​APP合规实践3000问之三

随着陆续出台的一系列规定要求，监管粒度在持续更新和细化，包括41391《移动互联网应用程序（APP）收集个人信息基本要求》（以下简称《基本要求》）、网信发布的《应用程序信息服务管理规定》、《用户账号信息管理规定》以及工信即将修订的《电信和互联网用户个人信息保护规定》，我们现在就来逐一聊一聊~

Q1  GB/T41391-2022 《信息安全技术 移动互联网应用程序（APP）收集个人信息基本要求》概述

4月发布的《基本要求》即将于11月1日正式实施，这项标准作为APP个人信息保护方面的国家标准，明确了收集个人信息、必要个人信息的基本规定，包含告知用户同意、获取系统权限及第三方收集管理等要求。

《基本要求》也是对去年发布的常见39类APP必要个人信息范围规定的细化，提出了12种特定类型个人信息的收集要求，在现有监管要求、标准规范的基础上，通过附录形式明确各常见服务类型APP必要个人信息范围、可收集个人信息权限范围、常见服务类型与系统权限相关程度等，促进企业在实践过程中落实《常见类型移动互联网应用程序必要个人信息范围规定》、《App违法违规收集使用个人信息行为认定方法》等监管要求。对于APP运营企业而言，要确保不收集无关个人信息，不强制收集非必要但有关联的个人信息。

Q2  APP运营企业如何做？

对于已经开发的APP，应全面梳理APP及接入的第三方所收集的个人信息、申请的系统权限、各项个人信息类型、系统权限所用于的业务功能或使用目的，以及该个人信息/权限是否为实现相关功能或目的所必需；对于准备开发的APP，应在APP开发前梳理所提供的业务功能、所涉及的服务类型来确定APP类型，若判断属于常见39类，可以根据《基本要求》附录A来确定APP的基本业务功能、必要个人信息范围，若不属于常见39类，需要根据《基本要求》第5章来合理拆分基本业务功能、扩展业务功能。

Q3  必要个人信息的理解

《基本要求》附录B中重点明确了必要个人信息的含义，APP基本业务功能所必须的个人信息为必要个人信息，扩展业务功能所需收集的信息为非必要个人信息，即当且仅当没有该个人信息的参与，APP的基本业务功能无法实现或无法正常运行的为必要个人信息。

当用户同意收集APP必要个人信息时，应保障用户可拒绝或撤回同意收集非必要个人信息，且不应因用户拒绝、撤回同意提供非必要个人信息或关闭退出扩展业务功能，而拒绝用户使用该APP的基本业务功能。做到“无关的不收集，非必要的不强制”。

Q4  系统权限的申请和使用要求

《基本要求》附录D明确了可收集个人信息权限的范围，给出了30个安卓和15个iOS的可收集个人信息的权限及其功能、可访问的个人信息、对应的业务功能示例，从APP业务功能出发限定所能收集的权限范围；附录E列出了与常见服务类型相关程度较低的安卓系统权限表，APP提供者应识别APP提供的服务类型，根据该表综合判断APP申请权限的相关性和合理性，做到“无关者不收集”。

APP在申请可收集个人信息权限时，应仅声明和申请实现APP服务目的最小范围的系统权限，不应申请与APP业务功能无关的系统权限。开发人员可能很容易忽略在应用程序清单文件（Android的manifest.xml文件，iOS的info.plist文件）声明的权限，应注意避免存在声明的权限实际并未用到的情况。网络安全标准实践指南—《移动互联网应用程序（APP）系统权限申请使用指南》中也对权限的申请使用有具体要求。

