总法嘉谈｜一文读懂App和SDK合规治理的“前世今生” (上)

输

作为一名法律人来说，“总法律顾问”意味着时光与经验的沉淀，意味着资历同智慧的兼具！

他们就像是大海中的灯塔，天空中的明星，指引着法律人努力的方向。

其实——他们还实力与文采并存，有一颗笔耕不辍的心！

“总法嘉谈”专栏由此而生。

我们将收集总法律顾问们的笔墨佳作，感受他们字里行间流露出的专业素养和人生智慧。

站在他们的肩膀上，读法律、看人生、观世界。

来源：公众号“律商视点”

APP数据保护合规治理的“前世今生”

近年来，以移动互联网为代表的现代信息技术日新月异，推动各类应用程序蓬勃发展，App在架数量和用户规模持续扩大。越来越多的App融入了我们日常生活，人们在享受这些App带来的生活便利的同时，也开始为各种强制授权、过度索权、超范围收集个人信息等问题买单。

一、什么是App?

App是Application应用软件的简称。根据2016年8月1日实施的《移动互联网应用程序信息服务管理规定》第二条，App是指通过预装、下载等方式获取并运行在移动智能终端上、向用户提供信息服务的应用软件。根据2021年5月1日实施的《常用类型移动互联网应用程序必要个人信息范围规定》第二条，APP包括移动智能终端预置、下载安装的应用软件，基于应用软件开放平台接口开发的、用户无需安装即可使用的小程序。

二、墨迹科技IPO被否案

2019年10月11日，中国证监会第十八届发行审核委员会2019年第142次发审委会议召开，北京墨迹风云科技股份有限公司（“墨迹科技”）首发申请未予通过，这是当日过会五家企业中唯一一位未能审核通过的企业，也是互联网科技公司第一次因数据安全合规问题未能IPO上市。审核结果公告详述了发审委会议对墨迹科技提出的四方面主要问题，其中数据合规问题是墨迹科技被否的关键原因之一。证监会针对墨迹科技在数据收集、使用、技术措施和监管政策等方面提出了诸多灵魂拷问，例如，发行人获取用户数据及标签的过程与方法是否对用户有明示提示，用户授权在法律上是否完备？发行人使用用户数据是否合法合规，尤其是商业化变现的合规性。这些问题可以说直接命中了墨迹科技的软肋。

其实，早在2019年7月，墨迹科技就收到App专项治理工作组发出的《关于APP收集使用个人信息相关问题的通知》，App专项治理工作组要求发行人就收集使用个人信心中存在的问题进行整改。随后，2019年9月，由公安部网络安全保卫局等多部门共同主办的“2019年网络安全专题发布会”上，涉嫌超范围采集公民个人隐私的多款App遭到点名，墨迹天气App就在其中。该款App被检出获取8项隐私敏感权限，包括读取并修改收集存储卡中的内容，访问确切位置信息等。

其实，多数互联网公司在最初发展业务时，为追求快速发展，往往是业务先行，合规后置。当公司发展至较成熟时，如相关合规制度未能及时补上，轻则导致行政处罚，重则直接封杀了企业的上市道路。

三、App合规治理发展脉络梳理

其实早在2017年7月，中央网信办、工信部、公安部、国家标准委等四部门就联合召开“个人信息保护提升行动”启动暨专家工作组成立会议，启动隐私条款专项工作，首批对微信、淘宝、新浪微博、京东商城、支付宝、高德地图、百度地图、滴滴、航旅纵横和携程网10款网络产品和服务的隐私条款进行评审。评审的重点内容包括明确告知收集的个人信息及收集方式，明确告知使用个人信息的规则，是否形成用户画像以及画像是否用于推送商业广告等。2017年9月24日，公布了个人信息保护提升行动之隐私条款专项工作对这十款产品和服务隐私条款的评审结果，这10家互联网企业共同发起并签署个人信息保护倡议书，对尊重用户知情权和控制权、遵守用户授权、保障用户的信息安全、保障产品和服务的安全可信、联合抵制黑色产业链，倡导行业自律等内容做出承诺。

2018年11月28日，中国消费者协会发布《100款App个人信息收集与隐私政策测评报告》。报告指出，大量App的隐私条款存在不合理免责条款，其中金融理财类和邮箱云盘类App不合理免责条款更为突出。

