近年来，App强制授权、过度索权、超范围收集个人信息的现象越演愈烈。2019年以来，国家多部委重拳出击，着重整治App违规违法收集个人信息乱象。截至目前，已有几十款App遭到强制下架、上百款App被点名整改，App收集个人信息领域迎来了强监管元年。面对来势汹汹的强监管高压，App运营商该如何做好信息收集工作？哪些个人信息可以收集？哪些不行？其中有哪些风险点值得关注？接下来一段时间，本团队将陆续推出App合规的系列文章，为App运营商合规收集个人信息提供方法和思路。

本篇是系列文章的第四篇：App运营商如何合规收集用户信息？

《网络安全法》第41条规定：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。”可见，网络运营者在收集个人信息时，首先必须遵循合法、正当、必要三大原则。

（一）合法性

所谓的合法性，是指网络运营者在收集用户信息时应当符合法律规定，具体表现为：网络运营者不得欺诈、诱骗、诱导个人信息主体提供个人信息；不得隐瞒产品或服务所具有的收集个人信息的功能；不得从非法渠道获取用户信息；以及不得收集法律法规明令禁止收集的个人信息。

其中，实务中最常出现APP运营商非法收取用户信息的表现是，APP运营商违背个人信息主体的自主意愿，强迫用户接受产品或服务所提供的业务功能及提供相应的用户信息。然而该种做法明显带有强迫意味，是不合法的。
APP运营商须注意，要想合法收集用户信息须做到：不得通过捆绑产品或服务各项业务功能的方式，要求用户一次性接受并授权统一各项业务功能收集个人信息的请求；应在产品或服务功能开启时，主动给用户提供主动填写、点击、勾选等主动行为，同时给用户提供关闭或退出业务功能的途径或方式；如果用户不同意使用、关闭或退出特定业务功能，APP运营商不得频繁征求个人信息主体的同意。

（二）正当性

所谓的正当性，是指APP运营商收集个人信息时，应获得用户的同意，使其拥有收集用户信息的正当性基础。
正当性主要体现在收集用户信息时应获得用户的授权同意，收集用户敏感信息时，应获得用户的明示同意。
具体体现为，APP运营商在收集用户信息时，应向用户主体明确告知所提供产品或服务的不同业务功能分别收集的个人信息类型，以及收集、使用个人信息的规则，并获得用户的授权同意，在间接获取用户信息上，应要求用户信息提供方说明个人信息的来源并保证信息来源的合法性。

APP运营商在收集用户敏感信息时，应取得用户的明示同意，应确保用户的明示同意是其在完全知情的基础上，自愿给出的、具体的、清晰明确的愿望表示。

当然，APP运营商并不是所有信息都需要得到用户的授权同意的，例如事关国家安全、国防安全直接相关的；与公共安全、公共卫生、重大公共利益直接相关的；与犯罪侦查、起诉、审判和判决执行等直接相关的；或者是APP运营商为新闻单位且其在开展合法的新闻报道所必需的，亦或是APP运营商为学术研究机构，出于公共利益开展统计或学术研究所必要的……以上列举的种种情况，APP运营商收集用户信息是无需征得用户主体的授权同意。

（三）必要性、

所谓的必要性，是指APP运营商收集个人信息的类型应与实现产品或服务的业务功能有必要的、直接的联系。直接联系是指没有该用户信息的参与，产品或服务的功能无法实现。
同时，必要性还体现在收集的频率和数量上。对于自动采集用户信息的频率应是实现产品或服务的业务功能所必须的最低频率；对于间接获取的用户信息数量，应是实现产品或服务的业务功能所必需的最少数量。
综上所述，APP运营商在收集用户信息时，应遵循合法性要求，不得违反法律法规的禁止性要求等；遵循正当性要求，一般信息需获得用户的授权同意，敏感信息需获得用户的明示同意；遵循必要性要求，APP运营商所收集的个人信息必须是必不可少的、直接关联的。