監管趨嚴，App經營者如何把控個人信息保護合規要點？

編者按隨著我國個人信息保護相關法規日益完善，監管部門對App的監管亦日益加強。App經營者應時刻關註相關法律法規的發展與變化，提升App個人信息保護合規水平，在保障用戶權益的前提下，讓App更好地服務於用戶。《互聯網法律評論》今日刊發特約專家劉新宇律師及團隊的壹篇文章，為APP經營者支招，從6個方面把控個人信息保護合規關鍵點。根據國家計算機網絡應急技術處理協調中心與中國網絡空間安全協會於2021年12月發布的《App違法違規收集使用個人信息監測分析報告》（以下簡稱“《報告》”），目前我國主流安卓應用商店在架App去重後總數為112萬款。應用安裝商城的信息展示界面顯示多款頭部App安裝次數超過100億次，可見，移動應用App已經成為人們日常生活中獲取移動互聯網服務的重要載體之壹。隨著App的發展，各類App收集的個人信息規模逐漸增大，相應的個人信息安全隱患也逐漸顯現。網信辦、工信部等各類監管機構關於違法違規收集個人信息App的通報接踵而至，APP運營者不僅面臨被相關部門約談、其所運營的App被下架等監管措施，還可能需要處理潛在負面輿情所帶來的麻煩。故App運營者有必要提高對App個人信息保護問題的重視程度。結合《中華人民***和國個人信息保護法》（以下簡稱“《個人信息保護法》”）《App違法違規收集使用個人信息行為認定方法》（以下簡稱“《認定方法》”）等相關法律法規規定，及監管部門在開展App個人信息保護合規工作的過程中發現的主要問題，筆者建議App運營者著重關註以下合規要點，以保證App合法合規。01告知個人信息主體處理行為並取得同意《個人信息保護法》第十七條規定個人信息處理者在處理個人信息前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人信息主體告知個人信息處理者的名稱或者姓名和聯系方式；個人信息的處理目的、處理方式，處理的個人信息種類、保存期限；個人信息主體行使本法規定權利的方式和程序等內容。就App而言，告知個人信息主體的義務通常是通過個人信息保護政策落實。實踐中，仍有個別企業並未制定個人信息保護政策。根據《報告》統計數據，2021年尚有6.7%的App沒有隱私政策，結合我國主流安卓應用商店在架App的總量，這壹數字仍相當可觀，此類App運營者應當及時針對該問題進行整改。同時，即使已經制定了個人信息保護政策，也不意味著所有問題就都迎刃而解，實踐中個人信息保護政策設置不規範的問題也是監管部門關註的重點。例如，《個人信息保護法》第十七條明確“個人信息處理者通過制定個人信息處理規則的方式告知第壹款規定事項的，處理規則應當公開，並且便於查閱和保存。”故App運營者不僅應當制定個人信息保護政策，而且還需要將其公開以便查閱，尤其不能設置查閱的障礙，否則可能違反上述規定。就“便於查閱和保存”的具體標準，App運營者可以參考《認定方法》的相關規定。根據《認定方法》，為避免個人信息保護政策難以訪問或難以閱讀，App運營者至少應當做到兩點：第壹，個人信息主體進入App主界面後，訪問到個人信息保護政策的操作不能多於四次點擊；第二，個人信息保護政策的文字不應當過小過密、顏色過淡、模糊不清，或存在未提供簡體中文版個人信息保護政策等情況。除前述形式上的問題外，在內容上，個人信息保護政策亦應當滿足《個人信息保護法》第十七條“以顯著方式、清晰易懂的語言真實、準確、完整地向個人信息主體告知”的要求。例如，實踐中有不少App運營者將其收集的個人信息種類與具體的使用方式及目的分拆進行列舉，並未建立起對應的關系。該方式看似同時說明了“個人信息的處理目的、處理方式，處理的個人信息種類”，但是個人信息主體通過閱讀這樣的個人信息保護政策，很有可能依舊無法知悉每項個人信息的具體用途。此類個人信息保護政策就存在違反前述《個人信息保護法》規定的風險。在完成告知個人信息主體的義務後，另壹項義務就是取得處理個人信息的合法性基礎，《個人信息保護法》第十三條規定了包括“取得個人的同意”在內的七項處理個人信息的合法性基礎。在實踐中，直接獲取個人信息主體的同意是各類App最常選擇的合法性基礎，即通過在個人信息主體首次使用App時主動彈窗提示個人信息主體閱讀個人信息保護政策並要求其勾選同意。