保護個人資訊及隱私成為了科技圈近期的焦點話題。在 315 晚會上，企業違規收集人臉資訊、清理類軟體竊取老年人資訊等案例被曝光。在監管層角度，對個人資訊的保護措施也不斷加碼。

上週，國家網際網路資訊辦公室副主任楊小偉在新聞釋出會上說，目前加緊制定出臺《資料安全法》《個人資訊保護法》，從而在法律層面為資料安全和個人隱私保護提供法律保障。

昨天，國家網際網路資訊辦公室、工業和資訊化部、公安部、國家市場監督管理總局聯合印發《常見型別移動網際網路應用程式必要個人資訊範圍規定》（以下簡稱《規定》）。

《規定》明確了地圖導航、網路約車、即時通訊、網路購物等 39 類常見型別移動應用程式必要個人資訊範圍，自 2021 年 5 月 1 日起施行。

App 是否存在過度收集個人資訊的情況？使用者不同意提供非必要個人資訊，App 就拒絕為使用者提供基本功能服務？對此，搜狐科技查閱了十大常用 App 隱私政策，並與《規定》中所明確的必要個人資訊範圍進行比對。

需要注意的是，裝置和日誌資訊以及 Cookie 是否屬於個人資訊仍存在爭議。如果算作個人資訊並嚴格按照《規定》中的限制，搜狐科技發現，包括愛奇藝、百度地圖、滴滴、支付寶、美團、拼多多、淘寶、微信、QQ、抖音在內的十大 App 都可能需要進行整改。因為除了《規定》中提到的必要資訊，這些 App 還會預設收集使用者的裝置和日誌資訊、Cookie 及類似資料檔案。

一般來說，裝置資訊主要包括唯一裝置識別碼、登入 IP 地址、裝置型號等，日誌資訊主要包括瀏覽記錄、檢索記錄、訪問日期和時間等。

當然，如果上述資訊不被定義為個人資訊，那麼這些 App 的個人資訊收集算基本合規。部分 App 存在超出範圍的資訊收集，使用者可以拒絕，並且只會影響附加服務。

愛奇藝：

在《規定》中，線上影音類 App 基本功能服務為 “影視、音樂搜尋和播放”，無須個人資訊，即可使用基本功能服務。

而在愛奇藝的隱私權政策中，愛奇藝稱收集裝置資訊和日誌資訊是為了提供最核心的服務內容展示 / 播放 / 下載服務，如果拒絕提供上述資訊和 / 或許可權將可能導致無法使用產品與服務。愛奇藝還強調，單獨的裝置資訊、日誌資訊等無法識別使用者的身份資訊。

具體來看，裝置資訊包括裝置 MAC 地址、唯一裝置識別碼、登入 IP 地址、裝置型號、裝置名稱、裝置標識、瀏覽器型別和設定、語言設定、作業系統和應用程式版本、接入網路的方式、網路質量資料、行動網路資訊（包括運營商名稱）、產品版本號、裝置所在位置相關資訊。

日誌資訊方面，愛奇藝會自動收集使用者的個人上網記錄，並作為有關操作日誌、服務日誌儲存，包括瀏覽記錄、點贊 / 分享 / 評論 / 互動記錄、收藏 / 關注 / 預約記錄、播放記錄、播放時長、訪問日期和時間。

愛奇藝表示，可能會使用 Cookie 和同類技術收集使用者的一些個人資訊，包括訪問網站的習慣、瀏覽資訊、登入資訊。

滴滴：

在《規定》中，網路約車類 App 的基本功能服務為 “網路預約出租汽車服務、巡遊出租汽車電召服務”，必要個人資訊包括：1. 註冊使用者行動電話號碼；2. 乘車人出發地、到達地、位置資訊、行蹤軌跡；3. 支付時間、支付金額、支付渠道等支付資訊（網路預約出租汽車服務）。

在滴滴的隱私政策中，完成上述基本功能所必需的個人資訊包括手機號碼、行程資訊、支付資訊、位置資訊、訂單資訊及交易狀態、錄音和錄影資訊、裝置資訊和日誌資訊。

具體來看，使用者註冊需手機號碼並設定密碼，如果用微信登陸還需要獲取微信平臺的 OpenID；行程資訊方面，包括出發地、到達地、行蹤軌跡、時長及里程數資訊；支付資訊方面，包括支付工具、支付賬戶風控資訊以及支付狀態，如果使用者使用滴滴錢包則需要設定支付密碼，記錄餘額、支付記錄、提現記錄以及銀行卡號。

