App收集使用个人信息正负面清单全面比对

2020年3月19日由全国信息安全标准化技术委员会发布的《网络安全标准2020自评估指南—移动互联网应用程序（App）收集使用个人信息自评估指南(征求意见稿)》（以下简称“2020自评估指南”）整体上沿袭了国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局于2019年11月28日签发并于12月30日正式对外发布的《App违法违规收集使用信息行为认定方法》（以下简称”认定方法”）的整体架构，同时延用并细化了《认定方法》与2019年3月1日由App违法违规收集使用个人信息专项治理工作组发布的《App违法违规收集使用个人信息自评估指南》（以下简称“2019自评估指南”）的规定，以实践中的具体场景和实例，为企业落实相关要求提供了明确的指引。

 我们将通过表格的形式，对上述三份文件的内容进行比对，绿色是调整内容；红色是新增内容；蓝色为删减内容。三份文件中基本一致的条款未体现在下文表格中，但在文后作出一一列举。并且，针对三份文件的规定，作出简要评析，以供业界参考。

1. 明确要求企业应在App常规交互界面展示隐私政策链接。

2. 当个人信息存储地域为境外时，需说明境外哪个国家或地区；即使不存在个人信息出境的情形，也需要在隐私政策中明确说明。

3. 注册（包括登录即代表注册）的选项与同意隐私政策等的因果逻辑关系应清楚，且主动提示用户阅读以显著方式展示的隐私政策等收集使用规则后，执行下一步注册/登录等动作。

4. 企业不得频繁征求用户同意，频繁询问的判定标准为48小时。

5. 除提供必要服务所需外，未打开或者在后台运行的App不应收集用户个人信息。

6. 在申请打开可收集个人信息的权限时，App也应“通过显著方式（如弹窗提示等）同步告知用户其目的，对目的的描述应明确、易懂”；如用户拒绝或撤回可收集个人信息的权限时，不得影响用户正常使用与该权限无关的功能，除非该权限是保证App正常运行所必须。

7. 不应在征得用户同意前，利用Cookie等同类技术、或私自调用可收集用户个人信息权限等方式收集个人信息。

8. App接入第三方应用时，应提醒用户关注第三方应用收集使用个人信息的规则，不得私自截留第三方应用收集的个人信息。

9. 如委托的第三方或嵌入的第三方代码/插件直接将个人信息传输至境外的，应明确说明跨境传输个人信息的目的、类型和接收方等。

10. 如App提供无需注册可使用（如浏览、游客模式）的业务模式，当用户拒绝支撑浏览、游客等模式以外的个人信息收集行为，App不应拒绝提供服务。

1. 需有隐私政策，可通过弹窗等方式提醒用户阅读。

2. 在用户首次开启App时，应主动提醒用户阅读隐私政策。

3. 进入App主功能界面后，通过4次以内的点击，能够访问到隐私政策。

4. 隐私政策文本文字显示方式（字号、颜色、行间距等）不会造成阅读困难。

5. 需逐一列出App收集使用个人信息的目的、方式、范围等。（隐私政策中应当将收集个人信息的业务功能逐项列举，不应使用“等、例如”字样。每个业务功能在说明其所收集的个人信息类型时，应在隐私政策中逐项列举，不应使用“等、例如”等方式概括说明。）

6. 如果发生使用目的变更等情形时，隐私政策应进行相应修订，并通提醒用户阅读。

7. 当App打开系统权限或收集个人敏感信息时，App应当说明该权限将收集个人信息的目的。

8. 若存在嵌入第三方代码插件收集个人信息的功能，需列出收集个人信息的目的、方式和范围。

9. App收集个人信息前应提供由用户主动选择同意或不同意的选项。

10. App不得以捆绑方式强制要求用户一次性同意打开多个可收集个人信息权限。

11. 各业务功能实际收集的个人信息类型应与隐私政策所描述内容一致，不应超出隐私政策所述范围。

12. App更新升级后，不应更改原有的系统权限设置。

13. 对于用户明确拒绝使用、关闭或退出的特定业务功能，App不应再次询问用户是否打开该业务功能或相关系统权限。

14. App应提供注销账号的途径。

15. App应提供查询、更正、删除个人信息的途径。

16. App运营者应妥善受理并及时反馈用户申诉，在15天内回复处理意见或结果。

往期文章回顾                                  

数据合规和网络安全

• 证券公司网络安全建设必须知道的七个要点 ——以中美经验为例2020-03-06
  

• 反垄断监管下的互联网平台数据采集和处理2020-02-18

• 英国脱欧与其数据保护趋势初探2020-02-04

• 政府你该如何收脸？2019-12-13

• 亚洲十四个国家和地区数据跨境制度报告中译本（DPO社群出品）2019-12-04

• 公司IPO/重组/投融资时，监管部门审查要点汇总及问题分析2019-12-03

• 儿童个人信息保护实证调研篇（一）2019-08-26

• 从企业进出口合规角度看跨境电商监管政策的调整2019-02-12

• 2018亚太数据和网络安全保护综述（下篇）:亚太地区各国家的数据保护状况2018-07-03

• 2018亚太数据和网络安全保护综述（上篇）:GDPR对亚太地区国家数据保护的影响及合规措施2018-06-26

• GDPR生效，企业如何基于中欧法律进行数据安全合规体系建设2018-06-20

• 在《个人信息安全规范》指引下初探AI企业数据合规的Good Practice 2018-03-28

时事评析(案例评析)

