移動APP個人信息收集環節合規指引

近年來，隨着移動互聯網信息技術的飛速發展，用戶對移動互聯網終端應用程序（APP）的依賴程度越來越高，日常工作、生活、學習都離不開各類APP的使用。與此同時，強制客戶授權、過度向客戶索權、超範圍收集個人信息等違法違規亂象大量存在，廣大網民反映強烈。違規問題幾乎從客戶最初註冊使用一款APP時就存在，最典型的就是未制定和公開隱私政策、未經用戶同意收集個人信息、超範圍收集個人信息等。而對於開發、運營APP的網絡運營者來說，個人信息收集是經營必不可少的一環，甚至是很多企業核心資產的主要來源。個人信息收集環節的合規性不僅關係到商業利益，更關係到企業面臨的行政問責、行政處罰甚至刑事風險，有時候還會對企業形象和品牌競爭力產生影響，是APP運營企業必須高度重視和妥善解決的首要課題。

一、個人信息收集的法律遵循

爲規範APP運營平臺對個人信息的收集使用，打擊涉及個人信息的違法犯罪行爲，我國相繼出臺了個人信息保護相關法律法規及規範性文件，對個人信息收集環節的規制體系已經越來越完善。

2012年《全國人民代表大會常務委員會關於加強網絡信息保護的決定》、2014年修改實施的《消費者權益保護法》、2017年實施的《網絡安全法》均對收集使用個人信息的法律責任和義務作出規定；《刑法修正案（七）》、《刑法修正案（九）》以及《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若幹問題的解釋》中，明確了侵犯公民個人信息犯罪行爲的界定和處罰。

2019年，《兒童個人信息網絡保護規定》已發佈實施，《數據安全管理辦法（徵求意見稿）》、《個人信息出境安全評估辦法（徵求意見稿）》已完成向社會公開徵求意見，《App違法違規收集使用個人信息行爲認定方法》已發佈實施，《移動互聯網應用程序（App）收集個人信息基本規範（草案）》《個人信息安全規範》等國家標準已經發佈實施並得到廣泛應用。

2021年實施的《民法典》強調，自然人的個人信息受法律保護，任何組織或者個人需要獲取他人個人信息的，應當依法取得並確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，並在人格權編專章規定與隱私權和個人信息保護有關的各項具體要求。同時，《數據安全法》《個人信息保護法》已納入十三屆全國人大常委會的立法規劃，並已經形成草案稿，很快就將頒佈實施。

我國關於個人信息收集的主要法律、法規、政策一覽表

二、監管部門的治理措施

近年來，有關部門持續開展了一系列個人信息保護相關監管執法活動，有關社會組織也推動社會各界密切關注個人信息保護，引導企業加強合規自律。

（一）多部門聯合開展“APP違法違規收集使用個人信息專項治理”

2019年1月25日，中央網信辦、工信部、公安部、市場監管總局四部門聯合發佈《關於開展APP違法違規收集使用個人信息專項治理的公告》（以下簡稱《公告》），正式拉開了APP違法違規收集使用個人信息專項治理工作的大幕。受四個監管部門委託，全國信息安全標準化技術委員會、中國消費者協會、中國互聯網協會、中國網絡空間安全協會成立APP違法違規收集使用個人信息專項治理工作組，具體推動APP違法違規收集使用個人信息評估工作。

《公告》發佈以來，專項治理工作組對評估機構進行培訓後，分階段、分批次開展了評估工作。設立了微信公衆號和專用郵箱兩種舉報渠道，對廣大網民提供的APP違法違規收集使用個人信息的舉報線索進行梳理、覈實，將問題反映集中、用戶數量大、與民衆生活密切相關的APP納入評估對象。

爲確保評估工作的科學性和公正性，評估工作依託專業評估機構和行業專家的力量進行。全國信息安全標準化技術委員會、中國消費者協會、中國互聯網協會、中國網絡空間安全協會聘請了一批網絡安全法律、技術專家成立個人信息保護專家組，由專家組對評估結果和有爭議問題進行裁定，出具專家意見。