此外，滴滴表示為了提升產品安全能力，會通過軟體或硬體裝置獲取使用者行程中的車內環境聲音資訊，部分平臺內註冊車輛可能安裝有車內視訊記錄儀等裝置，使用者可能被錄製視訊資訊。並且，滴滴會收集裝置資訊 (包括裝置型號、作業系統版本裝置設定、MAC 地址及 IMEI、IDFA、OAID 等裝置識別符號、SIM 卡 IMSI 資訊、SIM 卡歸屬地、裝置環境、移動應用列表等軟硬體特徵資訊)及日誌資訊 (包括瀏覽記錄、檢索內容、點選檢視記錄、交易記錄以及 IP 地址瀏覽器型別、電信運營商、使用語言、訪問日期和時間）。

支付寶：

在《規定》中，網路支付類 App 基本功能服務為 “網路支付、提現、轉賬等功能”，必要個人資訊包括：1. 註冊使用者行動電話號碼；2. 註冊使用者姓名、證件型別和號碼、證件有效期限、銀行卡號碼。

在支付寶的隱私權政策中，使用者需要提供手機號或電子郵箱作為賬戶登入名。使用者還需要需要提供身份基本資訊，包括姓名、國籍、性別、職業、住址、聯絡方式，有效身份證件的種類、號碼和有效期限，以及有效身份證件的彩色影印件或照片。

在餘額支付的操作中，需要記錄支付賬戶餘額資訊以及交易資訊；在快捷支付中，使用者需提供開戶行名稱銀行卡卡號、銀行卡有效期、姓名身份證號碼、銀行預留手機號；在轉賬操作中，如果向他人的支付寶賬戶轉賬時，需輸入收款人賬戶、收款人部分姓名、轉賬金額；在轉賬至他人銀行卡時，需輸入收款人姓名卡號、開戶銀行。

在使用者進行消費時，支付寶稱將直接收集或向商家收集使用者的交易資訊，包括交易金額、交易物件、交易商品、交易時間、配送資訊 (如有)。如使用者不同意則可能無法完成交易。

此外，基於安全原因，支付寶稱需要記錄支付寶服務類別、方式及裝置品牌、裝置型號、裝置名稱、IP 地址 MAC 地址、裝置軟體版本資訊、裝置識別碼、裝置識別符號，所在地區，網路使用習慣，裝置相關應用資訊以及其他與支付寶服務相關的日誌資訊。如不同意記錄前述資訊，可能無法完成風控驗證。

百度地圖：

在《規定》中，地圖導航類 App 的基本功能服務為 “定位和導航”，必要個人資訊為：位置資訊、出發地、到達地。

通過百度地圖隱私政策可以看到，使用者直接提供和 App 自動採集的個人資訊包括：註冊資訊、裝置資訊、位置資訊、日誌資訊、車輛資訊、通訊錄資訊、日曆資訊、應用程式列表資訊，超出範圍的資訊收集主要是用於附加服務。

比如，註冊資訊方面，當註冊百度通用賬號時，使用者需要提供賬號名稱、頭像、密保郵箱、密保手機、密保問題，並建立密碼。或者，使用第三方賬號登入。百度地圖隱私政策指出，如果不登入百度地圖，並不會妨礙使用者使用定位服務和搜尋服務的核心業務功能，但會影響使用報錯、評論等附加業務功能。

美團：

在《規定》中，餐飲外賣類 App 的基本功能服務為 “餐飲購買及外送”，必要個人資訊包括：1. 註冊使用者行動電話號碼；2. 收貨人姓名（名稱）、地址、聯絡電話；3. 支付時間、支付金額、支付渠道等支付資訊。

在美團的隱私權政策中，使用者需要提供手機號碼以建立賬號，並完善相關的網路身份識別資訊（如頭像、暱稱及登入密碼等）；支付資訊方面，需要收集美團訂單資訊、對賬資訊及其他法律要求的必要資訊；涉及配送等服務時，使用者需要提供取 / 收貨人的姓名、性別、手機號碼、收貨地址、門牌號等。

