APP个人信息保护合规的十个疑难问题（一）

在全球范围内，中国移动互联网高度发达、独领风骚。也因此，中国数据合规有关的立法、监管和司法实践，特别重视APP数据合规，先后发布了一系列APP个人信息保护有关的立法、标准、监管指引和司法个案。近日，国家市场监督管理总局、国家标准化管理委员会发布了2022年第6号标准公告，正式发布《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》（下称“基本要求”），详细规定了APP收集个人信息的必要范围、告知同意、系统权限、SDK管理等合规要求，对业界开展APP合规建设具有重要的参考作用。

结合近期立法情况、监管行动及司法案例，参考类似项目经验，汇业黄春林律师团队简要解读APP个人信息保护合规的十个疑难问题如下，仅供参考。

一、如何理解“必要”、“必需”、“需要”和“相关”

《个人信息保护法》第五条规定，“处理个人信息应当遵循合法、正当、必要和诚信原则”，因此，“必要”是处理个人信息的一项基本原则，贯穿始终。《个人信息保护法》第十三条规定，满足订立/履行合同、人力资源管理和法定“必需”的，不需取得个人同意。考虑到第十三条还规定了除“必需”以外的其他合法事由（例如 “同意”），因此，我们理解“必要”不等于“必需”，即，有些场景中处理个人信息虽不满足“必需”，但若满足“必要”，可能也是合规的，例如在电商场景中收集用户的生日，在短视频场景中收集用户的兴趣等。

但是，《常见类型移动互联网应用程序必要个人信息范围规定》（下称“必要规定”）给实务中带来了一些困惑。《必要规定》第三条解释，“本规定所称必要个人信息，是指保障App基本功能服务正常运行所必需的个人信息，缺少该信息App即无法实现基本功能服务。”按照《必要规定》的文意解释，似乎“必要”就等于“必需”。

《基本要求》虽然仍然采用了《必要规定》的定义，但是通过引入《个人信息保护法》第六条的“相关”概念，将所有满足必要原则的信息称为“相关个人信息”，进一步厘清了“必需”与“必要” 的关系（但是《基本要求》图B.2的逻辑实在让人费解），即“相关个人信息”包括“必要个人信息”（实际就是必需的个人信息）和“非必要但有关联的个人信息”，后者可以基于“同意”事由收集（只不过，关联度与同意方式的强弱成反比），前者可以基于其他法定事由收集。只不过，考虑到商业模式的千差万别、千变万化，以及基于不同立场的合理期待和主观认知差异，如何确定“非必要但有关联”，《基本要求》并未给出具体的、可操作性的解决方案，仍然需要在个案中识别。基本业务功能和扩展业务功能的划分，既不符合互联网发展的商业逻辑也不具有可操作性，现实中真正困惑的其实不是“收集”环节，而是后续的“使用”环节。

此外，《个人信息保护法》第三十八条还规定，“个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的……”，我们理解，这里的“需要”应等同于前述“必要”之理解，而不是“必需”。只不过，不能用“收集”环节的必要去解释“跨境”环节的必要。

二、“不同意隐私政策就不能使用APP”合规吗

这个问题一直困扰着监管和司法机构，不同机构往往会给出截然相反的结论，近期淘宝、携程及腾讯的几个司法个案的判决结果也是大相径庭，这令企业合规实践非常困惑。

这个问题的实质，就是要理解隐私政策的功能实质，到底是“告知”功能，还是“同意”功能。如果仅仅是告知目的，即告知APP可能涉及哪些个人信息处理的场景、范围、方式及目的，如何保护个人信息，权利及权利救济方式等，显然是可以不确认就退出。但是，实际上很多APP的隐私政策同时还承载了“同意”功能，即APP自动收集的部分非必需的个人信息（例如设备信息、浏览记录等），实际上是缺乏其他的交互场景来获取同意的，因此只能通过隐私政策来获取用户的同意。

