App生命周期治理数据合规整体解决方案

2022年2月18日，工信部通报2022年第一批侵害用户权益的App。通报称我部近期组织第三方检测机构对移动互联网应用程序(App)进行检查，截至目前，尚有107款App未完成整改。同时，检测过程中发现，13款内嵌第三方软件开发工具包（SDK）存在违规收集用户设备信息的行为。这已经是工信部公布的第21批违规App名单。随着相关法律规制的完善，App数据合规时代已经到来。

一、

App数据合规生命周期治理背景

为全面推进网络空间法治化建设，完善网络安全法配套规定和标准体系，我国已经初步搭建起以《数据安全法》《个人信息保护法》《网络安全法》《民法典》为动静脉，以《关键信息基础设施安全保护条例》等数据和个人信息保护的部门规章、国家标准、行业标准为毛细血管的数据治理法律体系。国务院最新制定的《“十四五”数字经济发展规划》，也明确提出健全完善数字经济治理体系和着力强化数字经济安全体系，推进数字经济法治化建设。

App数据合规运营正面临越来越强的监管要求，所以对于App运营主体来说，数据合规方面合规问题将是未来一项重要的工作，亟需一整套的合规解决方案辅助企业做好数据合规的整改，实现App的合规运营。

二、二、

App数据合规生命周期治理面临的问题

2022年1月26日，市场监管总局、国家标准委联合发布的《信息安全技术 移动互联网应用程序 (App)生命周期安全管理指南》（征求意见稿），对于App的生命周期给出了详细的界定，上述文件支持App的生命周期主要包含七个阶段:需求分析阶段、开发设计阶段、测试验证阶段、上架发布阶段、 安装运行阶段、更新维护阶段和终止运营阶段，七个阶段都可能面临各种不同的安全风险，需要在App 生命周期中对每个阶段进行安全分析与安全管理。

侵害用户权益的分类及风险描述

侵害用户权益分类 (包括但不限于以下分类)

风险描述

私自收集个人信息

App未明确告知收集使用个人信息的目的、方式和范围并获得用户同意前，收集用户个 人信息。

超范围收集个人信息

App收集个人信息，非服务所必需或无合理应用场景，超范围或超频次收集个人信息，如通讯录、位置、身份证、人脸等。

私自共享给第三方

App未经用户同意与其他应用共享、使用用户个人信息，如设备识别信息、商品浏览记 录、搜索使用习惯、常用软件应用列表等。

强制用户使用

定向推送功能

App未向用户告知，或未以显著方式标示，将收集到的用户搜索、浏览记录、使用习惯等个人信息，用于定向推送或精准营销，且未提供关闭该功能的选项。

不给权限不让用

App安装和运行时，向用户索取与当前服务场景无关的权限，用户拒绝授权后，应用退 出或关闭。

频繁申请权限

App在用户明确拒绝权限申请后，频繁申请开启通讯录、定位、短信、录音、相机等与 当前服务场景无关的权限，骚扰用户。

过度索取权限

App在用户未使用相关功能或服务时，提前申请开启通讯录、定位、短信、录音、相机 等权限，或超出其业务功能或服务外，申请通讯录、定位、短信、录音、相机等权 限。

账号注销难

App未向用户提供账号注销服务，或为注销服务设置不合理的障碍。

设置障碍、频繁骚扰用户

App强制、频繁、过度索取权限，App频繁自启动和关联启动。

欺骗误导用户

欺骗误导用户下载App，欺骗误导用户提供个人信息。

移动应用分发平台责任

落实不到位

移动应用分发平台上的App信息明示不到位，应用分发平台管理责任落实不到位。

其他风险行为

包括但不限于:生成、复制、发布的内容中存在违法信息或不良信息的行为，使用无支付牌照的支付平台、支付渠道、参与非法洗钱过程的行为，使用诱导、欺诈、迷惑、操纵等方式对用户实施资金诈骗的行为，或通过加密数据方式向用户勒索钱财的行为等。

2020年度App个人信息违规问题分类统计

来源：广东省通信管理局《广东省移动智能终端应用程序（App）2020安全白皮书》

《移动应用（App）个人信息保护白皮书》OPPO德勤

App数据合规面临的核心问题就是数据安全问题和对个人信息保护的问题。针对以上问题，可以围绕App生命周期的七个阶段从两个方面展开合规工作，第一从技术角度给予App数据安全的运营环境，第二从数据合规体系制度建设角度给予App数据合规合规的制度保障生态。