此外，美團還會收集日誌和裝置資訊。使用者使用美團提供的產品 / 服務時，美團會收集瀏覽、搜尋、點選、收藏、新增購物車、交易、售後、關注、分享、釋出等資訊並作為有關網路日誌進行儲存，其中包括 IP 地址、瀏覽器的型別、使用的語言、作業系統的版本、訪問的日期和時間、電信運營商、網路請求等。

美團還會獲取使用者的裝置資訊，包括裝置屬性、連線和狀態資訊，例如裝置型號、裝置識別符號（IMEI/androidID/IDFA/OPENUDID/GUID/OAID、SIM 卡 IMSI、ICCID 資訊等）、裝置 MAC 地址、軟體列表、電信運營商等軟硬體特徵資訊。

拼多多：

在《規定》中，網上購物類 App 基本功能服務為 “購買商品”，必要個人資訊包括：1. 註冊使用者行動電話號碼；2. 收貨人姓名（名稱）、地址、聯絡電話；3. 支付時間、支付金額、支付渠道等支付資訊。

在拼多多的隱私權政策中，使用者完成 “購買”的基本功能需要提供手機號碼進行註冊，並且拼多多會收集使用者的裝置資訊、日誌資訊、訂單資訊和支付資訊。

具體來看，裝置資訊包括但不限於裝置型別、裝置型號、裝置設定、裝置識別碼、裝置儲存空間、作業系統和應用程式版本、語言設定、解析度、軟硬體特徵資訊。此外，拼多多可能會寫入使用者訪問拼多多平臺或使用拼多多服務時所使用的裝置的儲存空間。

日誌資訊方面，拼多多稱使用者在訪問拼多多平臺或使用服務時，系統可能會自動接收並記錄瀏覽器、計算機上的資訊（包括但不限於 IP 地址、瀏覽器型別、搜尋記錄、瀏覽記錄、瀏覽習慣、使用的語言、訪問日期和時間、電信運營商及記錄需求的網頁記錄）。

訂單資訊包括收貨人姓名（或名稱）、收貨地址及電話號碼，訂單同時載明訂單號、所購買的商品或服務資訊、下單時間、成團時間、實際支付的貨款金額及採用的支付方式。支付資訊方面，使用者可以通過第三方支付機構完成支付，支付功能本身並不收集個人資訊，但拼多多需將使用者的訂單號、交易金額以及其他使用者所選擇的支付機構要求的交易資訊與使用者選擇的支付機構共享。

此外，拼多多表示可能會通過 Cookie 識別使用者的身份，瞭解使用者的使用習慣，但使用者可以通過瀏覽器修改對 Cookie 的接受程度或者拒絕拼多多的 Cookie。

淘寶：

《淘寶網隱私權政策》顯示，除去會員註冊需要的電話號碼外，公司會收集使用者的收藏、加購及已購資訊、使用者所在位置以推薦商品及服務。而為了安全保障，淘寶稱需要收集和處理使用者的裝置資訊、日誌資訊。此外，為了提供附近的商品及服務優惠資訊，使用者的位置資訊也會被讀取，但使用者可以選擇關閉。

淘寶稱，上述個人資訊，大部分是使用者主動提供的，或者淘寶在使用者使用產品時，通過 Cookies、SDK 及類似技術獲取的，還有部分是從第三方間接獲取的。

微信：

在《規定》中，即時通訊類 App 的基本功能服務為 “提供文字、圖片、語音、視訊等網路即時通訊服務”，必要個人資訊包括：1. 註冊使用者行動電話號碼；2. 賬號資訊：賬號、即時通訊聯絡人賬號列表。

《微信隱私保護指引》顯示，使用者註冊微信服務時，需要提供的資訊包含賬號資訊、手機號碼、裝置型號、作業系統、登入 IP 地址、在微信進行的搜尋、檢視操作的記錄等日誌資訊，微信稱 “這類資訊時為提供服務必須收集的基礎資訊”。