2019年1月，中央网信办、工信部、公安部和市场监管总局联合发布公告，宣布自2019年1月至12月，在全国范围组织开展App违法违规收集使用个人信息专项治理行动。随后，受四部门委托，全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立了App专项治理工作组，对用户数量大、与民众生活密切相关的App隐私政策和个人信息收集使用情况进行评估，并设立了两种举报渠道：“App个人信息举报”微信公众号和专用举报邮箱（pip@tc260.org.cn）。

2019年3月1日，App专项治理工作组发布了《App违法违规收集使用个人信息自评估指南》，提出了9大评估项，32个场景的评估标准，是企业自查自纠的重要参考。该指南出台的背景是，正值专项治理行动开始之初，工作组希望企业先通过自评估并进行相应整改，以减少监管机构采取严厉手段的比例，某种程度上给企业提供了政策的缓冲期。该指南主要聚焦于当时比较突出的问题，针对性非常强。

2019年3月13日，市场监管总局和中央网信办联合发布《关于开展App安全认证工作的公告》，由中国网络安全审查技术与认证中心为认证机构，并公布《移动互联网应用程序(App)安全认证实施规则》。该认证以自愿申请为原则，未经过安全认证不妨碍App上线，但申请安全认证可形成竞争优势，赢得更多用户的认可和信赖。它的认证模式为：技术验证 + 现场核查 + 获证后监督，技术验证的依据为GB/T 35273 《信息安全技术 个人信息安全规范》。截至2020年10月，云闪付、苏宁易购、中国移动、百度地图等10家企业的18款App获颁安全认证证书。由于此项认证是按App版本来认证，获证仅代表其在认证时符合国家标准，并不代表之后一直处于合规状态，尤其App版本迭代频率高，因此需要行政监管部门持续动态地监督，实现对获证App进行后续自动化、智能化地监测。

2019年3.15晚会上，App专项治理工作组专家曝光了评估工作中发现的违法违规收集个人信息的典型问题，例如，社保掌上通App在未获得社保部门及用户任何相关授权下，截取用户社保信息数据。

2019年6月1日，全国信息安全标准化技术委员会（“信安标委”）出台了《网络安全实践指南-移动互联网应用基本业务功能必要信息规范》（“《App指南》”），针对用户数量大、社会关注度高的移动互联网应用中存在的超范围收集、强制授权、过度索取等个人信息收集安全问题，提出了个人信息收集的通用原则以及16种常见类型的App为实现各自基本业务功能所需的必要信息。

之后，在《App指南》基础上，信安标委进一步起草了国家标准《信息安全技术 移动互联网应用(App)收集个人信息基本规范（征求意见稿）》(“《规范》”)，分别于2019年8月5日、10月24日和2020年1月20日发布了三版《规范》的征求意见稿。《规范》不仅提出了App收集个人信息的基本要求，而且全面覆盖30种App常见的服务类型，针对各类服务类型分别规定了可收集的最小必要信息（即法律法规要求的个人信息和实现服务所需的个人信息）与需个人信息主体授予的最小必要权限范围。虽然目前《规范》仍处于征求意见阶段，但其吸收了App专项治理成果以及《App指南》的核心内容，对企业开展数据合规工作有重要的实践指导意义。

2019年12月30日，国家网信办、工信部、公安部和市场监管总局四部委联合发布了《App违法违规收集使用个人信息行为认定方法》（“《认定方法》”）。从2019年5月5日公开征求意见，到2019年11月28日正式稿下发，再到2019年12月30日发布，效率之快，有目共睹。《认定方法》共分6大项认定准则，包含31种场景。6项认定准则包括1. 未公开收集使用规则；2. 未明示收集使用个人信息的目的、方式和范围；3. 未经用户同意收集使用个人信息；4. 违法必要原则，收集与其提供的服务无关的个人信息；5. 未经同意向他人提供个人信息；6. 未按法律规定提供删除或更正个人信息的功能，或未公布投诉、举报方式等信息。该《认定方法》可以说为后续治理App一系列行动提供了最为重要的依据之一。

