App隐私权政策合规建议

（一）个人信息的规范界定

根据《网络安全法》《规范互联网信息服务市场秩序若干规定》等法律法规的规定，个人信息系指“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”，具体来说，这些信息包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等，但不包括经不可逆的匿名化或去身份化处理，使信息或信息集合无法合理识别特定用户身份且不能复原的信息。

（二）我国关于互联网领域个人信息保护的相关政策

在立法层面，目前我国主要通过《中华人民共和国电子商务法》《中华人民共和国电信条例》《信息网络传播权保护条例》《网络交易管理办法》等法律法规对互联网领域公民的个人信息进行保护。同时2019年4月10日公安部等三部门发布了《互联网个人信息安全保护指南》（以下简称“《指南》”），对公民个人信息安全保护管理制度、技术措施等提出了可操作的建议。

在司法层面，2019年1月25日，中央网信办、工业和信息化部、公安部和市场监管总局联合发布了《公告》，在全国范围组织开展App违法违规收集使用个人信息专项治理，此次专项治理就30多款App用户协议、隐私权政策中存在的违规行为予以了公示。可以说我国从立法和司法两个层面对互联网领域公民的个人信息采取了保护措施。

根据2019年11月28日国家互联网信息办公室秘书局、工信部办公厅等共同发布的《App违法违规收集使用个人信息行为认定方法》（以下简称“《认定办法》”），App用户协议、隐私权政策存在如下情形的将被认定构成违规。

（一）App用户协议、隐私权政策中违规行为的类型

1.App运营者未公开收集使用规则

根据《认定办法》规定，如App运营者未公开公民个人信息收集、使用规则的，将被认定为违规，具体来说包括：

(1)App中没有隐私政策，或者隐私政策中没有收集使用个人信息规则；

(2)App首次运行时未通过弹窗等明显方式提示用户阅读相关文本的；

(3)隐私权政策难以访问，如进入App主界面后，需多于4次点击等操作才能访问到；

(4)隐私政策等难以阅读，如文字过小过密、颜色过淡、模糊不清，或未提供简体中文版等。

2.App用户协议、隐私权政策未明示收集使用个人信息的目的、方式和范围

根据《认定办法》规定，App用户协议、隐私权政策中未明确收集、使用个人信息的目的、方式、范围的，将被认定为违规，具体表现包括：

(1)未逐一列出App收集使用个人信息的目的、方式、范围等；

(2)收集使用个人信息的目的、方式、范围发生变化时，未以适当方式通知用户；

(3)在申请打开可收集个人信息的权限，或申请收集用户个人敏感信息时，未同步告知用户其目的，或者目的不明确、难以理解；

(4)收集使用规则的内容用户难以理解，如使用大量专业术语等。

3.App运营者未经用户同意收集使用个人信息

根据《认定办法》的规定，App如未经过用户同意收集、使用个人信息的，将被认定为违规，具体来说包括以下几种情形：

(1)征得用户同意前就开始收集个人信息；

(2)用户明确表示不同意后，仍收集个人信息或打开可收集个人信息的权限，或频繁征求用户同意、干扰用户正常使用；

(3)实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围；

(4)以默认选择同意隐私政策等非明示方式征求用户同意；

(5)未经用户同意更改其设置的可收集个人信息权限状态，如App更新时自动将用户设置的权限恢复到默认状态；

(6)利用用户个人信息和算法定向推送信息，未提供非定向推送信息的选项；

(7)以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限，如故意欺瞒、掩饰收集使用个人信息的真实目的；

(8)未向用户提供撤回同意收集个人信息的途径、方式；

(9)违反其所声明的收集使用规则，收集使用个人信息。

4.App运营者收集与其提供的服务无关的个人信息

根据《认定办法》的规定，App搜集与提供的服务无关的个人信息的，将被认定为违规，具体来说包括如下情形：

(1)收集的个人信息类型与现有业务功能无关；

(2)因用户不同意收集非必要个人信息或，拒绝提供业务功能；

(3)App新增业务功能申请收集的个人信息超出用户原有同意范围，若用户不同意，则拒绝提供原有业务功能，新增业务功能取代原有业务功能的除外；

(4)收集个人信息的频度等超出业务功能实际需要；

(5)仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，强制要求用户同意收集个人信息；

(6)要求用户一次性同意打开多个可收集个人信息的权限，用户不同意则无法使用。

5.App运营者未经同意向他人提供个人信息

根据《认定办法》的规定，App运营者如果未经用户同意并且未做匿名化处理向他人提供个人信息的，将被认定为违规，具体来说包括如下情形：

(1)App客户端直接向第三方提供个人信息，包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息；

(2)数据传输至App后台服务器后，向第三方提供其收集的个人信息；

(3)App接入第三方应用，向第三方应用提供个人信息。

6.App运营者未按法律规定提供删除或更正个人信息功能或未公布投诉、举报方式等信息

根据《认定办法》的规定，App运营者应当在用户协议、隐私权政策中提供删除、更正个人信息的功能以及公布投诉、举报方式，如未提供上述内容的，将被认定为违规，具体来说包括如下情况：

(1)未提供有效的更正、删除个人信息及注销用户账号功能；

(2)为更正、删除个人信息或注销用户账号设置不必要或不合理条件；

(3)虽提供了更正、删除个人信息及注销用户账号功能，但未及时响应用户相应操作，需人工处理的，未在承诺时限内（承诺时限不得超过15个工作日，无承诺时限的，以15个工作日为限）完成核查和处理；

