【摘 要】

近年来，移动互联网行业快速发展，移动互联网应用程序（App）俯拾即是。为精准描绘用户画像，以用户个人信息谋取利益，应用程序提供者不顾风险，将企业信誉置于危墙之下，陷入恶性循环之中。然行业已过粗放发展阶段，监管收紧、规则细化、处罚加重是为必然，企业应以更审慎的态度迎接挑战。为规范行业发展、保障用户权益，自2019年始，国家相关部门陆续发布行业规则，积极开展整治活动。本文基于对川渝地区2022年度、2023年度的监管数据分析，拟为本地区应用程序提供者提出合规建议。

关键词：移动互联网应用程序；川渝地区；合规建议

一、川渝地区违规App数据分析

在监管收紧的大形势下，自2022年7月开始，四川省通信管理局和重庆市通信管理局通力合作，组织第三方检测机构对川渝两地主流应用商店内移动互联网应用程序(App)进行了检查，并分批次对违规App予以通报。本部分基于川渝地区近两年的监管通报进行数据分析，以启后文。

（一）横向及纵向比对概况 

自2022年1月1日至2023年4月28日“（注释1），川渝两地累计通报违规App共250例，其中四川省159例、重庆市91例，共涉及168家市场主体，涵盖了生活购物、金融理财、系统工具、教育学习、健康保险、手机游戏等多种类型App。

自2022年川渝联合通报第一期开始至2023年第四期为止，川渝地区违规App数量并未随时间推移、监管收紧而呈减少趋势，这或能在一定程度上反应出该地区App运营企业的合规意识较为薄弱。

（二）违规类型分布概况 

据统计，监管部门重点关注的App违法违规情形中，位列前五的分别是：违规收集个人信息（被通报116次）、强制、频繁、过度索取权限（被通报51次）、未公开收集使用规则（被通报39次）、违规使用个人信息（被通报20次）及APP强制用户使用定向推送功能（被通报9次）。

二、主要违规类别评述

根据前述对川渝地区App监管执法的数据统计，我们归纳了常见的合规痛点。主要违规类别包括违规收集个人信息（含未公开收集使用规则）、超范围收集个人信息、违规使用个人信息、强制用户使用定向推送功能及强制、频繁、过度索取用户权限等。本部分在相关规定的基础上，对该主要违规类别分别进行评述。

（一）违规收集个人信息 

依据《个人信息保护法》的规定，收集个人信息应当具有明确、合理的目的，采取对个人权益影响最小的方式，并应当与该目的直接相关。可能被认为属于该违规行为的常见情形包括：

1.未告知用户收集个人信息的目的、方式、范围。例如：采用与背景颜色相近的字体、刻意缩小字号等不明显方式展示或隐藏隐私政策链接甚至未予公开；采取“等、例如”等方式不完整列举收集个人信息的目的、方式、范围；仅以改善服务质量、提升用户体验等模糊理由向用户告知等。

2.未获得用户的明确同意。例如用户首次使用App时，在未得知收集个人信息的目的并作出同意前，App即开始收集个人信息；以默认勾选的方式获得用户对隐私政策的同意等。

(二) 超范围收集个人信息  

不得过度收集个人信息亦是《个人信息保护法》的明确要求，收集个人信息的信息内容、收集方式、收集频率、收集场景应当限于实现处理目的的最小范围。如在用户向第三方应用提交相关个人信息时，私自截留用户个人信息并上传至其后端服务器、自动收集用户剪切板信息等行为均属于超范围收集。

《常见类型移动互联网应用程序必要个人信息范围规定》结合39种常见类型App划定了相应的必要个人信息范围，《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》也对大量不同类型服务所需的必要个人信息作出划定，且在服务类型确认、个人信息举例等方面的说明更为详细。

(三) 违规使用个人信息  

常见的违规使用个人信息情形包括违反隐私政策所声明的使用规则以及违规向第三方提供个人信息。

个人信息的使用与隐私政策不一致，一方面在于技术层次上的实际运行代码、算法与隐私政策存在出入；另一方面在于当个人信息的使用目的、方式或范围发生变化时，未通知用户并重新征得其同意。

违规向第三方提供个人信息，即在未经用户同意，且未做匿名化处理的情况下，运营者从客户端直接向第三方提供个人信息，包括App嵌入第三方代码、SDK等方式向第三方提供；或在个人信息传输至App服务器后向第三方提供以及集团公司内部不同主体间个人信息流转的不合规。

(四) 强制用户使用定向推送功能  

定向推送，一般是指运营者收集用户的相关信息后，利用算法判断其兴趣爱好、消费偏好等特征，从而向其提供讯息或发送广告的行为，可归为《个人信息保护法》下“利用个人信息进行自动化决策”的范畴，在App内通常以“为您推荐”“猜您喜欢”等功能标签出现。通过自动化决策方式向个人进行信息推送或商业营销，需为用户提供拒绝接收定向推送信息，或停止、退出、关闭相应功能的机制，或不基于个人信息和个性化推荐算法等推送的模式、选项。

在实践中，强制用户使用定向推送的情形主要包括未向用户告知和不提供有效关闭设置两种情形。如App在根据用户购物记录、搜索记录等信息向其推荐可能感兴趣的商品时，未在该页面加以提示，表明该内容仅针对该用户的推荐；或未在适当的地方设置便捷的关闭定向推送功能的选项等。

