新規有哪些特點？對App相關企業而言，要特別注意在哪些方面做技術、法務、規程的調整和優化？

　　5月1日，國家四部委聯合制定的《常見類型移動互聯網應用程序必要個人信息范圍規定》（簡稱《規定》）將正式實施。

　　《規定》明確移動互聯網應用程序（App）運營者不得因用戶不同意收集非必要個人信息，而拒絕用戶使用App基本功能服務。《規定》要求各地各相關單位督促App運營者抓緊落實，并加強監督檢查，及時調查、處理違法違規收集使用個人信息行為，切實維護公民在網絡空間的合法權益。

　　新規有哪些特點？對App相關企業而言，要特別注意在哪些方面做技術、法務、規程的調整和優化？

　　中國網絡安全審查技術與認證中心高級工程師樊華為我們進行相關專業解答。

　　問：新規有哪些突出特點呢？

　　答：

　　一是《規定》第二條規定“App包括移動智能終端預置、下載安裝的應用軟件，基于應用軟件開放平臺接口開發的、用戶無需安裝即可使用的小程序”，首次將小程序明確納入App收集個人信息的監管范圍。《規定》中所說的“小程序”不僅僅指代微信小程序，還包括所有無需下載和安裝的輕應用、H5頁面等收集個人信息的軟件形態。這類小程序在提供服務時與App一樣收集了用戶個人信息，因此將其納入《規定》規范范圍。

　　二是《規定》按照基本功能服務分類以列舉的方式寫明39類App的必要信息，更加簡明、清楚直觀。采用描述性的語言概括基本功能服務，而非采用簡單的應用市場歸類形式，更便于App定位自身的功能服務。同時通過App基本功能服務的確認，為解決App功能捆綁的問題提供了思路。

　　《規定》中沒有對App申請的權限進行規制，一方面是由于同一權限可能對應多類個人信息，一旦用戶授權，無法對細粒度的個人信息進行控制；另一方面使用信息清單的形式，普通用戶更能清楚了解App收集了何種個人信息，對照《規定》能判斷是否存在違規情況，進而提高舉報準確率。

　　三是《規定》第三條明確必要個人信息范圍，即“具體是指消費側用戶個人信息，不包括服務供給側用戶個人信息。”此處首次根據App服務對象，將個人信息分為消費側個人信息和服務側個人信息。以網絡約車類App為例，按照此處說明，《規定》只涵蓋了打車用戶使用的App，而駕車司機使用的App則不受此《規定》的約束。

　　四是《規定》明確12類App無須個人信息，即可使用基本功能服務。一方面，此類App在使用基本功能服務時，無需區分用戶的身份，所以無須個人信息；另一方面，因“不打開與個人信息相關權限”是確保“不收集個人信息”的前提，且移動智能終端系統允許App申請的系統資源足夠大，故App無需因運行需要再申請額外公用系統資源。即不存在不打開相關權限就無法運行的說法。由此可見，無須個人信息，相關App也是可運行的。

　　問：針對《規定》，相關企業要從法務上做哪些應對、調整？

　　答：

　　《規定》第二條第一款明確“移動智能終端上運行的App存在收集用戶個人信息行為的，應當遵守本規定。法律、行政法規、部門規章和規范性文件另有規定的，依照其規定”，即不適用《規定》的特殊情形為“法律、行政法規、部門規章和規范性文件另有規定的”。對此，法務人員首先要梳理適用于本企業的法律、行政法規、部門規章和規范性文件，同時了解行業協會發布的各類要求是否具有與上述文件相同的效力，如果不具備，則不能作為此條的例外情形予以考慮。

　　除此之外，還應對照法律、行政法規、部門規章和規范性文件的要求，確認收集個人信息業務場景，根據App的業務，確認自身的基本功能服務及其對應的必要信息范圍，與業務人員溝通App的收集個人信息的必要時機，評估和調整業務邏輯、隱私政策、界面和彈窗設計等。例如，在某些與用戶個人經濟利益關系重大的特殊場景中，國家監管要求確認用戶真實身份，而此類個人信息只有用戶主動觸發此場景時才能申請，不能在用戶剛開始注冊時要求用戶提供。