專項治理工作組發佈的《APP違法違規收集使用個人信息專項治理報告》顯示，網民投訴舉報的前五大典型問題分別是：超範圍收集與功能無關個人信息、強制或頻繁索要無關權限、存在不合理免責條款、無法註銷賬號、默認捆綁功能並一攬子同意，其中超範圍個人信息收集問題高居第一。

（二）工信部開展“APP侵害用戶權益專項整治”

2019年，針對羣衆反映強烈的APP違規收集個人信息、過度索權、頻繁騷擾、侵害用戶權益的各類問題，工業和信息化部開展了“APP侵害用戶權益行爲專項整治行動” 。

整治行動依據《網絡安全法》《電信條例》和《規範互聯網信息服務市場秩序若幹規定》《電信和互聯網用戶個人信息保護規定》《移動智能終端應用軟件預置和分發管理暫行規定》等法律法規和規範性文件要求開展，主要面向APP服務提供者、APP分發服務提供者兩類主體。

整治行動圍繞8類違法違規問題行爲，其中違規收集用戶個人信息方面主要包括“私自收集”和“超範圍收集”兩大類。2019年的整治行動推動了多款APP完成自查整改，對236款APP運營者下發整改通知書，公開通報56款APP、下架3款APP。

2020年7月，工信部下發《關於開展縱深推進APP侵害用戶權益專項整治行動的通知（工信部信管函〔2020〕164號）》，繼續推進專項整治行動縱深開展。僅從2021年第1批、總第10批公佈的157家問題APP名單看，仍然存在違規收集個人信息問題的就高達134家。

從工信部領導在2020年11月27日全國APP個人信息保護監管會上的講話看，工信部還將運用人工智能、大數據等新技術推進全國APP技術檢測平臺建設，力爭2021年實現全年檢測180萬款APP的覆蓋能力。APP違規收集個人信息問題還將成爲監管部門的常態性監管重點。

三、數據法學意義上個人信息收集的原則

（一）合法正當、公開透明原則

歐盟GDPR、我國《網絡安全法》、《個人信息安全規範》中均有個人信息收集合法、正當、公開原則的體現。合法性原則主要體現在對個人信息控制者的禁止性規範上。正當性原則主要指對個人信息收集應當具有正當目的，不應違反初始目的。公開透明原則體現爲個人信息收集者明示收集、使用的目的、方式和範圍，盡到告知、說明、警示義務，接受外部監督。

（二）最小必要原則

又稱“數據最小化原則”“必要原則”“最低限度原則”“最少夠用原則”，指個人信息收集的範圍應當限於最小必要信息，即保障服務類型正常運行所最少夠用的個人信息，包括一旦缺少將導致該類性服務無法實現或無法正常運行的個人信息，以及法律法規要求必須收集的個人信息。

（三）授權同意原則

授權同意原則是指個人信息收集的主體應當有法定授權，或經數據主體授權同意。該原則是國際社會普遍認定的個人信息收集合法性基礎之一。

（四）目的明確原則

又稱“用途確定原則”，指收集個人信息應具有特定和明確的用途或目的，在約定或規定的目的及用途範圍內收集數據。該原則旨在賦予數據主體參與個人信息收集行爲的權利，包括知情權、確認和訪問權、更正刪除權、限制處理權、被遺忘權和可移植權等。

