前不久，花唄的用戶協議經網絡媒體披露后在微信朋友圈刷屏，大家紛紛驚呼怎么你們連我打電話時長幾分幾秒這樣的個人信息都要收集?由于點擊合同用戶只有“同意”的權利，大家才想起來，一向只對用戶協議點擊同意的人們還需要仔細看一下協議。

　　其實，這是企業在履行網絡安全法等法律法規的合規要求，即企業收集用戶信息必須經過用戶同意。

　　新華社的調查報道顯示，手機應用軟件無一例外要求用戶全部提供各種權限，比如手機識別碼，安裝應用清單，地理位置，讀取、發送短信，撥打電話，讀取通訊錄等等。

　　法律上，這種通過用戶協議獲取用戶授權的屬于概括性授權，在中國授權可以分為概括性授權和特別授權，前者如過去民間常說的“全權代理”，現在中國法院不認這種籠統的授權方式，要求對于“承認、變更、放棄、訴訟請求，和解，調解，上訴，反訴”等事關當事人重大權益的，必須有當事人寫明的特別授權。當然這是在訴訟中的要求，對于手機軟件獲得用戶的收集個人信息的同意圖片采集程序，這種概括性授權是否符合法律關于必須征得用戶同意的條件呢?

　　先假設一下，法院認定可以。那么可能導致的局面就是，各公司聘請好的律師把用戶協議關于要求授權的內容寫得盡可能多一些、長一些、完備一些，而用戶基本上也還是不會看，僅此而已。

　　我個人的觀點是，對于手機應用軟件的權限索取要求，應當借鑒訴訟授權區分重大權利的思路，區分敏感個人信息權限和一般個人信息權限。對于一般個人信息，可以通過概括性授權予以同意，也就是通過用戶協議點擊合同的方式予以同意;對于敏感類的個人信息，則不能通過概括性授權同意，而應當堅持“個別告知、逐次告知，特別授權”同意的方式。

　　那么，接下來就有幾個問題：第一是敏感信息如何界定，第二是敏感信息授權如何實現個別告知、逐次告知與特別授權，第三，如何平衡法律合規要求與用戶體驗采集圖片工具。

　　關于第一個問題，按照訴訟特別授權的思路，筆者以為敏感類個人信息的界定應由法律法規、規章和規范性文件予以明確，最高人民法院關于侵犯個人信息罪的司法解釋也是區分信息敏感程度的等級。

　　結合目前各企業的實踐來看，地理位置信息首先是應當經每次提醒個別授權的敏感信息。我個人認為，地理位置也應區分可以精確到市縣的大致位置和精確到目前技術可以達到更為精確的適應導航需求的位置信息，但不能太精確以免出現道德風險。對于前者可以從寬許可，后者則必須逐次告知并獲得許可，因為這是事關用戶安全的，一旦不慎泄露可能導致重大安全風險。

采集工具 　　讀取、發送短信，讀取通訊錄圖片采集器，撥打電話等也屬于敏感個人信息，但這些信息的獲取一方面要考慮應用的目的和讀取信息的用途，比如對于通訊錄管理軟件和名片類軟件，讀取通訊錄的目的就在于履行合同，可以認為收集是正當的;但如果一個聽書軟件，讀取通訊錄就不一定有正當性。這個說明與證明正當性的責任，當然應當由個人信息收集者來承擔。

　　第二個問題網站圖片采集軟件，關于如何實現個人信息的授權，對于非敏感信息，企業通過一個用戶協議告知一下，也算有了合同網絡圖片采集器，勉強說得過去。而有些企業為了實現自己的商業目的，在一個應用軟件內捆綁越來越多的內容，然后以自己具有相關業務為由要求獲得用戶的敏感個人信息，這種要求是否正當呢?

　　這就涉及法律關于收集個人信息應當遵守“必要”原則，這個“必要”應解釋為對用戶的必要還是對企業的必要問題，我認為比較理想的狀態是企業在應用設置時應將信息收集設置為用戶可以自行選擇。如果用戶選擇了要求提供相關服務，卻沒有選擇開通權限，用戶調用服務時你需要開通權限，你再去要求用戶開通不遲。如果可以做得更好一些，那就像國外有些網站那樣，通過技術設置強迫用戶必須逐條閱讀、點擊同意用戶協議，否則不走向下一條。逐步給人選擇，才是尊重用戶隱私和平衡實現企業商業目的的最佳途徑。

　　其實現在很多手機軟件雖然在下載和安裝時沒有提供選擇，但通過安全軟件，仍可以關閉對上述敏感信息的授權。所以，從一定程度上來說，企業也可以解釋為已落實了網絡安全法等法律關于必須獲得同意的合規要求。

　　第三個問題，可能企業技術人員會提出，如果按照最敏感的位置信息要逐次告知并獲得同意，那如果在高速行駛的車輛上、基站一個個迅速變化，是否不停向用戶發送請求?這樣是否騷擾用戶?其實現在的實踐，已經實現了這種法律合規與用戶體驗的均衡，位置變化現在大部分地圖軟件都會有提示，但也不會過于頻繁，這就是商業實踐已經認識到合規要求與用戶體驗的平衡。

　　各位讀者不妨看看現在自己手機里的個人信息收集情況，大概就能知道這當中有多大的困難要去逐步克服了。