　　同時，《規定》以一一列舉的形式明確了必要信息，法務工作者還需考慮本公司App產品的《隱私政策》是否需要調整；是否需要以對照《規定》的形式，對必要信息和非必要信息的收集和處理進行分別說明；是否有必要在相關條款中引入“等”、“可能”等模糊文字進行概括性描述。

　　問：企業要符合新規從應用程序技術層面采取哪些必要措施？

　　答：

　　對于開發人員，在編寫申請與個人信息相關權限，通過系統函數接口自動收集用戶個人信息代碼時，只能訪問《規定》里允許的信息，而不能收集該權限對應的其它個人信息；從代碼庫復制的代碼需審計其個人信息收集的情況，采用cookie技術時，所收集的個人信息也應遵循《規定》的要求。

　　對于安全合規人員，應重視出廠檢測工作。檢測基本功能服務收集的個人信息是否在《規定》范圍內，重點關注嵌入的第三方插件、代碼是否也遵循了《規定》的要求。

　　對于上層管理人員，要及早結合業務布局研究功能的去標識化、匿名化及隱私計算等個人信息保護技術，深挖數據潛能的同時，完善企業個人信息保護體系。

　　問：理解新規，一般可能出現哪些方面的誤解或者曲解？

　　答：

　　誤解一：《規定》只規制了App的基本功能服務，只要保證App不因為用戶不同意提供非必要個人信息，而拒絕用戶使用其基本功能服務，即合規。

　　對于功能服務單一的App是可以這么理解。對于提供了多種功能服務App，此時這種理解就過于片面。因為必要信息是根據功能服務需求、遵循合法、正當、必要的原則來確定的。對應于基本功能服務的必要信息，非基本功能服務也有其必要信息。即App亦不得因用戶不同意提供非基本功能服務的非必要個人信息，而拒絕用戶使用其非基本功能服務。

　　誤解二：《規定》僅列明了39種常見類型App的基本功能服務和必要個人信息范圍，對相對非常見的提供其他類功能服務的App暫無約束力。

　　39種常見類型App可能無法涵蓋所有App，并且隨著需求變化和技術發展可能會出現新的服務類型，可能會出現新的App類型。盡管如此，“合法、正當、必要”的收集原則是通用的，同時新服務類型App應參照39類中相近類型，審視現有功能服務收集的個人信息是否屬于必要個人信息。此外，具有新的基本功能服務的App，如其非基本功能服務屬于已規制的39類App范圍內，也必須遵守《規定》。

　　誤解三：確定了基本功能服務的App只能收集《規定》中明確的個人信息。

　　《規定》第三條明確“本規定所稱必要個人信息，是指保障App基本功能服務正常運行所必需的個人信息，缺少該信息App即無法實現基本功能服務。”按照此定義，必要個人信息是基本功能服務對應的最小集。《規定》并不禁止App收集所列舉的必要個人信息之外個人信息。我們知道，即使劃分為同類型的App，在實現其功能時也會有所差別，因此在功能確有需求時，在現行以同意為主要合法性基礎的法律框架下，可通過明示告知，征得用戶同意收集非必要的個人信息。

　　誤解四：《規定》里已列明的必要個人信息，無需征得用戶同意即可收集。

　　《網絡安全法》第四十一條，提出了“合法、正當、必要”收集原則，“明示規則、征得同意”的要求。因此即使完全符合《規定》要求，在收集前也需要告知用戶，取得用戶授權同意。

　　問：企業依照《規定》進行優化、整改會遇到哪些需要解決的問題？

　　答：

　　一是App基本服務功能和非基本服務功能的切分，需根據功能逐項征求用戶同意收集個人信息。對于提供單一功能服務的App，這種切分相對較容易，可以通過修訂隱私政策、信息收集的同意彈框設定等方式來達到上述要求。而對于提供多類功能服務的App，可能需重新設計其業務邏輯，整合各條業務線，調整界面和彈窗等，對企業內部而言是一項不小的挑戰。

　　二是對于同時擁有兩個或多個主要功能服務的App而言，確定哪個功能服務為基本功能服務有一定的難度。事實上，市場上也存在大部分用戶會同時使用某App兩個以上的功能服務，這就涉及企業戰略定位等更上層的問題。《規定》實施在即，是否備出足夠的時間，進行優化調整，企業需要下功夫。

