机操作系统受到不必要的安全威胁。