移动互联网应用程序（APP）个人信息合规建议

网信办、工业和信息化部等部门近年连续开展APP侵害用户权益专项整治行动，重点整治了包括APP违规收集使用个人信息、欺骗误导用户下载在内的四方面十大类问题。近期，国家网信办发布最新通报，包括“抖音”“快手”在内的105款APP涉及违法违规收集使用个人信息，被责令限期完成整改。从国家网信办发布的通报，我们试着总结APP在处理个人信息时应重点遵循的原则、常见的违法违规类型、可能面临的监管和处罚及合规建议。

APP处理个人信息的重要原则

（1）公开透明原则，保障用户同意权、知情权、选择权和个人信息安全

《个人信息保护法》（二审稿）明确提出处理个人信息应当遵循公开、透明的原则，公开个人信息处理规则，明示处理的目的、方式和范围。4月16日，工信部对外发布的《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》进一步明确APP个人信息处理活动应当采用合法、正当的方式，切实保障用户同意权、知情权、选择权和个人信息安全。

（2）最少必要原则

《网络安全法》规定收集个人信息应当符合合法、正当和必要的原则，不得收集与业务无关的个人信息。该原则在网信办的标准文件中被明确为“最小必要”原则，并通过《常见类型移动互联网应用程序必要个人信息范围规定》对“必要个人信息”的定义、APP可以收集哪些必要个人信息作出规定。APP运营商在从事用户个人信息处理活动时应当具有明确、合理的目的，并遵循最小必要原则，不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。

1. 常见的违法违规类型

5月21日网信办发布的通报显示（.cac.gov/2021-05/20/c_1623091083320667.htm ），APP处理个人信息违法违规类型主要有以下四类：（1）违反必要原则，收集与其提供的服务无关的个人信息；（2）未经用户同意收集使用个人信息；（3）未公开收集使用规则；（4）未按法律规定提供删除或更正个人信息功能或未公布投诉、举报方式等信息。

上述违法违规类型由于违反了以上APP处理个人信息的重要原则，所以被要求整改。该些违法违规类型也是近两年整治活动中最常见的，尤其是“违反必要原则，收集与提供服务无关的个人信息”。为此，国家互联网信息办公室、工业和信息化部、公安部和国家市场监督管理总局四部门联合印发的《APP违法违规收集使用个人信息行为认定方法》专门对上述违规类型的认定进行了细化， APP运营商可以参考该认定文件进行自查自纠。

2. 违法违规处理个人信息可能面临的监管和处罚

今年“3·15”晚会上，央视曝光了智能清理大师、内存优化大师等手机垃圾清理类APP，称该些手机APP表面用于清理手机垃圾、优化加速，但却窃取大量手机里的信息，诱导用户下载流氓垃圾软件，推广低俗和诈骗内容等。在被点名后，北京市通信管理局于2021年4月15日对开发“智能清理大师”的北京胜达讯科技有限公司作出“予以警告，并处2万元罚款，向社会公告”的行政处罚；对开发“内存优化大师”的北京慧点共赢科技有限公司作出“予以警告，向社会公告”的行政处罚。

我国个人信息保护领域存在多个执法部门依据行业法律法规对涉及个人信息保护的事项进行分段监管、单独或联合执法的情况。在电信业务领域,目前是由工业和信息化部及各地方通信管理局对电信和互联网用户个人信息保护负监管职责，通常处罚的依据为《电信和互联网用户个人信息保护规定》。前述被处罚的企业也均是因违反《电信和互联网用户个人信息保护规定》而被电信管理机构责令改正和处以罚款。

对于违法违规侵害用户个人信息的APP，此后可重点关注网信办出台的细则。如《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》，该规定中细化了违法违规处置流程和具体措施，明确以后有关主体违反要求的，应依次按照整改、社会公告、下架处置、断开接入、信用管理流程进行处置，并明确具体时间期限要求。特别是对未按要求完成整改或反复出现问题、采取技术对抗等违规情节严重的APP，将对其进行直接下架；且下架后的APP在40个工作日内不得通过任何渠道再次上架的管理要求。该暂行规定若正式生效，此后也将更多依据该规定对APP违规行为进行处置。

《网络安全法》对个人信息保护和监管有更加全面与系统的规定，并苛以更为严格的法律责任。根据《网络安全法》第64条，对于侵害个人信息的行为可根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

尽管实践中多头执法，APP违法违规处理用户个人信息的案件多依据《电信和互联网用户个人信息保护规定》这一部门规章进行处罚，但这并不排除《网络安全法》的适用。对于情节严重、造成网络安全事件或影响重大的，监管部门可适用《网络安全法》作出更为严厉的处罚。目前正在审议的《个人信息保护法》（二审稿）第65条第1款规定：“违反本法规定处理个人信息，或者处理个人信息未按照规定采取必要的保护措施的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款”，对侵害个人信息行为的要承担更高的法律责任。在其正式出台后，相关主体还需遵守《个人信息保护法》的有关规定。

3．监管的趋势及合规建议

从网信办对违规APP通报的频度、APP违规处理个人信息处罚力度、《个人信息保护法（二审稿）》《数据安全法（二审稿）》的推进及网信办、工信部标准文件的更新细化，可见对个人信息的保护、个人信息处理者的规范日趋严格，相应的规定和实施细则也日趋完备。APP运营商作为常见的个人信息处理者，本文就其数据合规工作提供以下建议，企业可根据自身实际情况参考。

