在无法证成公民个人信息权为宪法性权利和基本法律明确其权利定位的情况下，《网络安全法》第41条、《民法总则》第111条与《消费者权益保护法》第29条可视为个人信息安全管理义务的法义务来源。负有管理义务是网络服务提供者承担法律责任包括刑事责任的前提，当下，我国相关立法在网络服务提供者类型化、义务区别化和适当化等方面存在不足，加重了其法律责任，扩大了其刑事责任范围。目前，需要适当限缩管理义务范围，既对义务种类进行限制，又应规定免除责任条件，只有同时满足“知情”“技术上有可能阻止”“阻止不超过其承受能力”等条件才能要求其承担法律责任。[ 参见皮勇：《论网络服务提供者的管理义务及刑事责任》，载《法商研究》2017年第5期，第19页。]不仅如此，在暂时无法解决顶层设计问题时，解决难以惩罚和制裁问题，个人信息保护条款具体内容上的问题是关键切入点，禁止APP侵犯个人信息权利，防止应用权限溢出，应从立法层面上首先廓清已有义务规则内容，并重点补充和明确以下义务规则。
（1）禁止过度收集义务
对于立法上的“合法”“正当”比较容易理解，没有什么疑义。但“必要”如何理解，尚存较大疑问。从法理上分析，必要性即比例原则，是网络服务提供者在严格遵循合法正当原则基础上的进一步要求，结合该条后文“不得收集与其提供的服务无关的个人信息”规定，即构成禁止过度收集义务。此义务结构表明，APP服务提供者遵循比例原则收集使用个人信息应充足两个条件：一是积极条件上，应当根据提供的商品和服务内容收集使用公民个人信息；二是消极条件上，不得收集使用与商品服务内容无关的个人信息。具体来讲，针对目前市场上的成百上千类APP，类APP下又有具体功能不同的具体APP，应坚持个案分析，要进行“无关”与否的关联性判断。对于关联性判断，应当根据具体个体APP的服务内容和功能类别，来确定填充个人信息是否为必要。关联性判断情况结果无非可以分为明显超过与非明显超过必要限度两种。对于明显与非明显的关联性判断，应将公民个人信息类型和APP各自分类，分类以后，将二者进行一对一或者多对一的供需对应分析。个人信息分类可以根据其危险程度，区分人身类和财产类分别确定等级，将能进入刑法惩罚视野的个人信息等级列入最高等级范围之列。[ 参见时延安：《个人信息保护与网络诈骗治理》，载《国家检察官学院学报》2017年第6期，第13页。] APP依其服务对象和功能内容，可分为音影娱乐、电商平台、社交等。不仅如此，前述分类如可制作个人信息类型明细清单与APP分类一览表，则关联性判断更具有可操作性，符合实际需要。