(五) 强制、频繁、过度索取权限  

《个人信息保护法》规定，处理个人信息不得通过胁迫的方式进行，收集个人信息应当限于实现处理目的的最小范围。App强制、频繁、过度索取权限，本质是违背了用户的意愿获取个人信息，也明显超出实现个人信息处理目的的最小必要范围。常见的APP强制、频繁、过度索取权限情形如下：

1. 申请与App业务功能无关的系统权限。如App在提供文档查阅功能时，向用户索取相机权限。

2.将多项系统权限打包，要求用户一揽子接受。如在App安装时一次性申请多项或所有危险权限的授权，并在打开App后权限均为默认开启状态。

3. 频繁申请系统权限。即App在用户明确拒绝权限申请后，频繁申请开启通讯录、定位、短信、录音、相机等与当前服务场景无关的权限来骚扰用户。“频繁”的形式包括但不限于：单个场景在用户拒绝权限后，48小时内弹窗提示用户打开系统权限的次数超过1次；每次重新打开App或使用某一业务功能时，都会向用户索要或提示缺少相关系统权限。

三、合规建议

近两年，我国个人信息保护立法及App合规监管进入深水区。随着多部相关法律法规的施行，针对App数据合规的规则愈发细化，监管不断加强。企业在日常经营中如不重视其App的合规问题，轻则产品下架，过往努力付诸东流，重则承担刑事责任。另外，被侵权人也可能依据《民法典》《个人信息保护法》等相关规定，要求违规企业承担民事责任（注释2）。结合笔者在App合规治理工作中的实践经验，我们提出如下几点建议。

（一）以组建专门合规团队为起点 

个人信息保护的机制繁杂、涉及面广、流程较长，需要企业组建（聘请）专门合规团队，在其协助下与技术人员共同搭建数据治理的规范框架。

一方面，由专门团队对App进行合规自评估，重点规范整改目前着重整治的违规收集、使用个人信息等问题；另一方面，由其牵头，制定个人信息保护内部管理制度、建立相关内部控制制度、加强人员教育培训、建立健全数据安全事件应急预案。此外，还需持续关注App方面的法律法规出台情况和监管动态，灵活调整App收集、使用个人信息的规则及相应的程序操作处理机制。

（二）以隐私政策为纽带 

隐私政策是企业对外展示隐私保护理念的重要窗口，也是监管部门通报整改的重点内容。一方面，法律及监管层以公权力不断加强对数据处理者的隐私政策合规责任；另一方面，数据主体就隐私政策的知情权意识不断提升，隐私政策的重要性不言而喻。对于企业而言，只要涉及个人信息收集、使用，无论是APP、网站，还是小程序、公众号、H5页面等形式，均应主动制订隐私政策并公示，并关注隐私政策的合规问题。

因此，笔者建议企业一方面可以通过自动化工具初步审查隐私政策可能存在的问题，梳理业务流、个人信息流，摸清每个业务、功能或场景下的个人信息处理情况；另一方面，可参照《信息安全技术 互联网平台及产品服务隐私协议要求》，结合App的具体业务模式，寻求专业法律意见，制定贴合业务逻辑的隐私政策。

（三）以“告知-同意”规则为依归 

“告知-同意”是法律确立的个人信息保护核心规则，是保障个人对其个人信息处理知情权和决定权的重要手段。”全国人大常委会法工委经济法室副主任杨合庆如是说。企业通过App收集使用个人信息的过程中，取得用户同意是非常重要的一环，需在合规层面予以高度重视。同意的类别包括明示同意和授权同意。“明示同意”指的是个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明，或者自主作出肯定性动作，对其个人信息进行特定处理作出明确授权的行为。其中，肯定性动作包括个人信息主体主动勾选、主动点击“同意”“注册”“发送”“拨打”等选项、主动填写或提供等。而“授权同意”指的是个人信息主体对其个人信息进行特定处理作出明确授权的行为，这既包括通过积极的行为作出授权（即明示同意），也包括通过消极的不作为而作出授权（如信息采集区域内的个人信息主体在被告知信息收集行为后没有离开该区域）。

同时，与“同意”密切相关的一个行为是“告知”。用户只有在了解个人信息处理的范围、目的及方式等情况下，方可做出是否同意的决定。企业需通过隐私政策等方式公开个人信息处理规则，逐一列出App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围。在申请打开可收集个人信息的权限，或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时，还应同步告知用户其处理目的。

因此，企业在收集使用个人信息时，应当严格遵循《民法典》《网络安全法》《个人信息保护法》《信息安全技术 个人信息告知同意指南》等法律法规中关于告知同意规则的要求。此外，出于证据留存和合规要求，建议企业也需留存告知同意的证据。

四、结语

数据时代盖地而来，党中央、国务院早已将数据的地位拔高至“第五大生产要素”，数据已和土地、劳动力、资本、技术等一道融入了经济价值创造过程之中，对生产力的发展产生广泛而深厚的影响。因此，保有数据的企业在竞争中就享有了一定的优势。但风险与收益共生，享有优势的同时如不注重对风险的管控，原本的优势必将转换成发展路上的绊脚石。川渝两地移动互联网应用程序相关企业较沿海地区发展晚，在人才、资金等方面不具备优势，而监管收紧已成当下之趋势，此时拼的往往是定力，而定力根源于对现有规则精准理解与把握。在法律制度日渐明晰，监管要求愈发严格的当下，落实数据合规工作将更好地赋能产品，为企业创造更大的价值。