　　問：企業怎樣理解個人信息保護的企業主體責任？

　　答：

　　技術層面看，企業是收集個人信息的主體，是個人信息的控制者，在收集某類個人信息前，應確認是否遵循“合法、正當、必要”的原則。企業在存儲、傳輸、委托處理等個人信息處理的全生命周期里負有安全管理的主要責任，未經個人信息主體同意不得收集其個人信息，不得向他人提供其個人信息；同時企業是用戶個人信息主體權益的主要履責人，應向個人信息主體明示個人信息處理規則，保障其選擇同意的權利，及時響應個人信息主體對其個人信息相關的查閱、復制、刪除、更正、補充等的請求，并提供撤回同意、注銷賬戶、投訴的途徑。

　　其次，企業是保障用戶個人信息安全的直接負責人，應具備與所面臨的安全風險相匹配的安全能力，并采取足夠的管理措施和技術手段，保護個人信息的機密性、完整性、可用性，并對其個人信息活動對個人信息主體合法權益造成的損害承擔責任。

　　問：針對個人信息保護的強監管，企業應該有怎樣的意識；在機制設置和業務流程上，怎樣做才能確保合規？

　　答：

　　2018年歐盟GDPR開始生效以來，加強個人信息保護的呼聲越來越高。我國除國家層面已發布的法律法規、標準規范，多個行業部門也提出了適用于本行業要求。過去，在信息技術飛速發展的過程中，個人信息監管始終處于空白狀態，如今國家對個人信息監管日漸加強，企業難免會有不適應感，這是一個必經的過程。在數字經濟時代，大數據是資源、能源的觀點越來越被更多人認可，究其原因，企業通過算法將數據資源充分挖掘，釋放了其巨大的生產能力。但同時，企業應該意識到，數據的開發利用不僅帶來了利潤，同時帶來了“大數據殺熟”“信息繭房”等用戶反映強烈，甚至影響國家安全的問題。在發展與安全之間找到平衡之道，是現在互聯網信息服務行業首要且必須嚴肅思考的問題。為了獲取高額利益而瘋狂榨取用戶個人信息價值，甚至侵犯隱私，最終一定會帶給產品和用戶重度傷害；對個人信息的保護不僅不會為業務增長帶來困擾，還會成為用戶評價服務優劣的重要參數。廣大企業只有深切認識并認同上述理念，個人信息保護之路才會走得好，業務發展才走得遠。

　　個人信息保護與傳統網絡安全有所不同，它是跨專業的一門學科。要做到合規，企業既需法律背景的法務人員，還需要了解業務的安全人員，要找到一條適合企業個人信息保護的最佳實踐之路關鍵是二者要充分溝通、合作。而現在大部分企業中，法律、安全、業務分屬于不同部門，企業應著力讓個人信息工作鏈上所有的員工深刻意識到這項工作的互補性和依賴性，打通部門之間的壁壘，搭建溝通交流渠道，建立效果評價機制，設置專門保障崗位，通力合作架構內部個人信息合規體系。

　　具體來說，一是要重視法律法規和標準規范要求。法律法規的要求是個人信息收集使用的基線，標準規范為個人信息保護指明了實踐的方向。App運營者可積極探索落實法律法規要求與企業產品實現相結合的最佳實踐。

　　二是關注監管重點和媒體熱議問題。監管部門重點關注、媒體熱議問題通常也是網民關心和與網民利益關系密切的問題，App運營者應掌握監管動向，了解監管真實意圖，有的放矢、實質性地推進企業收集使用個人信息的合規化。

　　三是加強宣傳教育和制度建設工作。App運營者需明確組織內部個人信息保護職責和崗位，加強宣傳交流，強化合規意識，規范企業個人信息收集使用流程，建立企業內部的個人信息保護機制，從產品設計、流程開發各環節貫徹個人信息保護的要求，形成能促進產品和服務不斷優化、提升的長效和良性機制。

　　四是布局和推進與業務相結合的隱私計算。App運營者應大力研究隱私計算技術，不斷引入新的業務場景、新的法規要求，以達成隱私數據“可用不可見”等，既實現業務目標，又能更好保障用戶個人信息。