App个人信息保护专项治理暴雨将至，你的屋顶会漏吗？

1. 个人信息过度收集使用

★ 相关法律规范

《网络安全法》第41条规定，“网络运营者收集、使用个人信息，应遵循合法、正当、必要的原则”，“不得收集与其提供的服务无关的个人信息”。《电信和互联网用户个人信息保护规定》同样对互联网信息服务提供者收集、使用用户个人信息提出了“遵循合法、正当、必要的原则”的要求。推荐性国家标准《信息安全技术 个人信息安全规范》规定，个人信息控制者开展个人信息处理活动，应“具有合法、正当、必要、明确的个人信息处理目的”， “只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量”，并在第5.2条规定了收集个人信息的最小化要求。

★ 现存问题

根据中国消费者协会的《测评报告》，测评的10类App普遍存在涉嫌过度收集或使用个人信息的情况，其中位置信息、通讯录信息、手机号码等个人信息是个人信息过度收集使用的重灾区，而用户的个人照片、工作信息、浏览记录、教育信息、车辆信息、短信信息等也存在被过度使用或收集的情况。此外，还有部分App涉嫌过度收集个人财产信息、生物识别信息等个人敏感信息。中国互联网协会也在2018年12月点名了十余款App存在过度收集短信、通讯录、位置、录音等用户敏感信息的问题。

★ 合规建议

根据现行规范，App收集个人信息缺失明确的目的、超出产品业务功能相关目的范围（收集非必要信息）或无法与其实现的业务功能明确挂钩，就可能会构成个人信息的过度收集。针对个人信息过度使用的问题，企业可以采取如下措施：

● 对App所提供的业务功能和收集使用的个人信息展开全面梳理，区分App的核心业务功能和附加业务功能，并将个人信息与据以实现的业务功能进行关联关系的对应；

● 论证个人信息收集使用的目的，筛查个人信息是否构成产品业务功能的必要信息，判断业务功能的实现或正常运行的必要条件是否包括该等个人信息的参与、个人信息的收集是否为法律法规的强制要求等；

● 分离与业务功能无直接关联关系的非必要信息，排除该等个人信息的收集；

● 个人信息的收集使用所对应的明确目的或直接关联的业务功能应当在隐私政策等文件中向用户进行告知，如有个人信息被应用于新功能研发、产品或服务改进与发展的也应当向用户做出说明与提示；

● 若需要将个人信息用于尚未告知、获取同意的其他目的时，应当向用户告知并征得同意。

不过，企业的产品和服务是迭代变化的，当前服务与未来服务之间并没有明确的界线，当前服务所必需的个人信息与未来服务所必需的个人信息之间也难以简单切割。严格将个人信息的收集限制在当前服务所必需的范围内，是否会对企业改进产品或服务带来不利影响，甚至对数据的深度挖掘和利用造成不利影响，是一个值得思考的问题。

2. 以欺骗、误导或隐瞒等手段收集使用个人信息

★  相关法律规范

《网络安全法》第41条要求网络运营者收集使用个人信息应当“公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意”。《电信和互联网用户个人信息保护规定》明确规定“不得以欺骗、误导或强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息”。《个人信息安全规范》的“选择同意”原则规定，个人信息控制者应“向个人信息主体明示个人信息处理目的、方式、范围、规则等，征求其授权同意”，并在该规范第5.3至5.5条对“告知—同意”机制作出了具体规定。

★ 现存问题

现实中，以欺骗、误导或隐瞒手段而未经用户有效同意收集、使用个人信息的情况频频发生。此前中国互联网协会直接点名的14款App中，就有9款App疑似存在未经用户同意收集、使用用户个人信息的情况；而中国消费者协会测评的100款App中，有79款App的隐私政策存在默认同意（默认勾选）或未提示用户阅读等问题，仅有21款的隐私政策是在明确征得用户同意后收集相关信息的。更有甚者，一些给App提供功能模块或组件的第三方开发者会通过嵌入收集个人信息的指令或功能，隐秘地收集了用户的个人信息，而用户甚至App开发者均不知情，法定的授权同意程序更无从谈起。

★ 合规建议

用户授权同意是我国网络安全法下收集、使用个人信息的唯一合法性基础，收集使用个人信息应当建立在用户授权同意的基础之上，而用户授权同意应当建立在明确告知的基础之上，且用户的授权同意应当是自愿给出的、具体的、清晰明确的。为获取有效的用户同意，企业可以使用如下方案：

