随着移动互联网快速发展，各类手机应用程序（App）迅速普及，在促进经济社会发展、服务民生等方面发挥了重要作用。但同时，App超范围收集用户个人信息问题十分突出。特别是一些App通过捆绑功能索取个人信息授权，用户拒绝授权就无法使用App基本功能服务，变相强制用户授权，过度索权从“偷偷摸摸”升级为“明目张胆”。

近日，国家互联网信息办公室等四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》（以下简称《规定》），明确地图导航、即时通信、网络购物等39类常见类型App必要个人信息范围，要求其运营者不得因用户不同意提供非必要个人信息，而拒绝用户使用App基本功能服务。

装个App看视频，却要你对通话记录授权；下个App来导航，竟要获取你的通讯录信息……一些App动辄要求用户默认交出各种本不必要的隐私权限，使得用户的手机像个毫不设防的“大房子”，谁都能在这个“大房子”里砸个窗、拆个墙。如果任由App过度索权乱象野蛮生长，不仅个人信息泄露势必成为大概率事件，其带来的数据安全风险也不容小觑。现实中，大量不法App通过过度索权，形成了个人信息黑产，导致个人信息被不法分子利用，为电信网络诈骗、人肉搜索等互联网犯罪提供“温床”。

针对个人信息搜集，网络安全法明确规定了“合法、正当、必要”原则，这是App必须始终遵循的铁律。但过去由于对App采集个人信息范围的合法性、正当性和必要性缺乏足够精细的规范，导致对个人信息采集类型、范围、边界判断较为困难，使得个人信息保护工作多集中在事后追责。其实，从治理成本、执法效率角度看，对个人信息采集进行事前监管十分必要。在事前监管层面下的功夫越大，后续风险才会越小，也只有在足够具体和有针对性的规则面前，事前监管才能发挥更好效果。

此次出台的《规定》，进一步精准落实网络安全法中“合法、正当、必要”原则，将执法前移，从采集个人信息范围角度加大治理力度，为防止App过度索权立规矩划界限，把实践中39类App对个人信息索权类别，以具体明确的方式作出了规定，督促平台依法、依约采集个人信息，切实履行保护用户个人信息安全的主体责任。

铲除App过度索权这一乱象的土壤，除了需要相关部门将事前监管和事后追责相结合、App运营者依法依规落实主体责任外，还有赖于广大用户勇于监督、善于维权。正如《规定》所明确的，任何组织和个人都有权利向相关部门进行举报。这样既畅通了公众对个人信息安全的监督权利，也拓宽了相关部门保护个人信息安全的治理渠道。