重点解读

本条明确了处理个人信息必要性要求的具体内涵。

本条汲取了《信息安全技术 个人信息安全规范》（GB/T 35273-2020）第5.2条的精神，对处理个人信息必要性要求的内涵作了具体阐释。其一，个人信息的处理应当与处理的目的有直接的关联，即若没有相关信息的参与，处理目的无法实现；其二，收集个人信息应当限于实现处理目的的最小范围，这里的最小范围不仅包括收集数量的最小化，亦应当包括信息收集频率的最小化。

实务要点

在实务中，个人信息历来被视为商业机会的“富矿”，超出必要范围收集个人信息也一直是监管部门整治的重点问题。2019年，国家网信办、工信部、公安部，以及市场监管总局联合发布了《App违法违规收集使用个人信息行为认定方法》，将六类行为明确认定为“违反必要原则，收集与其提供的服务无关的个人信息”，具体包括：“1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关；2.因用户不同意收集非必要个人信息或打开非必要权限，拒绝提供业务功能；3.App新增业务功能申请收集的个人信息超出用户原有同意范围，若用户不同意，则拒绝提供原有业务功能，新增业务功能取代原有业务功能的除外；4.收集个人信息的频度等超出业务功能实际需要；5.仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，强制要求用户同意收集个人信息；6.要求用户一次性同意打开多个可收集个人信息的权限，用户不同意则无法使用。”

上述规定可以作为个人信息处理者实务中自查时的参照标准，如存在类似情形的，应当及时进行整改，以避免合规风险。同时，考虑到本条明确规定处理者有义务将收集行为对个人权益的影响降到最低，因此也建议处理者在收集一项个人信息之前应当进行必要性论证，避免因过多采集个人信息而承担责任。

案例解析

*案情介绍

鉴于App侵害个人信息的现象较为普遍，国家互联网信息办公室依据法律和有关规定，持续对各类App的个人信息收集使用情况进行检测，并且不定期地公示通报相关检测结果。这些通报就提及了不少App存在超出必要范围收集个人信息的情况。

以2021年5月10日国家互联网信息办公室发布的“App违法违规收集使用个人信息情况”的通报为例，在84款被通报的App中，“违反必要原则，收集与其提供的服务无关的个人信息”的超过60款。而在2021年5月21日国家互联网信息办公室发布的“App违法违规收集使用个人信息情况”通报中，105款被通报的App中也有近60款被认定为“违反必要原则，收集与其提供的服务无关的个人信息”。两次通报涉及的App类型涵盖安全管理、网络借贷、短视频、浏览器等多个类别，其中甚至包括一些头部企业的App。

*法律解析

通过上述数据，不难发现“违反必要原则，收集与其提供的服务无关的个人信息”可以算是目前App行业内的最为严重的问题之一，这自然也成为国家互联网信息办公室等部门监督、检查的重中之重。

部分个人信息处理者可能对此尚抱有侥幸心理，认为“通报整改”并不能算是非常严重的法律责任。但值得注意的是，随着监管的完善与公民个人信息保护意识的觉醒，对于此类行为的惩处很可能越来越严厉，例如《个人信息保护法》第70条已经明文规定了个人信息公益诉讼制度，未来也不排除出现其他新的个人信息保护及处罚措施。因此个人信息处理者还是应当严格遵守法律规定，尽可能减少乃至避免出现超出必要范围过度收集个人信息的情况。

关联法条

《民法典》第一千零三十五条；《网络安全法》第四十一条；《App违法违规收集使用个人信息行为认定方法》第四点。