随着国家对个人信息保护日益重视，国家对App违法违规收集使用个人信息的治理也日趋严格。近日，国家互联网信息办公室相继发布了《关于输入法等33款App违法违规收集使用个人信息情况的通报》、《关于腾讯手机管家等84款App违法违规收集使用个人信息情况的通报》，对App收集与其提供的服务无关的个人信息的情况进行了重点检测，并通报了检测结果。对于存在问题的App，仅给予了App运营者10个及15个工作日的整改时间，时间不可谓不紧。

为帮助App运营者完成近日的整改、完善今后的运营，我们汇总和梳理了个人信息保护领域的重要立法，并就App个人信息保护政策制定过程中，及App运营者在实际收集、使用、共享个人信息过程中需要关注的要点进行了提示，以供App运营者及其他网络交易经营者参考。

2017年6月1日，《网络安全法》正式施行，其中第四十一、四十二、四十三条，对个人信息的收集使用规则、网络运营者的个人信息保护义务、个人信息的删除权和更正权进行了规定。

为App运营者能够切实遵守《网络安全法》，2019年1月25日，国家互联网信息办公室、工业和信息化部、公安部和国家市场监督总局等四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》，决定自2019年1月至12月，在全国范围组织开展App违法违规收集使用个人信息专项治理。

为此成立的App专项治理工作组在这一年间制定、完善了一系列技术规范和标准文本，包括2019年3月编制并发布的《App违法违规收集使用个人信息自评估指南》、2019年5月编制并发布的《App违法违规收集使用个人信息行为认定方法（征求意见稿）》、2019年10月更新并公开的GB/T 35273《信息安全技术 个人信息安全规范（最新征求意见稿）》及《移动互联网应用程序（App）收集个人信息基本规范（最新草案）》。其中，《App违法违规收集使用个人信息行为认定方法》于2019年11月28日印发执行，GB/T 35273-2020《信息安全技术 个人信息安全规范》于2020年10月1日实施。《信息安全技术 个人信息安全规范》虽是推荐性国标，但在实践中已成为执法的参考依据。

此外，《个人信息保护法（草案二次审议稿）》和工信部的《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》也已在征求意见阶段。

1.      App中应建立个人信息保护政策，个人信息保护政策中应有收集使用个人信息规则，且个人信息保护政策独立成文（即不作为用户协议、用户说明等文件的一部分）；

2.      在App首次运行时/更新时，须通过“弹窗”等明显方式提示用户阅读个人信息保护政策，不得默认勾选；

3.      进入App主功能界面后，通过4次以内点击，能够访问到个人信息保护政策，且个人信息保护政策链接位置突出、无遮挡；

4.      个人信息保护政策文本无文字过小过密、颜色过淡、模糊不清、未提供简体中文版等造成用户阅读困难的情形。

1.      个人信息保护政策应逐项列举需要收集个人信息的业务功能，及该业务功能项下所收集的全部个人信息类型（包括委托的第三方或嵌入的第三方代码、插件收集的个人信息），确保业务功能与所收集的个人信息类型一一对应；

2.      对于包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下（含）未成年人的个人信息等个人敏感信息（参见GB/T 35273-2020《信息安全技术 个人信息安全规范》3.2节）进行如字体加粗、标星号、下划线、斜体、颜色等显著标识。

1.      个人信息保护政策应包含App运营者的基本情况（公司名称、注册地址、个人信息保护相关负责联系方式）、用户投诉渠道（电子邮件、电话、传真、在线客服、在线表格中至少一种），以及个人信息保护政策发布/更新日期（更新后应通过电子邮件、信函、电话、推送通知等方式及时告知用户）；

2.      个人信息保护政策应明确用户拥有个人信息查询、更正、删除，用户账户注销，撤回已同意的授权的权利，并明确说明实现上述权利的操作方法；

3.      个人信息保护政策应明确个人信息的存放地域（国内、国外）、存储期限（法律规定范围内最短期限或明确的期限）、超期处理方式（删除或匿名化）

4.      个人信息保护政策对外共享、转让、公开披露个人信息的规则，包括对外共享、转让、公开披露个人信息的目的，涉及的个人信息类型，接受方类型或身份，以及与接受方的责任划分。

5.      个人信息保护政策应明确个人信息出境情况，对于出境个人信息类型逐项列出并显著标识（如字体加粗、标星号、下划线、斜体、颜色等），并说明跨境传输遵守的标准、协议和法律机制；

6.      个人信息保护政策应对App运营者在个人信息保护方面采取的措施和具备的能力进行说明，如身份鉴别、数据加密、访问控制、恶意代码防范、安全审计等；

7.      个人信息保护政策中应说明用户画像、个性化展示的应用场景和可能对用户产生的影响

个人信息保护政策中不应出现免除自身责任、加重用户责任、排除用户主要权利的条款

免除自身责任是指App运营者免除其依照法律规定应当负有的强制性法定义务；

加重用户责任是指App运营者要求用户在法律规定的义务范围之外承担责任或损失，如要求用户承担黑客攻击、数据泄露等风险；

排除用户主要权利是指App运营者排除用户依照法律规定或者依照合同的性质通常应当享有的主要权利。

相关文本链接：

《App违法违规收集使用个人信息自评估指南》：

https://mp.weixin.qq.com/s?__biz=Mzg3OTU5NDQ3Ng==&mid=2247489500&idx=2&sn=a43eb69405c6affac86931338198c8c1&source=41#wechat_redirect

《App违法违规收集使用个人信息行为认定方法》：

http://www.cac.gov.cn/2019-12/27/c_1578986455686625.htm

GB/T 35273-2020《信息安全技术 个人信息安全规范》：

http://c.gb688.cn/bzgk/gb/showGb?type=online&hcno=4568F276E0F8346EB0FBA097AA0CE05E

《信息安全技术 移动互联网应用程序（App）收集个人信息基本规范》：

https://mp.weixin.qq.com/s?__biz=Mzg3OTU5NDQ3Ng==&mid=2247489538&idx=1&sn=06309d3d51f2eb43d170cc797db74f47&source=41#wechat_redirect

《常见类型移动互联网应用程序必要个人信息范围规定》：

http://www.cac.gov.cn/2021-03/22/c_1617990997054277.htm

《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》：

https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2021/art_68251d4c11784e1bae41048117a8720d.html