5月16日，公安网安部门专项整治违法违规APP十大案例发布(原文https://www.mps.gov.cn/n2254098/n4904352/c7200720/content.html)。文中提到违规App一共386个，被代表的只有10个。

5月25日，App专项治理工作小组发布《APP违法违规 收集使用个人信息 专项治理报告 2019》，未公开收集使用规则、目的的，仍占最高比例。

这促使我们写这篇文章，从《App违法违规收集使用个人信息行为认定办法》（简称“认定办法”）角度，帮助App运营者提升抗击合规风险能力。

隐私政策合规检查清单

个人信息保护原则之一是：透明。透明地告知用户，当前App所收集的个人信息是用于什么功能，提供这些个人信息对用户带来的风险是什么，这些个人信息会共享或传输到哪些第三方等等。依据《App违法违规收集使用个人信息行为认定办法》，需要着重注意并且在隐私政策描述中查看是否出现了以下情况：

1、 隐私政策文本中的内容并未包含关于App收集和使用个人信息的规则。规则指

（1）隐私政策文本中未逐一列出App收集使用个人信息的目的、类型、收集方式等内容。可以制作表格清单，包括App功能、权限、个人信息类型、目的；

（2）共享个人信息和委托处理个人信息的第三方清单（包括嵌入的第三方代码、插件）。至少需要在隐私政策中列出①对外共享、转让、公开披露个人信息的目的；②涉及的个人信息类型；③接收方类型或身份；

2、 隐私政策文本中使用概述文字描述收集的个人信息类型，如：包括但不限于，例如，等；

3、 隐私政策未以单独成文的形式发布，作为用户协议、用户说明、或者在其他文件中存在的个人信息保护相关条款等文件中的一部分存在；

4、 隐私政策未说明App运营者的基本情况：公司名称、联系地址、个人信息保护联系方式；

5、 隐私政策文本中未明确政策更新日期；

6、 隐私政策文本中未显著标识个人敏感信息（字体加粗、标型号等）的，视为未对收集个人敏感信息进行充分告知；

7、 隐私政策文本中有关收集使用规则的内容晦涩难懂、冗长繁琐，用户难以理解，如使用大量专业术语等；

8、 隐私政策，未对个人信息的查询、更新、删除，注销以及用户撤回已同意授权等操作方法进行明确说明；

9、 隐私政策文本中未描述个人信息安全投诉、举报渠道；

10、 举报渠道不可用，如果是总机电话未提供个人信息保护分机；热线电话未提供菜单键；

11、 未说明个人信息存储期限、超期处理方式；

12、 未说明个人信息控制主体在个人信息保护方面所采取的措施和具备的能力，如身份鉴别、数据加密、访问控制、恶意代码防范、安全审计等；

13、 隐私政策存在免除自身责任内容；

14、 隐私政策存在加重用户责任内容；

15、 隐私政策存在排除用户主要权利内容；

16、 如使用Cookie等同类技术，隐私政策中是否存在对于Cookie等同类技术的描述；

17、 如果存在个人信息出境情况，隐私政策文本中未将出境个人信息类型逐项列出并显著标识（如字体加粗、标星号、下划线、斜体、颜色等）。若不存在个人信息出境情形，也需要说明；

18、 如使用定向推送、提升用户体验、用户画像等自动化决策功能，隐私政策文本中未明确说明关闭提供关闭选项。

为什么谈隐私政策合规？

造成这个问题的原因很多，法律法规不完善、监管缺失、企业未重视隐私保护、用户安全意识不强等等都是造成现状的原因。不过随着网安法以及相关法规标准的出台，监管部门加强监管力度，企业所需要付出的合规成本逐渐在增加，在这边背景之下，企业在向用户提供相关产品和服务时，必须要将个人信息合规实现纳入产品的设计、开发过程之中。

回到主题，我们以解决合规问题为目标，从最容易违规的也是最容易被忽视的隐私政策入手谈隐私政策合规的必要性。梆梆安全咨询统计了自2019年1月第一次通报以来，截至2020年5月的313次被通报App的通报原因，其中超过一半的公开通报与隐私政策相关。请见下方统计表：

图1 App被通报原因统计

大量App隐私政策不合规的现象，是因为企业长期不合规处理个人信息的衍生物。处理过程合规，自然有合规的隐私政策。

图2 各单位通报次数统计

个人信息处理违规的严重性

        当前公开的信息显示最严重的是对企业进行处罚，但依据《网络安全法》第六十四条 “没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。”

        没有在隐私政策中描述共享上述信息，或者没有征求用户同意，将上述个人信息共享给第三方，甚至可能触犯刑法，不论数据提供方还是接收方都存在同样的风险。

未来合规工作内容建议

最近一年连续出台的规范、标准、要求、指南较多。个人信息保护合规将是长期任务，我们汇总了当前个人信息保护需要遵从的相关法律法规标准及相关指南、方法，供企业参考。

国标、行标

1. GB/T 35273-2020《信息安全技术个人信息安全规范》

2. GB/T 34975-2017《信息安全技术 移动智能终端应用软件 安全技术要求和测试评价方法》

3. GB/T 22239-2019 《信息安全技术网络安全等级保护基本要求》

4. YD/T 2307-2011 《数字移动通信终端通用功能技术要求和测试方法》

5. GB/T 34978-2017《信息安全技术 移动智能终端个人信息保护技术要求》

6. 《信息安全技术 移动互联网应用（App）收集个人信息基本规范》(最新征求意见稿)

7. JRT0171-2020《个人金融信息保护技术规范》

指南、方法和规范

1.  互联网个人信息安全保护指南-公安部

2. 《App违法违规收集使用个人信息自评估指南》

3. 《信息安全技术 个人信息安全影响评估指南》

4.  《网络安全实践指南-移动互联应用基本业务功能必要信息规范》-信安标委

5.   App违法违规收集使用个人信息行为认定方法

6.《移动互联网应用程序（App）收集使用个人信息自评估指南》(征求意见稿)

监管要求

1. 《个人信息和重要数据出境安全评估办法-征求意见稿》

2.  关于开展APP侵害用户权益专项整治工作的通知 

我们也建议企业可以参考梆梆安全提供的合规治理建议，进一步提升业务的合规能力，实现持续合规的目标。