为了落地《必要规定》第四条规定的“App不得因为用户不同意提供非必要个人信息，而拒绝用户使用其基本功能服务”，《基本要求》给出的解决方案是，“显著区分必要和非必要个人信息”、“拆分APP的必要个人信息和非必要个人信息的同意”。因此，结合近期司法实践及监管要求，我们建议的最佳合规策略是：

（1）提炼APP的基本功能服务，在用户不同意一揽子隐私政策的情况下，尽量避免直接退出APP，而是通过H5、SDK等方式提供APP的简易功能，或者引导用户下载极简版或浏览网页版，以满足合规要求。

（2）在隐私政策中尽量区分必需个人信息和其他相关个人信息的处理目的、方式及范围等，对于一些非必需的个人信息收集，甚至可以“提级管理”到隐私政策的头部或弹窗摘要内容。

（3）强化隐私设计，叠加个人信息处理的具体交互场景，不仅要解决其他相关个人信息的收集同意合规问题，还要解决必需个人信息和其他相关个人信息的对外提供、跨境转移等环节的同意合规问题。

（4）尽量使用“游客模式”，克制会员注册及会员打通。

（5）宜在APP内设置便捷的拒绝或撤回非必需的其他相关个人信息的处理同意。

三、如何获取系统权限

大多数场景下，APP收集的个人信息是用户自行输入、选择或通过其他配合式提供，用户通常知情且具有合理的期待。但是，系统权限则具有隐蔽性、自动化等特征，因此应当以显著的方式充分保障用户的知情权和决定权。《基本要求》详细规定了权限申请、权限使用的合规要求，并通过附件形式罗列了一些常见权限的应用场景及可访问的个人信息类型。在此之前，《App违法违规收集使用个人信息行为认定方法》罗列了常见的系统权限违法违规行为，《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》明确禁止概括索权，TC260也发布了专门针对系统权限的行业实践指南《移动互联网应用程序（App）系统权限申请使用指南》，操作系统及互联网平台层面也规定了系统和接口权限获取的相关合规要求。

结合《基本要求》和行业实践，我们建议，APP获取具有个人信息处理功能的系统权限的最佳实践包括：

（1）“按需索权”，实际功能启动时且获得用户同意后才索权，不提前索权；

（2）权限的范围、类型、频次等粒度符合最小够用原则，例如粗略位置信息够用的，就不得调用精准位置信息；

（3）申请系统权限时，以准确、清晰的语言同步告知目的；

（4）一次索权用于多个目的的，应当提前准确告知，且应当遵从操作系统及平台相关管理要求；

（5）用户对APP的权限授权，效力不及于SDK；

（6）用户拒绝授权权限的，应当提供其他替代方案，例如拒绝提供定位权限的，应当允许用户手动输入地址信息；

（7）不随意变更权限,通过权限获取的个人信息不得用于告知目的之外的目的；

（8）权限持续调用时（尤其是APP后台静默时），应当以适当的方式告知用户调用状态（例如摄像、录音中等），并提醒用户注意；

（9）具体获取通讯录、传感器、相册、存储文件等权限的，还应当遵从《基本要求》推荐的其他合规要求；等等。

实际业务场景中，考虑到业务模式、技术路线和平台策略的差异性， APP开发或调整具有系统权限获取需求的模块、功能时，建议开展个人信息保护影响评估，以审查相关设置策略是否符合相关监管执法口径和测评机构意见，确保相关权限的获取及使用，符合合法、正当及必要原则，并将对个人权益的影响和安全风险降到最低，进而降低相关的合规风险。

四、 如何管理第三方SDK

第三方应用、插件及SDK（仅方便表述之目的，以下统称“第三方SDK”）一直是APP个人信息合规监管中的重点领域，工信部及各地通管局历次通报的违法违规案例中，几乎都涉及第三方SDK违规的问题。《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》明确要求宿主APP加强对第三方SDK的个人信息处理活动和信息安全风险进行管理监督。《基本要求》详细规定了第三方SDK等的合规要求。在此之前，《App违法违规收集使用个人信息行为认定方法》罗列了常见的SDK违法违规行为，TC260也发布了专门针对SDK管理的行业实践指南《移动互联网应用程序（App）使用软件开发工具包（SDK）安全指引》。