3.1 制定企业内部的合规清单和指引

企业内部应当制定个人信息处理的合规清单和指引文件，且至少应包括以下内容：

（1）信息分级分类

由于不同类型信息的处理要求和保护标准不同，企业应当对一般个人信息、个人敏感信息、未成年人个人信息、个人生物识别信息等进行分级分类管理。比如，《个人信息保护法》（二审稿）明确规定了个人敏感信息的处理须满足特定的条件，须具有“特定的目的”和“充分的必要性”、取得用户单独同意、告知用户必要性及对个人的影响、进行事前的风险评估。处理未满14周岁未成年人个人信息应当取得未成年人父母或其他监护人的同意。《个人信息安全规范》对个人生物识别信息的处理亦提出了特殊要求。

（2）必要个人信息范围

无论是《网络安全法》还是《个人信息保护法》（二审稿），均要求处理个人信息应当具有明确、合理的目的并限于实现处理目的所必要的最小范围，也即“最少必要原则”。2021年3月12日出台的《常见类型移动互联网应用程序必要个人信息范围规定》明确了APP运营者不得因用户不同意收集非必要个人信息而拒绝用户使用APP基本功能服务，并对常见类型APP的必要个人信息范围作了明确的规定。企业可根据运营的APP类型找到对应的必要个人信息范围并列入企业内部合规指引中。

（3）合法合规处理个人信息

2021年4月26日公布的《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》第六、七条对合法合规处理用户个人信息作了详细的列举，比如，首次运行APP时须向用户告知的内容、不应强制要求用户一揽子同意打开多个系统权限、处理个人敏感信息应单独告知并取得用户的同意、不得利用频繁弹窗反复申请与当前服务场景无关的权限等等。早前的《APP违法违规收集使用个人信息行为认定方法》，对“未公开收集使用规则”“未明示收集个人信息的目的、方式和范围”“未经用户同意收集使用个人信息”“违反必要原则，收集与其提供的服务无关的个人信息”“未经同意向他人提供个人信息”“未按法律规定提供删除或更正个人信息功能”等常见的APP违规行为主要包括哪些内容进行了明确。结合上述违规认定方法和合规操作指引，企业基本可以明晰如何合法合规处理个人信息。

（4）企业类型及对应的个人信息保护义务

根据不同的业务类型，参与APP个人信息处理活动的企业包括APP开发运营者、APP分发平台、APP第三方服务提供者、移动智能终端生产企业、网络接入服务提供者，不同的企业需要履行的个人信息保护义务亦有区别。企业应当根据自身的类型找到相对应的须履行的个人信息保护义务。具体可参阅《移动互联网应用程序个人信息保护管理暂行规定》。

（5）个人信息跨境规则

如因业务需要，确需向中国境外提供个人信息的，除满足一般的信息处理规则外，还应当符合《个人信息保护法》第三章及《数据安全法》的相关规定。

（6）与个人信息相关的常用法律法规及标准文件

对常用的法律法规如《网络安全法》《个人信息保护法》《数据安全法》（待正式颁布）及网信办网站（.cac.gov）、信息标准委员会（.tc260）上发布的标准文件进行汇总和及时更新，便于索引。

3.2 设立风险评估制度和应急预案

企业对处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、向他人提供个人信息、公开个人信息、向境外提供个人信息、其他对个人有重大影响的个人信息处理活动的应事前进行风险评估，且风险评估报告和处理情况记录应当至少保存三年。

企业应当对个人信息处理可能存在的安全风险如信息泄露、被窃取、篡改、删除等提供应急预案，以便及时响应事故和配合监管部门的询问调查。

3.3 完善个人信息安全保护技术手段

企业应采取相应的加密、去标识化等安全技术措施，提升个人信息保存设备硬件的稳定和防护程度。

3.4 建立内部管理制度和落实执行

（1）明确分工和权限

个人信息的处理（包括收集、储存、使用、共享等）、风险评估、应急预案、合规等进行明确的分工。根据个人信息的分级分类情况，设置不同级别的权限。

（2）配备数据合规官（Data Protection Officer）

欧盟GDPR《一般数据保护条例》明确指出企业内应有“承担数据保护合规相关职责”的角色，即数据合规官。尽管《个人信息安全规范》仅要求处理个人信息达到一定规模的企业应当设立个人信息保护负责人，但为了更好地落实执行内部管理制度和统筹个人信息处理、保护工作，配备数据合规官从长远来看确有必要。该数据合规官除了日常的合规工作，在监管部门进行询问、调查时也可以更好地配合和应对，整体上降低企业的合规风险。

3.5 定期审查、更新和内部培训

企业应当定期对内部合规清单和指引进行审查更新，检查各项工作是否符合指引以及具体的执行情况，并定期对从业人员进行安全教育和专业培训。

--------------------------

【参考资料】

1、网信办关于抖音等105款App违法违规收集使用个人信息情况的通报，.cac.gov/2021-05/20/c_1623091083320667.htm。
2、《央视315曝光手机软件坑老，广告诱导已成老人最大困扰之一》，载《新浪科技》，finance.sina/tech/2021-03-16/doc-ikknscsi6060432.shtml。
3、《因违规收集用户个人信息 “3?15”曝光APP被罚》，载《和讯网》，s.163/dy/article/G83T21690519D4UH.html。
4、公众号文章《敏感个人信息的处理要点》，smp.weixin.qq/s/eRFB8rsJOU-fYHsCeXi2Xw。
5、公众号文章《广东试点首席数据官制度（DPO），推进公共数据开放应用》，smp.weixin.qq/s/LQlebn5BXgp4b0OWKpnACA。
6、《个人信息保护法》（二审稿）、《数据安全法》（二审稿）、《网络安全法》《电信和互联网用户个人信息保护规定》。
7、《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》《常见类型移动互联网应用程序必要个人信息范围规定》《APP违法违规收集使用个人信息行为认定方法》《个人信息安全规范》。