Q5  设备信息主要关注哪些，收集应注意什么？

对于Android客户端，APP可通过申请READ_PHONE_STATE（电话权限）来获取IMEI等设备信息，除35273《个人信息安全规范》中附录A列举的设备信息，《基本要求》附录F里重点列举了六个不可变更的唯一设备标识码，包括IMEI/IMSI/MEID/SN/MAC地址/ICCID，对于不可变更的唯一设备识别码，APP不应收集。定向推送信息和用户画像场景采用唯一设备识别码标识用户时，应使用可变更的唯一设备识别码，且不应将其与用户身份信息或不可变更的唯一设备识别码关联，并且应控制收集频率。

Q6  剪切板、传感器怎样合规使用？

剪切板、传感器也是《基本要求》里提到的12种特定类型个人信息之一，由于这两个权限不需要做特别申请，用户可能感知不明显，很容易被忽略，应注意在合理场景满足最小必要原则（包括控制收集频率、范围、精度等），同时需要在隐私政策中进行声明。

Q7  第三方管理的若干要求

《基本要求》中明确了对接入的第三方应用、嵌入的第三方SDK的安全管理要求。第三方指移动互联网应用程序运营者之外的其他法人实体，包括关联公司，但第三方不包括与APP运营者属于同一企业集团，遵守同一套管理制度、统一进行安全和运维管理的其他法人实体。同时对APP接入第三方应用和APP嵌入第三方SDK指出了两种管理模式，提出了不同的合规管理要求，如下图所示。

另外，网络安全标准实践指南——《移动互联网应用程序（APP）使用软件开发工具包（SDK）安全指引》也详细规范了APP 使用 SDK 的相关方和责任、常见 SDK 类型、常见安全问题、基本原则和安全措施。

Q8  自启和关联启动

除了关注SDK是否存在自启动、关联启动，APP在非服务所必需或者无合理场景下，也不应自启动或者关联启动其他APP。自启和关联启动可能会引起已经退出应用后还在收集信息，应注意应用后台收集信息的情况，当APP在静默状态或在后台运行时，除必要场景外不应收集用户个人信息，例如像导航类APP在使用时切换到后台后，可以基于导航功能收集定位信息。

Q9  网络直播之未成年人监管

《基本要求》中提出收集不满14周岁未成年人个人信息，应制定专门的个人信息处理规则如下图所示，并应取得未成年人的父母或者其他监护人的单独同意，详情如下图所示。

近期针对未成年人监管持续收紧，5月国家广电总局发布了《关于规范网络直播打赏加强未成年人保护的意见》，要求网站平台应在该意见发布1个月内全部取消打赏榜单，加强对礼物名称、外观等规范设计，加强新技术新应用上线的安全评估，不得上线运行以打赏金额作为唯一评判标准的各类功能应用。每日20时至22时，单个账号直播间“连麦PK”次数不得超过2次，不得设置“PK惩罚”环节，不得为“PK惩罚”提供技术实现方式，每日22时后，对“青少年模式”下的各项服务强制下线。此外，7月中央网信办深入开展为期2个月的“暑期未成年⼈⽹络环境整治”专项行动，严查诱导未成年人参与直播打赏行为。 

Q10  实名认证的注意事项

在《应用程序信息服务管理规定》、《用户账号信息管理规定》中均提到，应用程序提供者为用户提供信息发布、即时通讯等服务的，应当对申请注册的用户进行基于移动电话号码、身份证件号码或者统一社会信用代码等方式的真实身份信息认证。用户不提供真实身份信息，或者冒用组织机构、他人身份信息进行虚假注册的，不得为其提供相关服务。

微信公众平台在4月发布了公告指引《关于小程序违规收集手机号行为的规范》，避免注册流程需绑定手机号的小程序违规。例如不得在非必要情况下强制用户授权手机号，要求用户在进入小程序后可体验相关业务，不得在未展示任何信息的情况下强制授权手机号；用户正常浏览小程序版块或页面过程中，不得强制授权手机号；涉及需要授权手机号的场景，应明确向用户说明授权原由。

本期分享暂且告一段落，若大家有感兴趣的合规问题可在评论区留言讨论，我们在下一期进行集中探讨，期待大家的反馈，下期再见~