国家互联网信息办公室、工信部等四部门12月30日联合印发《App违法违规收集使用个人信息行为认定方法》(简称《方法》)。《方法》明确了哪些行为分别可被认定为“未公开收集使用规则”“未明示收集使用个人信息的目的、方式和范围”“未经用户同意收集使用个人信息”“违反必要原则，收集与其提供的服务无关的个人信息”等。

2017年6月1日起施行的《网络安全法》和2018年5月1日起施行的国家标准《信息安全技术个人信息安全规范》，都对包括App在内的网络运营者收集、使用个人信息做出了相应规范，但从落实情况看不太理想。比如几天前，App专项治理工作组发布的通告显示，在近期评估中发现57款App存在收集使用个人信息问题，4款App未完成整改。公安部、工信部也披露了相关问题。

App违法违规收集使用个人信息行为，侵害了用户多种权益。要规范App行为、保障用户权益，必须在现有法律和国家标准的基础上，进一步完善制度措施。有关部门此次发布《方法》，旨在落实《网络安全法》等法律中有关个人信息条款：其一，便于监管者准确认定违法行为;其二，督促App运营者自律;其三，引导舆论和用户监督App。

此前，由于相关法律法规规定过于宽泛，客观上让一些侵权App有了可乘之机。比如法律规定“应当遵循合法、正当、必要的原则”，但认定违反该原则缺乏细则安排。《方法》明确6种行为违反必要原则，有望堵上某些App侵权、狡辩的漏洞。再如法律规定“公开收集、使用规则”，某些App会利用法律表述模糊打“擦边球”，《方法》明确4种行为可被认定为“未公开收集使用规则”。

也就是说，针对App运营者利用法律原则性规定打“擦边球”的各种行为，《方法》及时堵上了漏洞。尤其是多处涉及细节的制度设计值得肯定，如有关收集使用规则的内容晦涩难懂、冗长繁琐，用户难以理解，可被认定为“未明示收集使用个人信息的目的、方式和范围”。这是人性化考虑，既便于用户准确理解，又能防止运营商利用专业术语利己。

《方法》压缩了App违法违规收集使用个人信息的空间，便于监管者执法，也便于用户监督。不过，由于互联网发展迅速，一些环节情况复杂，某些App运营商为了私利，不排除会针对《方法》拿出对策。只有让《方法》始终能跟上App违法违规收集使用个人信息行为发展，才能对违规者形成有效约束。

为进一步堵上App违法侵权漏洞，除了落实《方法》外，还应考虑把《信息安全技术个人信息安全规范》从推荐性国标升级为强制性国标。对于推荐性国标，App运营商可以执行，也可以不执行，而由于个人信息安全涉及公众生命和财产安全，推荐性国标升级为强制性国标，有利于倒逼运营商严格执行，继而最大化保护公民个人信息安全。

从今年有关部委专项整治情况看，不少App在自查自纠阶段、监督检查阶段并不主动整改，应视具体情况，依法处以下架、罚款乃至追究刑责。归根到底，要严格依法处罚违法违规收集使用个人信息的App运营商，以提升法律惩戒力、威慑力;要让法律成为个人信息安全最强大“保护伞”，成为悬在App运营商头顶的“达摩克利斯之剑”。(张海英)