2019年12月30日，App个人信息保护工作研讨会在北京召开，回顾了一年来的工作成果。截至2019年年底，App专项治理工作组共收到举报信息12322条，其中实名举报4039条，针对2300余款App开展深度评估、问题核查，对1000余款App进行了技术测评，督促问题严重的300款App进行整改，整改问题达800余个，对用户规模大、问题突出的260款App采取了公开曝光、约谈、下架等处罚措施。

2020年3月6日，由国家市场监管总局和国家标准化管理委员会联合发布GB/T35273-2020《信息安全技术 个人信息安全规范》（“2.0版《个人信息安全规范》”），并于2020年10月1日正式实施。作为GB/T35273-2017《信息安全技术 个人信息安全规范》（“1.0版《个人信息安全规范》”）的替代标准，2.0版《个人信息安全规范》在结合个人信息保护治理实践和对接国内外最新相关立法动态的基础上，对第三方接入管理等常见业务实践以及App违法违规收集使用个人信息专项治理行动等执法实践中的热点问题都进行了回应。其中一个亮点就是以附录形式发布隐私政策模板示例，手把手指导个人信息控制者如何通过这份政策清晰、准确、完整地描述个人信息处理行为，从而保证信息主体的知情权。如今，《个人信息保护法》即将于2021年11月1日生效，预计3.0版《个人信息安全规范》也已在加紧准备中。

2020年7月22日，中央网信办、工信部、公安部、国家市场监管总局四部门在京召开会议，正式启动2020年App违法违规收集使用个人信息治理工作。会议指出了2020年的治理工作在七方面重点开展，其中两大首要方面就是（1）制定发布SDK、手机操作系统个人信息安全评估要点，持续处理手机违法违规使用个人信息行为，对用户规模大、问题反映集中的App、SDK、小程序等进行深度评估；（2）对面部特征等生物信息收集使用不规范，App后台自启动、关联启动、私自调用权限上传个人信息、录音、拍照等敏感权限滥用等重点问题，开展专题研究和深度检测。

2020年7月25日，基于App专项治理工作组2019年3月发布的《App违法违规收集使用个人信息自评估指南》，信安标委编制了《网络安全标准实践指南-移动互联网应用程序（App）收集使用个人信息自评估指南》（“《实践指南》”）。其中，根据第2.1条(c)，如嵌入第三方代码、插件（如SDK）收集个人信息，应说明第三方代码、插件的类型或名称，以及收集个人信息的目的、类型和方式。根据第5.1条 (a)，如存在从客户端直接向第三方发送个人信息的情形，包括通过客户端嵌入第三方代码、插件（如SDK）等方式向第三方发送个人信息的情形，需事先征得用户同意，经匿名化处理的除外。

2020年7月29日，工信部在京召开会议，部署开展纵深推进App侵害用户权益专项整治行动，发布《关于开展纵深推进App侵害用户权益专项整治行动的通知》(工信部信管函【2020】164号），确认了此次专项整治行动对App、SDK违规处理用户个人信息、设置障碍、频繁骚扰用户、欺骗误导用户、应用分发平台责任落实不到位等四大重点领域进行集中整治，并于2020年8月底前上线运行全国App技术检测平台管理系统，12月10日前完成覆盖40万主流App检测工作。

2021年3月12日，国家网信办、工信部、公安部和国家市场监管总局联合发布《常见类型移动互联网应用程序必要个人信息范围规定》，于2021年5月1日实施，明确App运营者不得因用户不同意收集非必要个人信息而拒绝用户使用App基本功能服务。该规定对地图导航、网络约车、即时通信、网络社区、网络支付、网上购物、短视频等共39类常见App的基本功能服务和必要个人信息范围进行了规定。该规定是在《网络安全法》第41条的基础上，对个人信息收集的必要范围做出了细化规定。在今年5月1日该规定正式生效后，应用商店等分发平台应按照该规定对所有申请上架的App进行审核，不符合该规定的一律不予上架；对已上架的App则进行复核，如不符合该规定要求的则予以下架。