● 对App现行的“告知—同意”框架进行审查，确保将收集、使用用户个人信息的目的、方式、范围、规则等相关信息告知用户，并取得用户的明确同意；

● 告知的内容和方式应当清晰、明确，不应采用过小的、模糊的字体等容易被用户忽略的方式进行告知，确保用户知晓其正在同意的内容；

● 在用户同意的方式设计上，避免采取默示同意或者与用户的其他操作无法区分的模式等无法体现用户真实意思表示的同意机制，选择使用户通过书面声明或作出肯定性动作以表示对数据处理的授权，可以采取用户主动勾选、主动点击“同意”、滑动滑块等方式；

● 排查是否使用了默认勾选、选择退出等需要用户通过主动干预、修改默认设置才能拒绝的手段；

● 如App调用小程序等第三方开发的功能模块或组件，则App运营者应对第三方收集使用个人信息的行为进行适当审查和监督，要求第三方开发者承担个人信息保护的责任。

3. 不区分业务功能的“一揽子协议”

★ 相关法律规范

《网络安全法》规定网络运营者收集、使用个人信息以“被收集者同意”为前提，根据民法的一般原理，同意应是自愿的，捆绑的、被迫的同意不属于有效同意。《电信和互联网用户个人信息保护规定》则明确规定“不得以欺骗、误导或强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息”。《个人信息安全规范》要求个人信息控制者在收集个人敏感信息前，应当向个人信息主体告知所提供产品或服务的核心业务功能及必须收集的个人敏感信息，并明确告知拒绝提供或拒绝同意将带来的影响，且应允许个人信息主体选择是否提供或同意自动采集。产品或服务如提供其他附加功能，在收集前应逐一说明个人敏感信息为完成何种附加功能所必需，并允许个人信息主体逐项选择是否提供或同意自动采集个人敏感信息。

★ 现存问题

目前有大量的App存在“一揽子协议”强迫用户授权同意的情况，即不区分业务功能，将核心业务功能与附加业务功能捆绑搭售，迫使用户不得不全盘接受，否则就无法使用App。实现“一揽子协议”最常用的手段便是在隐私政策文本中将所有功能与拟收集的个人信息一概列出，但并不向用户提供逐项选择同意的机制。用户为了使用App只得一键同意，企业就在表面上征得了用户授权同意，个人信息无差别收集看似便有了合法性基础，但实际上违反了相关法律规范的要求。

★ 合规建议

目前主管部门倡导企业对产品或服务的核心功能与附加功能进行区分，并在此基础上适用不同的个人信息收集规则，这一制度设计正是为了打破“一揽子协议”，以保护用户的选择权和控制权。换言之，附加业务功能可以选用，也可以拒绝，不会影响核心业务功能的运行与使用，因此在同意的获取机制上也存在不同。企业可以通过如下路径避免“一揽子协议”：

● 根据App的类型、用户主要使用的目的以及产品或服务的定位等，划定App的核心业务功能，除此之外的其他功能划定为附加业务功能；

● 对于核心业务功能，应当将核心业务功能收集个人信息的相关规则以及不同意收集的影响告知用户，向用户征得授权同意；

● 对于附加业务功能，应当向用户逐一告知提供的附加业务功能及收集的个人信息，允许用户对每一项附加业务功能的个人信息收集单独选择同意；

● 用户不同意附加业务功能收集个人信息的，仍应继续向用户提供核心业务功能并保证服务质量；

● 避免在同一时间、同一页面针对核心业务功能和附加业务功能获取用户授权，可以在不同业务功能启用之前分别告知并征得同意。

4. 隐私政策缺失、不展示或晦涩冗长

★ 相关法律规范

《网络安全法》第41条要求网络运营者收集、使用个人信息的应当“公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意”。《个人信息安全规范》在第5.6条规定了隐私政策的内容和发布的要求：个人信息控制者应当制定隐私政策；隐私政策的内容应清晰易懂，符合通用的语言习惯，使用标准化的数字、图示等，避免使用有歧义的语言，并在起始部分提供摘要，简述告知内容的重点；隐私政策应公开发布且易于访问；隐私政策所载内容发生变化时，应及时更新隐私政策并重新告知个人信息主体。

★ 现存问题

虽然《个人信息安全规范》已在资料性附录D中提供了隐私政策模板，并对编写要求作出说明，但根据中国消费者协会的《测评报告》，测评的100款App中仍有34款App没有隐私条款，有41款App的隐私条款未在明显位置公示，有52款App的隐私条款变更时未及时通知用户。不主动向用户展示隐私条款，或展示内容晦涩冗长，是当前有关隐私条款存在的典型问题之一。