（五）安全保密原則

指個人信息的控制者必須對其收集的數據嚴格保密，不得泄露、篡改、毀損，不得出售或者非法向他人提供所收集的數據。

四、APP收集個人信息環節的風險點及合規建議

（一）“私自”和“超範圍”兩大類問題釋義及典型場景

1、“私自收集個人信息”。即APP未明確告知收集使用個人信息的目的、方式和範圍並獲得用戶同意前收集用戶個人信息。

典型場景1：APP運行時，缺乏向用戶明示且徵求用戶同意的環節，收集IMEI、設備MAC地址、軟件安裝列表、通訊錄、短信等個人信息。

典型場景2：APP運行時，雖然有向用戶明示並經用戶同意環節，但個人信息收集發生在用戶同意前。

2、“超範圍收集個人信息”。即APP收集個人信息，非服務所必需或無合理應用場景，超範圍或超頻次收集個人信息。

典型場景1：APP收集個人信息，非服務所必需或無合理應用場景，超範圍收集個人信息，如過度收集用戶通訊錄、短信、通話記錄等。

典型場景2：APP收集個人信息，非服務所必需或無合理應用場景，超頻次收集個人信息，如按照一定頻次收集位置信息、IMEI或頻繁讀取通訊錄、短信、圖片等。

典型場景3：APP收集身份證號、人臉、指紋等個人信息時，非服務所必需或無合理場景，如將收集身份證號、人臉、指紋等作爲應用開啓使用的前提條件，或通過積分、獎勵等方式誘導用戶，收集身份證號、人臉、指紋等個人信息。