截至2021年4月20日，工信部已累计完成29万款App技术检测，对1862款违规App提出整改要求，公开通报319款整改不到位App，组织下架107款拒不整改的App。紧接着，2021年5月1日、5月10日、5月21日及6月11日，中央网信办共分4批，对17类291款App进行通报。从涉及类别看，已通报的App占《常见类型移动互联网应用程序必要个人信息范围规定》39类中的44%。其中，“违反必要原则，收集与其提供的服务无关的个人信息”有141款，占48%，“未经用户统一收集使用个人信息”146款，占比50%。可见，违反“知情同意原则”和“最小必要原则”是App数据合规治理的重灾区。

2021年4月26日，在国家网信办指导下，工信部会同公安部、市场监管总局起草了《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》并于向社会公开征求意见。规定征求意见稿首次系统地对App涉及的全体提出具体的规范要求，规定了App开发运营者、App分发平台、App第三方服务提供者、移动智能终端生产企业、网络接入服务提供者这五类主体的个人信息保护义务，首次从App开发运营者和第三方服务提供者双主体角度规范第三方服务，尤其提出了“App开发运营者未尽到监督义务的，应当与第三方服务提供者承担连带责任”。与2020年11月27日信安标委发布的《网络安全标准实践指南-移动互联网应用程序(App)中第三方软件开发工具包(SDK)安全指引》中 “App开发运营者和SDK提供者仅当是个人信息共同控制者的情形下才需承担连带责任”的规定相比，这条直接规定未尽到监督义务就是连带责任，责任是加重的。因此，后面的修改工作值得期待。

今年以来，工信部组织了广东、浙江、江苏、上海、天津、四川、安徽、内蒙古8个省市的通信管理局开展了多批次集中抽检，对违规行为继续保持持续高压的震慑。同时督促应用商店加强自查清理，下架问题App，开展新增App上架的审核。截至2021年5月底，全国App的数量为302万款，相比开展专项整治前的350万款下降了13%。 

工信部在继续深入推进App侵害用户权益专项整治行动中，已多次通报APP违规现象：

• 1月22日，通报周末去哪儿、芒果TV等157款APP侵害用户权益APP，并督促相关平台企业严格落实《移动智能终端应用软件预置和分发管理暂行规定》（工信部信管〔2016〕407号）要求，落实企业主体责任。

• 2月5日，通报UC浏览器、QQ输入法等26款侵害用户权益App。

• 3月11月，通报违规调用麦克风、通讯录、相册等136款权限侵害用户权益App。

• 4月23日，通报猎豹清理大师、WiFi安全管家等93款存在侵害用户权益行为的App。

• 6月8日，通报豆瓣、Word等83款APP侵害用户权益App。

对于未在规定时间内完成整改的App以及反复出现同类问题的App，工信部进行下架：

• 1月19日，针对2020年12月21日发布的侵害用户权益App通报核查复检，对12款未按要求完成整改的App进行下架。
  

• 2月24日，工信部对相机360、周末去哪儿等37款App进行下架。
  

• 3月3日，工信部对小智同学、KK键盘等10款未按要求完成整改的App下架。
  

• 4月6日，工信部对53款尚未按工信部要求完成整改的App和浙江省通报的7款未完成整改App进行下架。
  

• 5月13日，工信部发现天涯社区、大麦、途牛旅游、VIP陪练、脉脉5家企业在APP不同版本中反复出现同类问题，工业和信息化部将依法暂停其违规行为，予以直接下架处理。
  

截至2021年6月21日，工信部App侵害用户权益专项整治行动共检查117万款APP，对4002款违规App提出了整改要求，公开通报1248款整改不到位的App，组织下架329款拒不整改的App。被通报的App问题主要集中在违规收集个人信息、违规使用个人信息、超范围收集个人信息，App强制、频繁、过度索取权限，欺骗误导用户下载APP、强制用户使用定向推送功能、应用分发平台上的App信息明示不到位等。

2021年7月4日和7月9日，国家网信办相继宣布，因存在严重违法违规收集使用个人信息问题，通知应用商店下架“滴滴出行”App以及“滴滴企业版”、“Uber优步中国”等25款App，并要求相关运营者认真整改，切实保障用户个人信息安全。