★ 合规建议

隐私政策是企业向用户、监管机关以及大众全面展示其个人信息处理与保护相关规则的重要窗口。若企业的隐私政策缺失、不易获取或难以理解，则用户的知情权无法得以实现，企业也面临合规风险。因此，我们建议企业在为App拟定和发布隐私政策时可以考虑以下几点：

● 隐私政策应当清晰、准确、完整地描述其涉及的个人信息处理活动；

● 应以对用户友好为原则，以方便一般用户阅读、理解为出发点，切忌使用晦涩难懂的语句措辞或篇幅过于冗长；

● 考虑使用多层次、图文并茂、短视频等创新方式向用户展示隐私政策的内容；

● 在App安装页、App中易于访问的页面放置隐私政策链接，通过弹窗等形式向用户主动展示，引导用户阅读完整版隐私政策；

● 可以以《个人信息安全规范》资料性附录D中的隐私政策模板为参考，结合实际业务，制定符合企业自身情况的隐私政策，也可以另行撰写。

5. 个人信息处理相关规则告知不明确、不充分

★  相关法律规范

《网络安全法》第41条明确要求个人信息控制者应向个人信息主体“明示收集、使用信息的目的、方式和范围”。《个人信息安全规范》则要求个人信息控制者在收集个人信息前，应向个人信息主体明确告知所提供产品或服务的不同业务功能分别收集的个人信息类型，以及收集、使用个人信息的规则，例如收集和使用个人信息的目的、收集方式和频率、存放地域、存储期限、自身的数据安全能力、对外共享、转让、公开披露的有关情况等；此外，隐私政策的内容还应包括个人信息主体权利和实现机制、处理个人信息主体询问、投诉的渠道和机制等等。

★ 现存问题

中国消费者协会的《测评报告》中总结了隐私条款存在的主要问题，其中包括：未明确告知收集个人信息类型，且收集敏感信息时未明确告知用户信息的用途；未告知用户个人信息的保存期限和停止运营的情形；未明确告知用户个人信息的使用方式；未明确告知用户如何更正个人信息和撤回同意等。测评的100款App中过半数出现了上述问题。

★ 合规建议

隐私政策是企业履行《网络安全法》下告知义务的重要途径，同时也是企业自律和配合监管的有效机制。用户以隐私政策为权利主张的依据，监管部门则以隐私政策为监督执法的抓手，隐私政策切不可流于形式。为实现明确、充分的告知，企业可以考虑如下方面：

● 在隐私政策中向用户完整呈现个人信息处理相关规则的告知内容，根据规范要求分段、分点、分层次叙述；

● 不应使用概括性的、模糊不清、模棱两可的语言表述；

● 若涉及个人敏感信息的收集使用、跨境传输等情况，应当通过单独列出或重点标识（加粗、下划线等）等形式突出提示；

● 在用户首次使用时，通过弹窗等形式主动向用户展示隐私政策的主要或核心内容，帮助用户梳理关键信息。

6. 未提供定向推送的退出机制

★ 相关法律规范

《关于开展App违法违规收集使用个人信息专项治理的公告》明确指出要“倡导App运营者在定向推送新闻、时政、广告时，为用户提供拒绝接受定向推送的选项”。虽然现行规范中尚未有关于定向推送的专门规定，但《电子商务法》规定了“电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的，应当同时向该消费者提供不针对其个人特征的选项，尊重和平等保护消费者合法权益。”

★ 现存问题

通过App收集用户个人信息，依托大数据与推荐算法，基于用户画像向用户推送新闻、时政、广告等内容的定向推送是提高企业投资回报率、降低双向搜寻成本的重要途径，但野蛮生长的定向推送会带来负面影响。虽然目前业内已有部分App形成了定向推送退出机制的良好实践，但大部分的App都未向用户提供或说明退出定向推送的渠道。

★ 合规建议

监管部门已然关注到了不加约束的定向推送对用户知情权、控制权造成的侵扰。作为《公告》的倡导内容，可以看出定向推送的退出机制是本次专项治理关注的新要点。企业在定向推送时可以采取如下措施确保兼顾用户个人信息及其相关权益的保护：

● 在隐私政策中具体说明用户的个人信息会被用于定向推送、用户退出定向推送的方式以及退出后所涉个人信息的处理机制；

● 在使用定向推送时，向用户告知该内容为定向推送的内容，例如列出“个性化推荐”字样；

● 为用户提供方便快捷的定向推送退出机制，例如在App的“设置”界面提供关闭按钮、在隐私政策中提供退出链接等；

● 在用户控制定向推送设置的页面向用户告知定向推送个人信息处理的相关规则，帮助用户理解并作出选择；

● 用户选择关闭定向推送时，应当向用户展示非个性化定制的内容。