就第一方面工作，主要紧紧围绕App生命周期通过技术手段保障数据的安全。2019年5月13日，网络安全等级保护制度2.0标准正式发布，同时这些标准将于12月1日正式实施。App是等保2.0的的规制对象，故可以通过对接等保2.0的相关规定对App技术安全进行评测。大致可以通过App漏扫、App安全技术加固等措施提高App的安全性能。目前市面上，有不少科技技术公司为App治理提供上述方面的技术保障。

三、二、

App数据合规解决方案

（一）数据盘点

通过开展数据盘点，厘清、清洗、整理和完善企业相关业务活动所产生的数据库、文件文档、字段代码等数据，同时将数据进行标签化和构建目录，提升数据可读性和可用性。从而为企业的科学决策和服务提升构建一个良好的数据中台，为企业的数据合规管理和网络安全打好基石。进行数据盘点主要分为以下几步：

1. 数据收集

根据企业部门划分或数据范围制定《数据盘点收集表》，从而规范统一数据基本信息，便于构建数据标签化和构建目录。数据收集的主体可由企业数据合规部门、行政部门、技术部门以及外部律师或技术团队构成，数据收集时应当遵循合法、全面、真实、动态的原则。依据数据盘点收集表，将收集工具和具体的业务部门进行链接，并指定1-3名人员进行配合，主要采集对象包括系统数据库、文件文档、字段代码等。

2. 数据识别

根据数据分类分级具体要求以及企业实际情况，将原始数据进行识别；原始数据包含大量无意义数据，比如：空白文件、错误代码、文件副本、部分过程性文件等，应对其进行识别和过滤；可以通过技术手段进行过滤，同时通过人工识别将其中涉及到法律法规和指南标准规定的数据内容进行有效识别，从而进行判断是否可以收集。同时应当注意，数据之间的合法性、关联性和有用性，保留注释信息、含义解读等。

3. 数据标签

根据数据的各类原始数据信息和数据内容，进行深度剖析数据的各类特征，例如数据的法定分类、业务属性、安全等级、数据来源等进行标签化处理。从而帮助企业从法律视角、安全视角以及管理视角等维度立体化合规管理数据。

4. 数据目录

根据数据的分类分级以及标签化处理后，将数据统一编制数据目录并规范编号，可结合企业情况建立数据资产目录。同时需要将数据目录的编辑、修改、访问、下载等权限进行设置。目录构建完毕后应进行穿透测试和评估，可聘请外部律师团队和技术团队针对数据目录的进行测试评估，以保障数据目录的合法性以及正常运营。

（二）数据分类分级

在数据清单的基础上，企业应建立数据分类分级管理制度，数据分类分级的对象通常是数据项、数据集，针对不同类别、级别的数据进行不同的权限设置，从而达到针对性的管理与保护。建议企业从以下几个方面考虑分类分级的方法：

法律依据

《数据安全法》第二十一条国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。

关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。

各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。

分类

根据不同维度进行分类：

（1）行业维度层面：

按照数据处理涉及的行业领域，将数据分为工业数据、电信数据、金融数据、交通数据、自然资源数据、卫生健康数据、教育数据、科技数据等，其他行业领域可参考GB/T4754—2017《国民经济行业分类》。

目前可供参考的数据分类分级的文件有：《证券期货业数据分类分级指引》《信息安全技术数据安全能力成熟度模型》《工业数据分类分级指南（试行）》《金融数据安全数据安全分级指南》《中国移动大数据安全管控分类分级实施指南》等。

（2）数据处理层面：

根据《个人信息保护法》第四条：个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。建议企业根据数据的整个生命周期进行分类，从数据处理的真实场景中，将数据分类工作同步进行。

分级

充分参考国家标准、实践指南等文件，将分级细化，根据《网络安全标准实践指南—网络数据分类分级指引》可将数据分为以下几个级别：

（1）重要数据

一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据。

（2）核心数据

即国家核心数据，是指关系国家安全、国民经济命脉、重要民生、重大公共利益等的数据。

（3）一般数据

一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能对个人、组织合法权益造成危害，但不会危害国家安全、公共利益的数据。