（二）違法違規收集個人信息行爲的認定方式

1、“未公開收集使用規則”的認定

①在APP中沒有隱私政策，或者隱私政策中沒有收集使用個人信息規則；

②在APP首次運行時未通過彈窗等明顯方式提示用戶閱讀隱私政策等收集使用規則；

③隱私政策等收集使用規則難以訪問，如進入APP主界面後，需多於4次點擊等操作才能訪問到；

④隱私政策等收集使用規則難以閱讀，如文字過小過密、顏色過淡、模糊不清，或未提供簡體中文版等。

2、“未明示收集使用個人信息的目的、方式和範圍”的認定

①未逐一列出APP（包括委託的第三方或嵌入的第三方代碼、插件）收集使用個人信息的目的、方式、範圍等；

②收集使用個人信息的目的、方式、範圍發生變化時，未以適當方式通知用戶，適當方式包括更新隱私政策等收集使用規則並提醒用戶閱讀等；

③在申請打開可收集個人信息的權限，或申請收集用戶身份證號、銀行賬號、行蹤軌跡等個人敏感信息時，未同步告知用戶其目的，或者目的不明確、難以理解；

④有關收集使用規則的內容晦澀難懂、冗長繁瑣，用戶難以理解，如使用大量專業術語等。

3、“未經用戶同意收集使用個人信息”的認定

①徵得用戶同意前就開始收集個人信息或打開可收集個人信息的權限；

②用戶明確表示不同意後，仍收集個人信息或打開可收集個人信息的權限，或頻繁徵求用戶同意、幹擾用戶正常使用；

③實際收集的個人信息或打開的可收集個人信息權限超出用戶授權範圍；

④以默認選擇同意隱私政策等非明示方式徵求用戶同意；

⑤未經用戶同意更改其設置的可收集個人信息權限狀態，如APP更新時自動將用戶設置的權限恢復到默認狀態；

⑥利用用戶個人信息和算法定向推送信息，未提供非定向推送信息的選項；

⑦以欺詐、誘騙等不正當方式誤導用戶同意收集個人信息或打開可收集個人信息的權限，如故意欺瞞、掩飾收集使用個人信息的真實目的；

⑧未向用戶提供撤回同意收集個人信息的途徑、方式；

⑨違反其所聲明的收集使用規則，收集使用個人信息。

4、“違反必要原則，收集與其提供的服務無關的個人信息”的認定

①收集的個人信息類型或打開的可收集個人信息權限與現有業務功能無關；

②因用戶不同意收集非必要個人信息或打開非必要權限，拒絕提供業務功能；

③APP新增業務功能申請收集的個人信息超出用戶原有同意範圍，若用戶不同意，則拒絕提供原有業務功能，新增業務功能取代原有業務功能的除外；

④收集個人信息的頻度等超出業務功能實際需要；

⑤僅以改善服務質量、提升用戶體驗、定向推送信息、研發新產品等爲由，強制要求用戶同意收集個人信息；

⑥要求用戶一次性同意打開多個可收集個人信息的權限，用戶不同意則無法使用。

（三）專項整治通報收集個人信息問題梳理及合規建議

1、未公開告知用戶收集個人信息

專項整治通報存在此現象的APP有37款，主要表現方式是：APP中沒有或者難以訪問隱私政策、隱私政策難以閱讀或者用戶難以理解、首次運行時未通過彈窗等明顯方式提醒用戶閱讀隱私政策等關於個人信息收集使用規則的文件。

合規建議：收集用戶個人信息前應當徵求用戶同意，建議行程隱私協議、以明示的方式展示、提供給用戶簽署。在較爲明顯的位置添加查詢隱私政策的鏈接，方便用戶在後續使用過程中隨時查閱。

2、未徵得用戶許可收集個人信息

因此情況被通報的APP有14款，主要表現爲：未以明示的方式向用戶提供隱私政策，沒有徵得用戶的明確授權，便在用戶使用APP的過程中收集用戶的個人信息；在用戶明確拒絕提供部分非必要個人信息後，仍然在用戶使用APP的過程中收集其拒絕提供部分的個人信息。

合規建議：基於用戶的個人權利，在收集個人信息前必須取得用戶明確授權同意，將用戶同意作爲APP運營者進行相關信息收集操作的必要前提。

3、APP申請打開可收集個人信息權限時，未同步告知用戶其目的或未明確告知用戶收集個人信息的範圍

專項整治通報存在此現象的APP有50款，是APP運營過程中最普遍的問題。APP在收集信息時僅告訴用戶信息需求，但並未告知收集信息的目的以及範圍，使得用戶無法根據實際需求來判斷自己是否確認授權，用戶不想提供的非必要個人信息也被額外收集，因此違規。

合規建議：APP運營者應當儘可能詳細的羅列出需要收集的個人信息，將自己的基本服務與附加服務進行區分，將收集到的個人信息與不同的服務類型一一對應，在徵求用戶許可時告知用戶。

4、超範圍收集個人信息

專項整治中有12款APP因該問題被通報。主要表現爲APP運營者收集與其提供的服務無關的個人信息，是否有關主要從形式和實質兩方面考量：形式方面，收集的信息是否在隱私政策所述範圍內；實質方面，收集的信息是否與APP的功能、服務相關，是否是必要信息。必要個人信息是保障APP基本功能正常運行所必須的個人信息，缺少該信息APP無法提供基本功能服務。

合規建議：參考2020年12月1日中央網信辦聯合北京師範大學出臺的常見類型APP必要個人信息範圍徵求意見稿，以其中對地圖導航、網約車、外賣平臺等38類APP的必要收集範圍的規定爲參考進行篩選。只要用戶同意收集必要個人信息，APP不得拒絕用戶安裝使用。

5、以捆綁授權的方式獲取收集個人信息權限

因該問題在專項整治中被通報的APP共10款，具體表現爲用戶不能自主選擇授權內容，只能一次性同意打開多個可收集個人信息的權限，如用戶不同意則無法使用APP，嚴重影響用戶的合法權益。

合規建議：對完全不同的個人信息不採用捆綁方式授權，授權事項具體明確，給予用戶選擇權，一旦用戶同意授權必要個人信息的收集，不得拒絕安裝。

最後，呼籲APP運營者在收集使用個人信息時，嚴格履行《網絡安全法》等一系列法律法規規定的責任義務，從個人信息的收集環節做起，對個人信息安全負責，有效加強個人信息保護。APP運營者可參照各監管部門下發的文件和以上的指引對收集個人信息環節進行自查自糾，希望本文能夠爲企業個人信息採集合規水平的提升發揮作用。