收集阶段作为个人信息处理活动的首个阶段,其间出现的违法违规问题是整个数据治理实践中的首要问题,而过度收集个人信息又是在收集环节治理实践中最为突出的问题,但我国相关立法对认定过度收集个人信息行为的必要原则表述过于简化,导致其概念不清,认定范围不明,以至于众多可能给个人信息主体权利和自由造成侵害的高风险行为,无法被纳入过度收集个人信息行为的范畴;相反,许多本不具备过度属性的问题,如违背告知同意原则而产生的隐秘收集和强制收集个人信息的行为反而混入过度收集个人信息行为之列。相关监管部门和国家标准制定者已部分意识到上述问题的存在,且出台了一系列政策文件和国家标准,试图提出认定过度收集个人信息行为的具体方法,以落实必要原则的要求。但其采用的“类型化+简单举例”的认定方法仅是一种结论式的总结,缺乏可操作性和普遍适用性。针对上述问题,本文在对域外相关经验进行扬弃的基础上,明确了过度收集个人信息行为不合比例性的本质特征,构建出基于必要原则和合比例性原则的认定步骤:(一)对目标收集方案进行事实性描述,同时列明与该方案形成替代关系的其他方案;(二)对目标收集方案及其替代方案的有效性进行检验,通过比较予以定级;(三)检测目标收集方案是否在与其有效性相同的诸方案中对个人权益造成侵害风险是最小的;(四)检测目标收集方案给个人权益造成的风险与带来的收益之间是否符合比例。为使上述步骤更加清晰易懂,特别结合新冠肺炎疫情防控中收集体温信息的具体场景,对如何认定过度收集个人信息问题进行了示意式的说明。