标准确立与执法并进——APP数据保护监管进一步加强

2020年7月底，一系列标准制定与执法活动进一步释放出APP隐私保护监管加强的信号：

• 2020年7月22日，中央网信办、工业和信息化部、公安部、国家市场监管总局（以下简称“四部委”）在京召开会议，启动2020年APP违法违规收集使用个人信息治理工作¹；

• 同日，工业和信息化部也宣布开展纵深推进APP侵害用户权益专项整治行动²；

• 全国信息安全标准化技术委员会（以下简称“信安标委”）也于同日发布标准相关技术文件《网络安全标准实践指南—移动互联网应用程序（APP）收集使用个人信息自评估指南》（以下简称“《信安标委自评估指南》”）正式生效版本，以六大评估点为APP运营者进行个人信息使用自评估提供参考与方向³。

一、标准及执法情况回顾和进展

2019年3月3日，在宣布开展APP违法违规收集使用个人信息专项治理后，为推进APP运营者对其收集与使用个人信息的情况进行自查自纠，受四部委委托的APP违法违规收集使用个人信息专项治理工作组发布《APP违法违规收集使用个人信息自评估指南》（以下简称“《工作组自评估指南》”），成为APP运营者开展隐私实践合规的重要指导性文件。此后，四部委又于2019年12月30日发布《APP违法违规收集使用个人信息行为认定方法》(以下简称“《认定方法》”)。而此次《信安标委自评估指南》则是在《网络安全法》和《认定方法》等一系列法律法规要求的基础上，结合目前所开展的APP检测评估经验所归纳总结的APP运营者自评估要点。相比于一年前发布的《工作组自评估指南》，《信安标委自评估指南》结合了一年来开展APP隐私治理工作的经验要点，提供更为细化的落实要求。

四部委启动的2020年APP违法违规收集使用个人信息治理工作，在总结了2019年APP整治工作的基础上，也进一步强调了2020年APP治理工作的重点。

工业和信息化部在2019年多批整改各类APP的基础上，开展纵深推进APP侵害用户权益专项整治行动，旨在督促相关企业强化APP个人信息保护，及时整改消除违规收集、使用用户个人信息和骚扰用户、欺骗误导用户、应用分发平台管理责任落实不到位等突出问题，净化APP应用空间，并拟于2020年8月底前上线运行全国APP技术检测平台管理系统，12月10日前完成覆盖40万款主流APP检测工作。

二、合规重点

基于以上的进展，我们建议企业特别重视以下APP合规要点：

1、评审范围扩展：《信安标委自评估指南》明确，除APP运营者之外，小程序、快应用等运营者也可参考其中的适用条款进行自评估。工业和信息化部整治行动也提到将对小程序、快应用进行评估。值得注意的是，信安标委于今年3月份发布的《网络安全标准实践指南-移动互联网应用程序（APP）个人信息安全防范指引（征求意见稿）》中也提出建议小程序运营者参考适用该指引。因此，将小程序、快应用等纳入到评审范围的趋势逐渐凸显。

2、强调儿童信息保护：《信安标委自评估指南》特别强调，若涉及收集使用儿童个人信息相关业务功能的，需制定针对儿童的个人信息保护规则，并举例如收集不满十四周岁未成年人个人信息的教育类APP应制定针对儿童的个人信息保护规则。该规定呼应了2019年国家互联网信息办公室发布的《儿童个人信息网络保护规定》，体现出儿童个人信息保护将可能成为监管重点之一。

3、强化SDK及第三方应用的合规要求：在《工作组自评估指南》的基础上，《信安标委自评估指南》进一步强调与细化了第三方代码及插件（如SDK）收集个人信息的要求，包括：如嵌入第三方代码、插件（如SDK）收集个人信息，需说明第三方代码、插件的类型或名称，及收集个人信息的目的、类型、方式；通过客户端嵌入第三方代码、插件（如SDK）等方式向第三方发送个人信息时，需事先征得用户同意，但《信安标委自评估指南》特别规定，经匿名化处理除外。此外，《信安标委自评估指南》还规定了APP接入第三方应用并向其提供个人信息的相关要求，包括：在征得用户同意后向第三方应用提供个人信息，APP运营者应对第三方应用收集个人信息的合法、正当、必要性等方面进行审核。