• 案例简评| Facebook Germany任命DPO违反通知义务2020-03-09

• 数据存储时间不符限制原则，房地产公司受德国DPA高额处罚2019-11-11

• 从FTC首次亮剑追踪类App，谈企业应该如何防范相关风险2019-10-25

• GDPR案例简评：电商平台未采取足够保护措施，波兰数据保护机构开出高额罚单2019-09-25

• 【重要参考文件】 FTC/纽约州诉谷歌/YouTube的和解令全文翻译及关键点提要2019-09-11

• 与FTC和解已正式达成：谷歌和YouTube因涉嫌违反COPPA支付1.7亿美元2019-09-07

• 普华永道因处理员工个人数据缺少合法依据受到处罚2019-08-28

• 瑞典GDPR处罚第⼀案：聚焦人脸识别技术, 探讨企业合规方案2019-08-27

• 【时评】ICO对英国航空和万豪国际开出巨额罚单，GDPR执法强硬时代来临！2019-07-27

• 【案例】因违反GDPR与相关数据保护法被处罚2019-07-27

• GDPR最新案例/法国Active Assurances公司因违反数据数据处理安全义务收到处罚2019-07-26

• 【时评十一】社交网络平台，需要给多点爱还是多点管？2019-02-12

• 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》2018-12-05

• 【时评九】加州IoT设备网络安全法对物联网法律之影响（附法案翻译）2018-10-24

• 【时事八】国际数据流动：欧盟委员会启动对日本的充分性决定流程2018-10-22

• 【时事七】美国通过《NIST小企业网络安全法》2018-08-22

• 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论2018-08-21

• 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目：数据可移植性的开源计划2018-08-06

• 【时事四】荷兰数据保护局开始研究私营部门遵守隐私规则的情况2018-07-29

• 【时事三】Android Apps Are Sharing Screenshots, Video Recordings to Third Parties 2018-07-18

• 【时事二】Facebook’s Push for Facial Recognition Prompts Privacy Alarms 2018-07-17

• 【时事一】Fitness app Polar exposed locations of spies and military personnel 2018-07-16

• 透析Facebook事件，对AI行业数据合规的思考2018-04-03

重要法规解读

• 电子商务信息如何有效公示？请看最新解读2020-03-16

• 《个人信息安全规范》的前生与今世2020-03-09

• 深度评论|花季守护——ICO依“龄”设计规范（下）2020-02-27

• 深度评论|花季守护——ICO依“龄”设计规范（上）2020-02-26

• 评析澳大利亚《消费者数据权利规则》及对我国立法与产业的启发2020-02-11

• 19年第四季度哪些数据保护新规最重要？盘点与解读（下）2020-01-10

• 19年第四季度哪些数据保护新规最重要？盘点与解读（上）2020-01-08

• 《GDPR第3条域外效力指南》（2019版）全文翻译2019-11-25

• 《个人信息安全规范》附录比对2019-10-28

• 《信息安全技术 移动互联网应用程序（App）收集个人信息基本规范》最新版征求意见稿与0805版本的比照2019-10-26

• GB/T 35273《信息安全技术个人信息安全规范》最新版征求意见稿与0621版本的比照2019-10-24

• 针对隐私信息管理的国际标准ISO/IEC 27701的简要解读（四）2019-09-25

• 环球评论|《网络生态治理规定（征求意见稿）》要点评析2019-09-21

• 环球评论|《开曼群岛数据保护法》的精要解读 - 兼议对采用VIE模式中国企业的意义2019-09-21

• 针对隐私信息管理的国际标准ISO/IEC 27701的简要解读（三）2019-09-04

• 【新规】《儿童个人信息网络保护规定》正式发布2019-08-24

• 针对隐私信息管理的国际标准ISO 27701的简要解读（二）2019-08-09

• 针对隐私信息管理的国际标准ISO 27701的简要解读（一）2019-08-08

• 深度解读《数据安全管理办法（征求意见稿）》十大重点内容2019-07-04

• 各国个人信息出境实况——兼评《个人信息出境安全评估办法（征求意见稿）》2019-07-02

• 《数据安全管理办法（征求意见稿）》线下分享PPT2019-07-01

• 记住“一、二、三、七”，读懂《网络安全审查办法》2019-06-07

• 《儿童个人信息网络保护规定》解读2019-06-04

• 以近期新规为主线，谈App治理的红线与抓手2019-05-31

• 简析《互联网个人信息安全保护指南》2019-05-06

• 个人信息保护监管动态总结（3月底-4月中）2019-04-19

• 自评估指南英译版上线！顺带捋捋最近监管动态2019-03-05

• 震惊！新国标盯上个性化，“精准营销”恐“凉凉”？2019-02-11

• 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”（DPO沙龙出品）2018-12-13

• 《电子商务法》配套细则解读系列文章（一）2018-12-12

• 美国《2018年加州消费者隐私法案》中文译本2018-07-10

• 根据《PIA意见稿》（征求意见稿）-- 浅议企业对PIA落地执行之方法论2018-06-21