结合《基本要求》和行业实践，我们建议，APP使用具有个人信息处理功能的第三方SDK的最佳实践包括：

（1）接入第三方SDK前，应当审查第三方的业务资质及安全、合规能力，应当审计第三方SDK的安全性及合规性（或者要求第三方提供审计报告）；

（2）与第三方签署数据处理协议，明确双方相关权利义务及责任；

（3）通过双清单或隐私政策等形式，向用户明示第三方SDK提供者的名称、功能、收集的个人信息范围目的方式、获取的系统权限目的及范围，以及个人信息处理规则等内容；

（4）应当为用户提供自行关闭相关应用、插件及SDK的渠道和方式，保障用户拒绝及撤回同意的权利；

（5）应当定期审查第三方SDK及其更新版（含热更新）的安全性及合规性，动态监测第三方的业务资质及安全、合规能力等；

（6）用户主张个人信息更正、删除等权利的，及时通知相关的第三方SDK；

（7）合作终止后，及时下架、删除该等SDK；等等。

值得注意的是，不同的SDK应用场景，会对应《个人信息保护法》上共同处理（20条）、委托处理（21条）和对外提供（23条），不能一概而论SDK都是对外提供还是委托处理，具体要根据业务场景中的信息流、处理目的、双方地位、基础法律关系、交易文件等综合判断。

此外，《基本要求》首次明确，关联公司提供的应用、插件及SDK，也属于第三方，但是属于同一企业集团，且遵守同一套管理制度、统一进行安全和运维管理的，不属于第三方。若该观点成立，必将为多品牌经营的企业集团隔离法律风险与实现数据互通提供一条很好的解决路径。

五、基于安全、风控目的可以处理哪些个人信息

安全、风控目的收集用户的个人信息（设备信息、应用程序安装信息等），一直是APP运维的硬需求，是APP打击网络黑灰产、薅羊毛以及风控授信的重要策略。但是，立法和监管层面，显然对这种基本业务功能之外的非必要个人信息收集持谨慎态度。例如，《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》规定“不得以……风险控制等为由，强制要求用户同意超范围或者与服务场景无关的个人信息处理行为。”

实践中，对于基于安全、风控目的收集用户的设备信息、用用程序安装信息、通话记录等个人信息的，参照《基本要求》规定，我们建议的最佳合规策略如下：

（1）不应收集IMEI、IMSI、SN、MAC地址等唯一设备识别码，在遵从系统或平台规则，且经用户同意的情况下，可以收集IDFA、OAID、动态MAC等识别码；

（2）应当在隐私政策中单独说明收集的目的、方式及范围；

（3）使用第三方数据用于安全、风控等目的的，应当审查第三方数据来源的合法性；若涉及对外提供的，还应当审查对外提供的合规性；

（4）安全、风控等策略、算法尽量在用户端本地部署，相关数据尽量不上传至云端；

（5）基于安全、风控等目的收集的个人信息（例如设备信息、安装列表），未经用户同意，不得用于定向推送、用户画像、数据打通等营销目的；

（6）用户不同意提供个人信息的，应当提供替代的身份核验及风控识别途径，或者为用户提供APP的基本业务功能（例如H5、极简版或者引导使用网页版等）；

（7）原则上不得使用读取短信、通信录、通话记录的方式获取风控信息，除非由用户在充分知情的情况下主动触发，且还应当提供便捷的删除及撤回方式；

（8）基于安全、风控目的使用位置信息的，应当确保位置信息的精度必要及频率最小；

（9）基于网络安全等目的收集用户日志信息、实名信息的，还应当满足《网络安全法》等规定；

（10）若用户删除、注销后的个人信息用于安全、风控等目的（例如防止薅羊毛），应当开展个人信息安全影响评估；等等。

（未完待续）

一、如何获取有效的单独同意

二、如何区分委托处理还是对外提供

三、如何落地双清单四政策要求

四、如何保障用户的个人信息权利

五、自有官网下载APP注意事项