但需要註意的是，在征求個人信息主體同意時應當避免采用默認勾選同意、登錄即代表同意等默示方式獲取個人信息主體同意，而應當確保個人信息主體以主動的行為完成“同意”的意思表示。然而，在部分情況下，App運營者亦可能存在較難獲取個人信息主體同意的情形，此時，App運營者可以考慮適用《個人信息保護法》第十三條規定的“為訂立、履行個人作為壹方當事人的合同所必需”等其他合法性基礎作為替代。02基於最小必要性處理個人信息《個人信息保護法》第六條規定“處理個人信息應當具有明確、合理的目的，並應當與處理目的直接相關，采取對個人權益影響最小的方式。收集個人信息，應當限於實現處理目的的最小範圍，不得過度收集個人信息。”故App在處理個人信息時不可以超出必要範圍，須註意，此處的範圍不僅是收集個人信息的類型，還包括收集的頻率、處理的方式。詳細而言，最小必要性主要體現在兩個方面：其壹是種類上的必要性，例如，天氣預報軟件收集用戶的地理位置信息對於實現其預報天氣的目的具有壹定的必要性，因為只有獲取該項信息才能更準確並針對性地提供當地的天氣情況預測。但如果天氣預報軟件（只有單壹的天氣預報功能）收集用戶的通訊錄信息就明顯不符合《個人信息保護法》的最小必要性原則，因為即使不收集通訊錄信息也不影響App為用戶提供天氣信息的預報服務，App運營者無法說明收集通訊錄信息對於實現這壹目的有何作用。第二是程度上的必要性，仍以前述天氣預報軟件為例，該軟件收集位置信息固然具有合理性，但是如果不對收集頻率加以控制，仍可能存在收集非必要信息的風險。例如無論用戶是否使用該款App，App都在後臺采集用戶的地理位置信息並不斷進行更新，這就明顯屬於違反最小必要性原則的處理行為。03合規處理敏感個人信息《個人信息保護法》第二十八條規定“敏感個人信息是壹旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。”例如，個人信息主體的人臉、指紋等信息都可能被認為是《個人信息保護法》下的敏感個人信息。在處理該部分個人信息時，App運營者須保證處理行為具有“特定的目的和充分的必要性”，且應當采取較之壹般個人信息更為嚴格的保護措施（例如進行去標識化處理、加密存儲等）。同時需要註意，依照《個人信息保護法》的規定，App運營者在處理敏感個人信息時，需要取得個人信息主體的單獨同意。實踐中，部分App運營者可能會要求個人信息主體通過點擊彈窗或者勾選單獨的敏感個人信息處理規則等方式作出單獨同意。鑒於“單獨同意”亦屬於“同意”的壹種形式，如個別場景下取得單獨同意存在困難或對用戶體驗的影響較大，App運營者亦可以考慮以《個人信息保護法》第十三條規定的其他合法性基礎替代“取得單獨同意”。04設置便捷的受理與處理機制《個人信息保護法》第五十條規定“個人信息處理者應當建立便捷的個人行使權利的受理和處理機制。拒絕個人行使權利的請求的，應當說明理由。”目前大多數App已經設置了此類機制，亦會公示註銷賬號的途徑。但是僅有紙面上的制度與流程並不能保證App運營者完全符合法律法規的要求，制度與流程本身是否“便捷”，在實踐中是否得到了落實與執行亦是值得關註的合規問題。在司法實踐中，部分法院亦認為，如果個人信息處理者面對個別用戶的權利請求未能及時予以響應，那麽即使其已經制訂了相對完整的受理與處理規則，也依然無法被認定為履行了《個人信息保護法》第五十條的義務。例如，App運營者以驗證個人信息主體身份真實性作為提出權利請求的前提，但是並未告知具體的驗證方式或渠道；或者公示了接受請求的電子郵箱，但是未及時查看用戶的請求內容等，均可能被法院或監管部門認定為未履行法定義務。在個人信息主體享有的各項權利中，對個人信息處理行為的知情權是壹項相當重要的權利，壹定程度上亦是行使其他權利的基礎。監管部門對此也頗為重視，2022年7月，上海市通信管理局決定，將重點檢查“在國內單壹應用市場內下載量/安裝量達500萬次以上的APP應用（含快應用和小程序等新應用形態）”，其中檢查的要點之壹就是App是否已經建立“雙清單”。“雙清單”源於2021年11月1日工信部發布的《關於開展信息通信服務感知提升行動的通知》，該通知要求相關企業建立“已收集個人信息清單”和“第三方***享個人信息清單”，簡潔、清晰列出App（包括內嵌第三方軟件工具開發包SDK）已經收集到/與第三方***享的用戶個人信息基本情況。