2022年，APP的用户信息保护与合规性

近日，网信办发布新修订的《移动互联网应用程序信息服务管理规定》，将于2022年8月1日起施行。国家互联网信息办公室有关负责人表示，修订发布新《规定》旨在进一步依法监管移动互联网应用程序，促进应用程序信息服务健康有序发展。

现如今，互联网的快速发展一方面让人们的生活更加便利，另一方面也让信息暴露越来越严重。因此，针对互联网产品的用户信息合规性和隐私协议也越来越规范和严格。尤其是近几年在移动应用产品的用户隐私安全方面更加重视。

从2019年开始，多部门就个人信息保护问题密集开展应用合规检查工作，认定方法、个人信息安全规范、164号文等标准规范相继出台，对用户规模大、问题反映集中的千余款APP经深度评估后进行了有效下架整改，无隐私政策、强制索权、无注销渠道等问题明显改善。

2021年，国内首部专门保护个人信息的法律《个人信息保护法》正式施行，实现了个人信息保护的法律化、统一化和精细化。

 图源：@同元

以上种种政策法规、标准等的发布施行，都体现了对用户信息保护和应用合规性的要求越来越严格，越来越细化。

那么，面对APP监管的越来越严格，开发者在APP合规上需要注意哪些方面呢？

是否过度索取权限/超范围收集信息

从工信部过往公布的APP的合规整治信息，我们发现APP的合规问题主要集中在“违规调用通讯录、位置权限”、“违规收集个人信息”、“超范围收集个人信息”等。APP开发者在权限申请、用户信息收集方面常常“踩雷”。

关于权限索取的合规要点，需要从使用场景出发。例如位置权限，除了地图导航、运动健身等部分服务类型的应用，其他大部分应用都没有使用“精确位置”的场景支持，只需要获取“大致位置”即可。

关于信息收集，违规风险在于“过度”“超范围”收集使用。对此，APP的合规做法应该是：明示收集使用个人信息的目的、方式和范围，并在APP应用内提供对应关闭功能。

这里要注意如果用户首次拒绝授权，不要影响用户的正常使用，而是告知用户某些功能由于未开启授权而功能受限，如何去开启授权，做友好引导而非强制授权。

关于数据合规，《个人信息保护法》就提出了个人信息保护的六大关键要求，这也对包括APP个人信息保护在内的各类数据合规提出了共性要求。

图源：@同元

 APP隐私政策制定是否合理合规

隐私政策是否合理合规，是衡量App个人信息处理是否合规的关键因素之一。

所谓的合理性是指APP运营商设置隐私政策条款时，不应设置不公平条款，例如规定免除己方责任，加重对方义务的条款。一旦隐私政策的条款内容过于强势极有可能陷入霸王条款，而面临隐私政策内容无效的局面。

那App开发者们如何制定一份完整且合理规范的《隐私政策》呢？

APP运营商设置隐私政策条款时，应包含以下内容：

• App开发者或运营者的基本情况，包括主体身份、联系方式；

• 处理个人信息的业务功能，以及各业务功能分别处理的个人信息类型。涉及个人敏感信息的，需明确标识或突出显示；

• 个人信息处理方式、存储期限、涉及数据出境情况等个人信息处理规则；

• 对外共享、转让、公开披露个人信息的目的，涉及的个人信息类型，接收个人信息的第三方类型，以及各自的安全和法律责任；

• 个人信息主体的权利和实现机制，如查询方法、更正方法、删除方法、注销账户的方法、撤回授权同意的方法、获取个人信息副本的方法、对信息系统自动决策结果进行投诉的方法等；

• 提供个人信息后可能存在的安全风险，及不提供个人信息可能产生的影响；

• 遵循的个人信息安全基本原则，具备的数据安全能力，以及采取的个人信息安全保护措施，必要时可公开数据安全和个人信息保护相关的合规证明；

• 处理个人信息主体询问、投诉的渠道和机制，以及外部纠纷解决机构及联络方式。

广告内容的合规审核机制

除了运营的合规，广告内容的合规也是重要一环。

根据当前APP产品的广告类型，媒体需要审核的广告内容包括图文、音频、视频、弹幕等。

在广告内容中，图文是审核工作中占比较大的部分，而随着移动互联网广告形式的不断发展，音频、视频类广告开始出现，并成为目前常见的广告形式，这些都是媒体广告审核的内容。

APP广告内容合规除了需要制定完善的审核机制，还需要注意一些较容易踩雷的内容、行业，如房地产、医疗广告、保健品等相关内容。

具体内容可查看以下文章：

《监管日趋严格，APP如何保证广告内容的合规？》

以上为AdBright整理的APP在合规性方面的经验分享，可能只涵盖了大部分合规性问题，希望对你有帮助！

参考资料：

《个保法实施后，APP如何做好个人信息保护》，个推

《APP个人信息保护六大关键要求》，同元

 *以上内容仅供参考，欢迎与AdBright交流，合作共赢。