四、App数据保护工作要点建议

作者结合上述法律法规和国家标准指南，总结了以下与App个人信息保护的相关要点，或许可以给App运营企业应对数据合规治理做些参考。

（一）关于公开隐私政策

1. 应在App中公开隐私政策，并确保隐私政策中包含收集使用个人信息规则。如大型企业集团旗下有多个App，可就每个App制定单个隐私政策，也可就整个集团制定统一适用的隐私政策，并确保每个App中都能查到。

2. 如收集使用14周岁以下（含）儿童个人信息，需制定针对儿童的个人信息保护规则（具体可参见《儿童个人信息网络保护规定》）。

3. 在App首次运行或用户注册时通过弹窗、突出链接等明显方式主动提示用户阅读隐私政策；不应以刻意缩小字号、使用与背景颜色相近的字体，弹出键盘遮挡、置于边缘等不明显方式展示。

4. 隐私政策等收集使用规则应易于访问，进入App主界面后，确保少于4次点击等操作就能访问到。

5. 应在界面的固定路径展示隐私政策，例如通过“我-设置-隐私”，避免仅在注册、登录界面展示。

6. 隐私政策等收集使用规则应易于阅读，文字不应过小过密、颜色不应过淡、模糊不清，应提供简体中文版等。所以，对隐私政策的排版具有法律意义。

7. 隐私政策应单独成文，应与用户协议等文件明确区分，不应作为用户协议等文件的一部分。这是在2019年3月的《App违法违规收集使用个人信息自评估指南》中首次提出的，虽不具有法律强制力，但应作为重要参考方向。

8. 注意到在《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》第8条第一项提出了“App开发运营者应以显著、清晰的方式定期向用户呈现App的个人信息收集使用情况。此条要求是第一次提出，有待征求意见稿后续的进一步探索，值得关注。

（二）关于明示目的、方式和范围

1. 对App中所有收集个人信息的各业务功能进行区分并逐项列举，避免使用“等、例如”等方式不完整举例，与所收集个人信息类型要一一对应，不应出现多个业务功能对应一类个人信息的情况。并且，对各项业务功能所收集的个人信息类型也要进行穷举列明。例如：对于快递配送这一业务功能，我们会收集您的姓名、手机号码，地址信息 （而非“我们会收集您地址相关的信息”）。实践中，不少头部互联网企业未能做到这点，往往没能就所有业务功能场景逐项说明。

2. 如通过嵌入第三方代码、插件等方式将个人信息传输至第三方服务器，应通过弹窗提示等方式明确告知用户。与其他个人信息收集方式相比，通过嵌入第三方代码、插件等方式将个人信息传输至第三方的行为更为隐蔽，用户往往对此没有直观感知，因此很可能会严重背离用户对其个人信息收集和使用的合理期待。

3. 应在隐私政策里说明：（1）App运营者基本情况，例如：公司名称、注册地址、个人信息保护相关负责人/机构联系方式（如负责人发生变动，应及时变更）。另外，根据2.0版《个人信息安全规范》，如满足一定条件（主要业务涉及个人信息处理且从业人员规模超过200人或处理的个人信息量达到规定规模，如处理超过10万人的个人敏感信息或超过100万人的个人信息或预计在12个月内处理超过100万人的个人信息），应设立专职的个人信息保护负责人；（2）隐私政策的发布、生效和更新日期；（3）个人信息存放地域，存储期限（例如：“在App使用期间”或“该业务开通期间”），超期处理方式；（4）如用于用户画像、个性化展示，应说明其应用场景和可能对用户权益产生的影响。（5）如存在数据出境，应说明出境数据的类型并显著标识（如加粗、下划线、斜体或不同颜色）。2021年11月1日即将生效的《个人信息保护法》已对数据的本地化存储和跨境传输做出了相对明确的规定。同时，《个人信息出境安全评估办法》和《信息安全技术 数据出境安全评估指南》仍于征求意见稿阶段，期待后续出台后，对安全评估有细化的规定；（6）如存在数据的对外共享、转让、公开披露，应说明其目的，涉及信息的类型和接收方身份。而对于个人生物识别信息，原则上不应共享、转让。如确需共享、转让的，应单独向用户告知上述，征得用户的明示同意。个人信息原则上也不应公开披露，如确需披露，应符合一定要求，且不应公开披露个人生物识别信息和种族、民族、政治观点、宗教信仰等个人敏感数据的分析结果；（7）说明用户更正、删除、注销、撤回同意等权利并明确如何操作实现；（8）说明投诉、举报渠道。