基於此，筆者理解，App運營者除完成《個人信息保護法》規定的告知義務外，還應當按照“雙清單”的要求，向個人信息主體展示相關情況，以便個人信息主體了解App運營者對其個人信息的處理內容，及時主張權利。05關註SDK數據合規情況SDK通常是指SoftwareDevelopmentKit，即軟件開發工具包。簡單來看，它是輔助開發某壹類應用軟件的相關文檔、範例和工具的集合。對App來說，為了提高開發效率，可以將某項功能交給第三方來開發，第三方服務提供商將服務封裝為工具包（即SDK）供開發者使用。《認定方法》明確“未逐壹列出App（包括委托的第三方或嵌入的第三方代碼、插件）收集使用個人信息的目的、方式、範圍等”可被認定為“未明示收集使用個人信息的目的、方式和範圍”，屬於違規的個人信息處理行為，須承擔相應的法律責任。《移動互聯網應用程序個人信息保護管理暫行規定（征求意見稿）》第八條明確“使用第三方服務的，應當制定管理規則，明示App第三方服務提供者的名稱、功能、個人信息處理規則等內容；應與第三方服務提供者簽訂個人信息處理協議，明確雙方相關權利義務，並對第三方服務提供者的個人信息處理活動和信息安全風險進行管理監督；app開發運營者未盡到監督義務的，應當依法與第三方服務提供者承擔連帶責任。”雖然該規定暫時還未正式生效，但是如果App中含有侵害個人信息主體權益的SDK，亦可能使App運營者被由此引發的負面輿情所影響，進而損害商譽。在監管實踐中，工信部亦於近期對違規的SDK進行了多次通報，可見該問題亦屬於監管部門的關註重點。故SDK就像壹把“雙刃劍”，為了保證App運營者的自身權益，筆者建議App運營者全面梳理App已經接入的全部SDK，將接入的SDK收集使用個人信息的目的、方式、範圍寫入個人信息保護政策，以進行明示，並獲得個人信息主體的同意，對於媒體曝光和監管通報的存在問題的SDK，如己方App接入了該等SDK，根據問題的嚴重程度，及時采取要求該等SDK限期整改、停止使用等措施。06兒童個人信息保護App運營者對兒童個人信息的保護義務亦屬重中之重。根據《兒童個人信息網絡保護規定》第八條的規定“網絡運營者應當設置專門的兒童個人信息保護規則和用戶協議，並指定專人負責兒童個人信息保護。”筆者建議App運營者如處理兒童個人信息，則應當為兒童設置單獨的個人信息保護規則和用戶協議，同時，因《個人信息保護法》第二十八條規定不滿十四周歲未成年人的個人信息屬於敏感個人信息，因此個人信息處理者在處理該等個人信息前需要取得個人信息主體的監護人對此的單獨同意，並且應采取更為嚴格的保護措施，以保護兒童的個人信息，保障兒童人身安全，保護兒童的合法權益。在App運營過程中，App運營者，尤其是UGC（UserGeneratedContent，用戶生成內容）型App運營者通常會對用戶發布的內容添加標簽，以推薦給可能對某類內容感興趣的其他用戶，雖然此種情況在App運營中非常常見，但是需要註意的是，如果該內容涉及到兒童，則應當提前考慮相關風險，特別是此等方式是否會對兒童人身安全、生活安寧等造成潛在風險，甚至是導致個人信息被不法分子利用後，對兒童實施犯罪行為。除避免App中的兒童個人信息被“外部”的不法分子獲取外，App運營者“內部”的工作人員亦應當成為規範的對象。《兒童個人信息網絡保護規定》第十五條規定“網絡運營者對其工作人員應當以最小授權為原則，嚴格設定信息訪問權限，控制兒童個人信息知悉範圍。工作人員訪問兒童個人信息的，應當經過兒童個人信息保護負責人或者其授權的管理人員審批，記錄訪問情況，並采取技術措施，避免違法復制、下載兒童個人信息。”故App運營者不僅需要對兒童個人信息設置訪問控制制度，亦需要設置“兒童個人信息保護負責人”，對相關處理行為進行審批、記錄，以避免非必要的訪問，進壹步降低可能對兒童造成的風險。以上是筆者對App部分合規要點的簡單梳理，隨著我國個人信息保護相關法規日益完善，監管部門對App的監管亦日益加強，筆者建議App運營者時刻關註相關法律法規的發展與變化，提升App個人信息保護合規水平，在保障用戶權益的前提下，讓App更好地服務於用戶。