4、进一步明确权限申请与收集个人敏感信息的告知方式：《工作组自评估指南》要求收集个人敏感信息时，APP应通过弹窗提示等明显方式向用户明示收集、使用个人信息的目的、方式、范围。《认定方法》则进一步提出在收集上述信息时应同步告知用户收集的目的。在此基础上，《信安标委自评估指南》对上述告知要求进行了整合和强化：要求申请打开个人信息收集权限时及要求用户提供个人敏感信息时，通过显著方式同步告知用户其目的，对目的的描述明确、易懂，例如通过弹窗提示、用途描述等等显著方式告知。 

5、APP申请与使用系统权限的要求进一步加强、细化：《信安标委自评估指南》整合、强化了《工作组自评估指南》与《认定方法》中的要求，要求在打开可收集个人信息的系统权限时，应通过显著方式同步告知用户其目的，对目的的描述明确、易懂。

2020年7月29日，信安标委发布《网络安全标准实践指南—移动互联网应用程序（APP）系统权限申请使用指引（征求意见稿）》（以下简称“《权限使用指引》”）。《权限使用指引》规定了APP申请、使用系统权限的基本要求及通用原则以及安卓系统典型权限的申请和使用要求，并在附录中介绍了安卓、iOS系统常见的敏感系统权限、系统权限申请使用的常见问题，及常见服务提供的过程中不建议APP申请的安卓系统权限。《权限使用指引》针对当下APP运营者过度索权、滥用用户个人信息的现象，为APP运营者申请与使用用户权限提供了较为全面的参考。其中的一些具体要求，例如除安全风控场景外，APP不应收集不可变更的设备唯一标识（如IMEI等），对小程序收集个人信息权限的要求都值得进一步关注。

6、强调、细化必要原则要求：《信安标委自评估指南》将“是否遵循必要原则”作为一个单独的评估点，并进一步细化遵循必要原则的具体要求。包括不得收集与业务无关的个人信息、用户可拒绝非必要信息的收集、不得强迫收集用户个人信息、收集个人信息频度不得超过业务实际需要等。其中，《信安标委自评估指南》特别强调在浏览、游客等无需注册即可使用的模式下，不得以影响用户使用功能的方式促使用户同意个人信息收集行为。此外，必要性原则的强化也体现在《权限使用指引》中，最小必要原则是APP权限申请的基本原则之一并体现在《权限使用指引》的具体要求中。由此可见必要原则将成为APP运营者个人信息收集与使用过程中应关注的重点。

7、用户画像与定向推送：《工作组自评估指南》要求“应说明个人信息用于用户画像、个性化展示的应用场景及其对用户权益产生的影响”。在此基础上《信安标委自评估指南》进一步要求如部分业务功能不涉及用户画像、个性化展示，可在规则中明确说明。关于定向推送，《信安标委自评估指南》强调，存在利用用户个人信息和算法定向推送信息情形时，需为用户提供拒绝接收定向推送信息，或停止、退出、关闭相应功能的机制，或不基于个人信息和个性化推荐算法等推送的模式、选项。这也与《认定方法》的要求一致。

8、隐私政策的展示与同意：在《工作组自评估指南》与《认定方法》的基础上，《信安标委自评估指南》进一步要求，尽可能在界面的固定路径展示隐私政策（或其链接），不频繁变更展示隐私政策的路径；不得以默认选择同意隐私政策等非明示方式征求用户同意，除在首次运行、用户注册时，通过弹窗等明示方式提醒用户阅读隐私政策，若通过设置“下一步”、“注册”等方式征求用户同意，还需明确上述动作与同意隐私政策之间的逻辑关系。

9、用户个人信息保护权利行使的回应及投诉、举报渠道：《信安标委自评估指南》重述了《认定方法》中对用户有关个人信息权利行使的回应与投诉、举报的处理应承诺时限不超过15个工作日的要求。在用户有关个人信息的投诉、举报渠道中，将《工作组自评估指南》原有的“传真”方式替换为“即时通讯账号”。

三、我们的观察

《信安标委自评估指南》的出台及近日执法部门针对APP违法违规收集使用个人信息的整治活动进一步说明APP隐私实践的相关执法与监管力度不断加大，小程序、快应用等运营者也逐步成为监管重点关注的对象。建议各类APP、小程序等运营者应尽快加强对收集与使用用户个人信息的合规工作，并随时关注相关的立法与监管动态。

1.http://www.cac.gov.cn/2020-07/25/c_1597240741055830.htm  

2.http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057709/n3057714/c8027149/content.html   

3. 信标委曾于3月19日公布该规定的征求意见稿。