4. 使用cookie及其同类技术（例如：SDK,脚本、Clickstream, Web信标，Flash Cookie, 内嵌Web链接）收集个人信息，应向用户明示所收集的个人信息的目的和类型。在2.0版《个人信息安全规范》附录D隐私政策模板中有示范性表述。

5. 收集使用个人信息的目的、方式、范围发生变化时，应以适当方式通知用户，例如消息推送、弹窗、邮件、红点提示等，包括更新隐私政策并提醒用户阅读。

6. 在申请打开可收集个人信息的权限，或申请收集用户个人敏感信息时，应显著标识（如加粗、下划线、斜体或不同颜色），并同步告知用户其目的，且目的应明确、易于理解。

7. 收集使用规则的内容需简练、结构清晰、重点突出。不应晦涩难懂、冗长繁琐，不应使用大量专业术语等。

（三）关于获得用户同意

1. 征得用户同意前不应开始收集个人信息或打开可收集个人信息的权限。

2. 用户明确表示不同意后，不得收集个人信息或打开可收集个人信息的权限，不应频繁（48小时内超过一次）征求用户同意、干扰用户正常使用，最好是不应再次征求用户同意。注意：在《评估指南》里直接规定了“不应再次”，也就是一旦用户明确拒绝，App运营者将不得再次询问用户是否打开相关权限。而在2.0版《个人信息安全规范》和认定方法中则仅是规定“不得频繁”。

3. 实际收集的个人信息或打开的可收集个人信息权限不应超出用户授权范围。一旦发现存在超范围收集，应立即停止这部分的收集行为并删除已收集的信息，或应及时更新隐私政策并再次征得用户的授权同意。

4. 不得以默认选择同意隐私政策等非明示方式征求用户同意。

5. 未经用户同意不得更改其设置的可收集个人信息权限状态，如App更新时自动将用户设置的权限恢复到默认状态或将用户关闭的使用通讯录匹配好友等功能重新打开。

6. 利用用户个人信息和算法定向推送信息，应同时提供非定向推送信息的选项。用户画像和个性化展示的问题是目前治理的焦点，App运营者应为用户提供拒绝接收定向推送的选项。推送商业广告时，应使用间接用户画像而非直接用户画像。应显著区分个性化展示和非个性化展示，例如标明“定推”字样。在《数据安全管理办法（征求意见稿）》第23条中明确规定网络运营者利用用户数据和算法推送新闻信息、商业广告等，应以明显方式标明“定推”字样。而根据用户画像进行自动化决策，例如信用评级或贷款额度或面试筛选，应向个人信息主体提供申诉方法。在《数据安全管理办法（征求意见稿）》第24条中明确规定网络运营者利用大数据、人工智能等技术自动合成新闻、博文、帖子、评论等信息，应以明显方式标明“合成”字样。

7. 不得以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限，如故意欺瞒、掩饰收集使用个人信息的真实目的。

8.  应向用户提供撤回同意收集个人信息的途径、方式。如用户拒绝或撤回，不影响用户正常使用与该权限无关的业务功能，不得暂停或降低其他业务功能的服务质量，除非该权限是其他功能运营所必须。

9. 在App未打开或处于后台运行状态时，不收集用户个人信息（除非业务功能需要，如导航功能）。

（四）关于最小必要原则

这是合规实践中最大难点，也是治理重点。

1. 收集的个人信息类型或打开的可收集个人信息权限应与现有的业务功能有直接关联（即没有上述个人信息，产品或服务的功能无法实现）。分两层：（1）为实现基本业务功能而收集必要信息（自用户同意后开始收集）；（2）为实现扩展业务功能而收集的非必要信息（应以用户自主选择同意为前提，建议采用单独交互页面向用户告知该等扩展功能需要收集的个人信息的类型、目的、方式和范围等信息，并由用户主动选择是否同意）。如果收集与业务功能无关的个人信息，则“本身违规”。基本功能和扩展功能应分开，两者不要捆绑在一起要求用户一揽子授权。对扩展功能，要逐项同意。而对于基本业务功能和扩展业务功能的划分，不应以App运营者自身想法，而是应根据普通用户对该App最可能的认识和理解来划分。例如：微信App中的理财功能就是扩展功能，用户点击同意微信的隐私政策并不自动代表授权理财功能收集使用其个人信息，该扩展功能需用户的另行授权。支付宝App中的芝麻信用是扩展功能，也需用户的另行授权。