(4)更正、删除个人信息或注销用户账号等用户操作已执行完毕，但App后台并未完成的；

(5)未建立并公布个人信息安全投诉、举报渠道，或未在承诺时限内（承诺时限不得超过15个工作日，无承诺时限的，以15个工作日为限）受理并处理的。

（二）App中隐私权政策、用户协议被认定违规的法律后果

App运营者隐私权政策的合规性建议

针对《认定办法》中对App隐私权政策、用户协议中存在的违规行为，同时结合《指南》对App采集、使用公民个人信息的相关要求，笔者对App运营者的用户协议、隐私权政策的合规性提出如下建议：

（一）明确个人信息采集与利用

根据《指南》规定，互联网企业在收集、使用个人信息时，首先应当获得用户的同意。具体来说要求App运营者对用户作出隐私安全保障承诺，并且明确告知用户个人信息采集的种类、采集的目的以及采集与利用原则，采集与利用应当遵循合法、正当和必要原则。因此笔者建议互联网企业拟定隐私权政策、用户协议时应当对上述内容进行明确。

（二）明确个人信息存储及保护制度

根据《指南》以及《中华人民共和国电子商务法》等相关规定，App运营者具有对储存的用户个人信息进行保护的责任。具体来说，首先，App应当具有防范外部侵犯的能力，从技术架构上来保证个人信息的安全性和稳定性，实践中常用的方式包括协议加密处理、安全浏览协议等措施；其次，App运营者应当采取相关措施防止公民个人信息被损坏、泄露和篡改；最后从App运营者的架构内部来说，其可设立专门的信息管理和运营团队对用户个人信息进行管理。因此笔者建议互联网企业应当在公司内部制定明确的个人信息管理、保护制度，并在隐私权政策、用户协议中对用户个人信息保护作出承诺。

（三）明确个人信息的共享、转让的相关内容

根据《指南》的规定，App如存在对个人信息共享和转让行为的，应当满足如下条件：第一，转让前告知个人信息主体共享、转让该信息的目的、数据接收方的类型等信息并征得个人信息主体的授权同意；第二，共享、转让过程中应采取措施保证过程的安全性；第三，应当记录共享、转让信息内容，将共享、转让情况中包括共享、转让的日期、数据量、目的和数据接收方的基本情况在内的信息进行登记；最后，在共享、转让后应当了解接收方对个人信息的保存、使用情况和个人信息主体的权利，如访问、更正、删除、注销等。因此，笔者建议互联网企业在拟定App隐私权政策、用户协议等时，如确涉及到对采集的用户个人信息共享、转让行为的，应在相关协议中对上述内容予以明确。

（四）明确对个人信息的处理制度

《指南》中对个人信息的处理包括了应用、删除以及第三方委托处理三部分。就个人信息的应用而言，App运营者对个人信息的应用应当满足用户注册协议、隐私权政策的规定，不能超出与用户签署的信息使用协议的范围。

个人信息的删除方面来说，应当满足四个要求：第一，个人信息相关存储设备应当在个人信息超过保存时限之后进行删除；第二，个人信息相关存储设备应当满足将存储的个人信息数据进行删除之后防止通过技术手段进行恢复的要求；第三，对存储过个人信息的设备在进行新信息的存储时，应将之前的内容全部进行删除；第四，废弃存储设备，应在进行删除后再进行处理。

最后就第三方委托处理方面来说，在委托第三方进行处理前，应当对受托方的安全能力进行评估，同时与委托方签订相关协议要求委托方符合《指引》的相关要求，最后，对个人信息委托处理时，不应超出该信息主体授权同意的范围，并且受托方对个人信息的相关数据处理完毕后，应当对存储的数据内容进行删除。因此笔者建议互联网企业拟定用户协议、隐私权政策时对个人信息的处理相关条款应当按照《指引》的要求进行完善。

（五）明确对未成年人的信息保护制度

根据《儿童个人信息网络保护规定》《网络音视频信息服务管理规定》和《互联网企业个人信息保护测评标准》等相关规定，互联网企业应当建立未成年人保护制度，应规定未成年人个人信息处理的特殊措施，在未征得监护人明示同意时不得处理未成年人的个人信息。同时，互联网企业应当设置专门的未成年人个人信息保护规则和用户协议，并指定专人负责未成年人个人信息保护。因此笔者建议互联企业应当建立并完善对未成年人信息保护的相关制度。

合伙人

chen.jiexi@jingtian.com

陈皆喜律师为竞天公诚律师事务所合伙人，办公室在杭州，毕业于华东政法大学和新加坡国立大学，获双法学硕士学位，系麒麟会和公益金融联盟发起人、杭州市青年企业家协会理事、浙江青年创业学院接力浙商成员、杭州市海外留学归国人员创业发展促进会理事、两岸青年交流使者、新时代十佳来杭创业创新青年。

陈律师团队业务涵盖企业境内外上市、私募基金、公司投融资、并购重组和常年法律顾问等非诉讼法律服务。

陈皆喜律师文章往期回顾

1. 新冠肺炎疫情期内对赌条款的应对建议

2. 新冠肺炎疫情期间企业经营的法律建议

律师

fang.yue@jingtian.com

方越，竞天公诚律师事务所律师，办公室在杭州，毕业于中南财经政法大学，获法学硕士学位，主要从事企业投融资、境内外上市、常年法律顾问等非诉讼法律事务。

律师助理

bai.jingjin@jingtian.com

白京津，毕业于浙江大学，获法学硕士学位，主要业务领域为企业投融资、境内外上市、常年法律顾问等非诉讼法律事务。

声明 DISCLAIMER

本文观点仅供参考，不可视为竞天公诚律师事务所及其律师对有关问题出具的正式法律意见。如您有任何法律问题或需要法律意见，请与本所联系。

This article is for your reference only and not to be deemed as formal legal advice given by Jingtian & Gongcheng or its lawyers. Please contact us directly for formal legal advice or further discussion about the relevant issues.