而在使用附近的人、搖一搖、面對面建群及附近的小程式等功能時，微信會在獲得使用者同意後，記錄地理位置資訊，如果拒絕提供，將無法使用上述功能。微信搜尋、搜一搜以及看一看功能同樣會收集搜尋記錄、閱讀記錄、推薦記錄和訪問時間、評論和互動記錄。

隨著微信功能不斷疊加，在基本的通訊功能之外，微信同樣承載了不少其他需求，也就不可避免地涉及到了更多個人資訊收集。

QQ：

《QQ 隱私保護指引》表明，當用戶使用 QQ 服務時，會收集裝置型號、作業系統、裝置 Mac 地址、唯一裝置識別符號、應用 ID、登陸 IP 地址、QQ 軟體版本號、接入網路的方式、型別和狀態、網路質量資料、操作日誌、服務日誌資訊（如您在閱讀功能下的瀏覽歷史、服務故障資訊等資訊）等日誌資訊，這類資訊是為提供服務必須收集的基礎資訊。

QQ 會在使用者使用一些功能時，在獲得同意的情況下，收集一些敏感資訊，比如步數、手機聯絡人資訊、地理位置資訊，而拒絕提供將會使使用者無法使用相關特定功能，但不影響使用 QQ 其他功能。

此外，QQ 的第三方合作伙伴會使用第三方 SDK 收集、使用使用者的個人資訊。比如，使用者可以將特定內容分享到新浪微博，而 QQ 接入了新浪微博 SDK，第三方合作伙伴可能會收集個人常用裝置資訊、網路狀態等；使用者使用華為手機的，QQ 接入的手機廠商 Push SDK 需要收集手機裝置 MAC 地址、唯一標識資訊（例如 IMEI），並可能會收集使用者的手機型號、系統型別、系統版本、網路狀態等引數用於實現資訊的推送。

如微信一樣，QQ 所收集的使用者資訊同樣超出範圍，但據《指引》，如果拒絕提供相關資訊，只會影響相應功能，不會影響基礎功能。

抖音：

在《規定》中，短視訊類 App 的基本功能服務為 “不超過一定時長的視訊搜尋、播放”，無須個人資訊，即可使用基本功能服務。

《抖音隱私政策》指出，使用者主動提供和通過自動化手段獲取的資訊，包含賬號、身份認證、日誌資訊（點選、關注、收藏、搜尋、瀏覽、分享）、釋出資訊、通訊錄、地理位置資訊、裝置資訊。

不過抖音表示，“基於我們與通訊運營商的合作，當您使用抖音’一鍵登入’功能時，經過您的明示同意，運營商會將您的手機號碼傳送給我們，便於我們為您提供快捷的登入服務。手機號碼屬於個人敏感資訊，如果拒絕提供將無法使用’一鍵登入’方式註冊登入抖音，但不影響您通過其他方式註冊登入，也不影響其他功能的正常使用。”

此外，抖音稱，為了提升音視訊的上傳速度、豐富釋出功能和優化體驗，當用戶釋出音視訊時，在點選 “釋出”確認上傳之前，抖音會將該音視訊臨時載入至伺服器。但使用者可以在設定中進行關閉。

綜上所述，使用者們的裝置資訊、日誌資訊、Cookie 基本上是預設被收集的。進入 App 後也沒有相關按鈕可以選擇拒絕 “被收集”裝置和日誌資訊；如果想拒絕 “被收集”Cookie 則需要在瀏覽器中關閉相關許可權，並且需要瀏覽器有相關功能支援。

比如在《規定》中，線上影音類 App 無須個人資訊，即可使用基本功能服務。而在愛奇藝的隱私權政策中，愛奇藝稱如果拒絕提供裝置資訊和日誌資訊將可能導致無法使用產品與服務。

需要注意的是，裝置資訊、日誌資訊等是否屬於個人資訊的定義還比較模糊。拼多多在隱私政策中提到，單獨的裝置資訊、日誌資訊、搜尋關鍵詞資訊以及其他無法與特定個人直接建立聯絡的資訊或資料，不屬於個人資訊或個人敏感資訊。但根據去年 10 月起實施的國家標準《資訊保安技術 個人資訊保安規範》，上網記錄、裝置常用資訊等屬於個人資訊。