2. 当收集的个人信息超出必要信息（指缺少该信息则基本业务功能无法实现）范围时，应向用户明示所收集个人信息目的并经用户自主选择同意，例如主动勾选、主动点击同意等。如用户不同意收集非必要个人信息或打开非必要权限，不得拒绝提供业务功能。

3. App新增业务功能申请收集的个人信息不得超出用户原有同意范围，若用户不同意，不得拒绝提供原有业务功能，新增业务功能取代原有业务功能的除外。

4. 收集个人信息的频度等不得超出业务功能实际需要。

5. 不得仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，强制要求用户同意收集个人信息。

6. 不应以捆绑多项业务功能的方式，要求用户一次性同意打开多个可收集个人信息的权限，用户不同意则无法使用。App强制授权、过度索权的现象大量存在，不以默认、捆绑、停止安装使用等手段变相强迫用户授权。

（五）关于向他人提供个人信息

1. 不得未经用户同意，或未做匿名化处理，App客户端直接向第三方提供个人信息，包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息。

2. 不得未经用户同意，或未做匿名化处理，数据传输至App后台服务器后，向第三方提供其收集的个人信息。

3. App接入第三方应用，不得未经用户同意，向第三方应用提供个人信息。应对接入的第三方应用收集个人信息的合法、正当、必要性进行审核，明确标识相关业务功能为第三方提供，并提醒用户关注第三方应用收集使用个人信息的规则。

（六）关于提供删除或更正个人信息功能和投诉、举报方式

1. 提供有效的查询、更正、删除个人信息、注销账号的途径。查询、更正、删除个人信息、注销账号的过程简单易操作，不得设置不必要或不合理条件。注：更正的功能在实践操作中存在一定难度，因为数据在被收集后，使用在不同场景不同系统中，这类的更正很可能牵一发而动全身。

2. 更正、删除个人信息及注销用户账号功能后，应及时响应用户相应操作，需人工处理的，应在承诺时限内（原则上不超过15个工作日）完成核查和处理。

3. 更正、删除个人信息等操作完成时，App后台也应及时执行完成相应操作。注销账号后，应及时删除其个人信息或匿名化处理。

4. 应建立并公布个人信息安全投诉、举报渠道（例如：电子邮件、电话），或在承诺时限内（原则上不超过15个工作日）受理并处理的。

结  语

App个人信息保护治理，及时为了保障用户利益，也是为了行业的健康发展。目前App亟需解决的诸多突出问题也是我国新发展阶段所面临的整体网络安全、数据安全和个人信息保护等问题的一个缩影。在国家顶层立法设计不断完善，全国性数据安全和个人信息保护工作深入开展的背景下，如何将法治体系建设的成效转化为实实在在的治理效能，从“小切口”入手解决“大问题”，这是时代给我们的挑战也是机遇。

作

者

介

绍

江瑛

北欧知名公司中国区法务总监

中国区管理层成员

上海国际经济贸易仲裁委员会

（上海国际仲裁中心）仲裁员

江瑛拥有十四年在律所执业以及世界500强美企和北欧公司法务工作经验。获中国和美国纽约州律师执业资格。华政法学硕士，美国加州伯克利大学LL.M.（获科技法和商法双证），国家二级心理咨询师（沪考）。上海市律师协会特邀委员，律协公司和商事专业委员会委员，上海市企业法律顾问协会外资企业法务专委会办公室负责人，中国欧盟商会网络安全法、竞争法、法律与合规工作组成员，国际隐私认证协会（IAPP）会员并获CIPP/E和CIPM证书。

近期热点活动

这都能秒杀？师徒制的魅力到底有多大？！

“沪航”贸易高质量发展之数据合规风险应对和防范专题培训顺利举办

近期热点文章

总法嘉谈｜手拉手——法律合规部与异法域公司法律合规部的跨文化沟通与协作