企业该如何使用APP收集个人信息？

企业该如何使用APP收集个人信息？

耀时跨境数据合规研究院

《网络安全法》第41条、《消费者权益保护法》第29条均要求运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依法、依规、依约处理其保存的个人信息，确保信息安全。在实践中，企业该如何操作自查自纠可以从以下几个方面具体来看。

01

构建完善的隐私政策

企业在收集个人信息时必须向消费者公开收集使用规则，具体来说，就是隐私政策。依据《网络安全标准实践指南——移动互联网应用程序（APP）收集使用个人信息自评估指南》（TC260-PG-20202A）的规定，隐私政策可以通过弹窗、文本链接、附件、FAQs等方式在APP主界面展示给消费者。需要注意的是，隐私政策必须单独成文，不能作为用户协议的一部分而存在，并且要完整、易于阅读、易于访问。在APP首次运行或用户注册时，必须主动提示用户阅读隐私政策。

如存在涉及收集使用儿童个人信息相关业务功能的，需参照2019年国家互联网信息办公室令（第4号）《儿童个人信息网络保护规定》专门制定针对儿童的个人信息保护规则。

02

在隐私政策中明确告知收集的目的、方式和范围

企业在APP隐私政策中所述内容应与APP实际业务相符，并应逐项说明各业务功能收集个人信息的目的、方式和范围，不应使用“等”、“例如”等方式不完整列举。在申请打开可收集个人信息权限即要求用户提供个人敏感信息（该定义见GB/T 35273《个人信息安全规范》3.2节）时，应同步告知用户其目的、对目的的描述应明确、易懂。当企业的实际业务范围发生变化而导致收集个人信息的目的、方式和范围也发生变化时，企业应当将新的隐私政策再次向用户告知，并获得用户的再次授权。

03

取得用户同意

APP在收集个人信息或打开可收集个人信息的权限前应征得用户同意。此处“征得同意”指个人信息主体通过书面声明或主动做出肯定性动作，对其个人信息进行特定处理做出明确授权的行为。不得以默认选择同意隐私政策等非明示方式征得用户同意，以故意欺瞒、掩饰收集使用个人信息的真实目的，诱骗用户同意收集个人信息或打开可收集个人信息权限。

APP在未获得用户授权前不应提前收集用户个人信息，也不得使用Cookie等技术收集个人信息。用户明确拒绝的，不得在48小时内反复弹窗要求用户同意收集。但用户需要使用APP某一具体功能而触发弹窗的除外。以微信为例，用户明确拒绝微信访问相机权限后，又因购物需要，需要使用“扫一扫”功能时，微信可以再次征求同意。但是用户只想使用无“扫一扫”和“拍照”功能的微信时，微信不能在48小时之内反复向用户征求使用相机权限。

未经用户同意，企业不得私自更改用户设置的可收集个人信息权限和收集使用个人信息相关功能的状态，例如在APP更新升级后，不得将用户设置的可收集个人信息权限恢复到默认状态，或将用户已关闭的使用通讯录匹配好友等功能重新打开。

当APP提供利用个人信息和个性化推荐算法等推送新闻和信息、展示商品、推送广告等服务时，需为用户提供拒绝接收定向推送信息，或停止、退出、关闭相应功能的机制，或不基于个人信息和个性化推荐算法等推送的模式、选项。

如存在从客户端直接向第三方发送个人信息的情形，包括通过客户端嵌入第三方代码、插件（如SDK）等方式向第三方发送个人信息的情形，或App接入第三方应用，当用户使用第三方应用时，均需事先征得用户同意。

此外，企业应向用户提供撤回同意收集个人信息的途径、方式，并在隐私政策等收集使用规则中予以明确。

对于征得用户同意的例外情形，《个人信息安全规范》和《信息安全技术 个人信息告知同意指南（征求意见稿）》（2020年1月12日版）均进行了规定，企业可以进行参考。

04

收集不应超过必要限度

所谓必要限度是指企业使用APP收集时不应收集与业务功能无关的个人信息，APP不应向用户申请授权打开与业务功能无关其他系统权限。例如网约车最小必要信息可以包括用户的身份认证信息、电话号码、定位信息等个人信息，但不应包括用户的手机通讯录等个人信息。2020年1月15日版《信息安全技术 移动互联网应用程序（App）收集个人信息基本规范（征求意见稿）》中，对例如地图导航、网络约车、即时通讯、网络社区、网络支付、新闻资讯、网上购物等30种常用服务类型可收集的最小必要信息做了详细说明。

同时应注意，当用户拒绝收集非必要信息或打开非必要权限时，APP不得拒绝提供相应业务功能，亦不应将同意收集其他业务所需信息/打开其他业务所需权限作为业务功能打开的前提条件。如APP提供无需注册即可使用的业务模式，当用户拒绝支撑游览、游客等模式以外的个人信息收集行为，APP不应拒绝提供服务。

05

对用户信息严格保密，保障用户信息安全

企业必须对其收集的数据严格保密，不得泄露、篡改、损毁，不得出售或非法向他人提供所收集的数据。例如，《网络安全法》第21条、40条、第42条就明确规定了网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改，应当对其收集的用户信息严格保密。此外，《数据安全管理办法（征求意见稿）》第14条还规定了企业对间接收集的个人信息负有与直接收集的数据同等的保护责任和义务。

因此，如企业发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取技术措施和其他必要的补救措施，确保其收集的个人信息安全，并按照规定及时告知用户并向有关主管部门报告。

本文不代表耀时律师事务所及其律师出具的正式法律意见

如需转载或引用本文的任何内容

请扫描我们公众号获得许可并标注来源