（三）App收集信息的权限

1. 根据《个人信息保护法》第五条：处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。第六条处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。

2. 2019年11月28日，国家互联网信息办公室、工业和信息化部、公安部、市场监管总局联合制定了《App违法违规收集使用个人信息行为认定方法》。具体内容总结如下：

未公开收集使用规则

1.在App中没有隐私政策，或者隐私政策中没有收集使用个人信息规则；

2.在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；

3.隐私政策等收集使用规则难以访问，如进入App主界面后，需多于4次点击等操作才能访问到；

4.隐私政策等收集使用规则难以阅读，如文字过小过密、颜色过淡、模糊不清，或未提供简体中文版等。

未明示收集使用个人信息的目的、方式和范围

1.未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等；

2.收集使用个人信息的目的、方式、范围发生变化时，未以适当方式通知用户，适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等；

3.在申请打开可收集个人信息的权限，或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时，未同步告知用户其目的，或者目的不明确、难以理解；

4.有关收集使用规则的内容晦涩难懂、冗长繁琐，用户难以理解，如使用大量专业术语等。

未经用户同意收集使用个人信息

1.征得用户同意前就开始收集个人信息或打开可收集个人信息的权限；

2.用户明确表示不同意后，仍收集个人信息或打开可收集个人信息的权限，或频繁征求用户同意、干扰用户正常使用；

3.实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围；

4.以默认选择同意隐私政策等非明示方式征求用户同意；

5.未经用户同意更改其设置的可收集个人信息权限状态，如App更新时自动将用户设置的权限恢复到默认状态；

6.利用用户个人信息和算法定向推送信息，未提供非定向推送信息的选项；

7.以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限，如故意欺瞒、掩饰收集使用个人信息的真实目的；

8.未向用户提供撤回同意收集个人信息的途径、方式；

9.违反其所声明的收集使用规则，收集使用个人信息。

违反必要原则，收集与其提供的服务无关的个人信息

1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关；

2.因用户不同意收集非必要个人信息或打开非必要权限，拒绝提供业务功能；

3.App新增业务功能申请收集的个人信息超出用户原有同意范围，若用户不同意，则拒绝提供原有业务功能，新增业务功能取代原有业务功能的除外；

4.收集个人信息的频度等超出业务功能实际需要；

5.仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，强制要求用户同意收集个人信息；

6.要求用户一次性同意打开多个可收集个人信息的权限，用户不同意则无法使用。

未经同意向他人提供个人信息

1.既未经用户同意，也未做匿名化处理，App客户端直接向第三方提供个人信息，包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息；

2.既未经用户同意，也未做匿名化处理，数据传输至App后台服务器后，向第三方提供其收集的个人信息；

3.App接入第三方应用，未经用户同意，向第三方应用提供个人信息。

未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息

1.未提供有效的更正、删除个人信息及注销用户账号功能；

2.为更正、删除个人信息或注销用户账号设置不必要或不合理条件；

3.虽提供了更正、删除个人信息及注销用户账号功能，但未及时响应用户相应操作，需人工处理的，未在承诺时限内（承诺时限不得超过15个工作日，无承诺时限的，以15个工作日为限）完成核查和处理；

4.更正、删除个人信息或注销用户账号等用户操作已执行完毕，但App后台并未完成的；

5.未建立并公布个人信息安全投诉、举报渠道，或未在承诺时限内（承诺时限不得超过15个工作日，无承诺时限的，以15个工作日为限）受理并处理的。

3. 国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合制定了《常见类型移动互联网应用程序必要个人信息范围规定》并自2021年5月1日起施行，明确移动互联网应用程序（App）运营者不得因用户不同意收集非必要个人信息，而拒绝用户使用App基本功能服务。包括了地图导航类、网络约车类、即时通信类、网络社区类、网络支付类等39类App。

类型

基本功能服务

必要个人信息范围

地图导航类

定位和导航

位置信息、出发地、到达地

网络约车类

网络预约出租汽车服务、巡游出租汽车电召服务

1.注册用户移动电话号码；

2.乘车人出发地、到达地、位置信息、行踪轨迹；

3.支付时间、支付金额、支付渠道等支付信息（网络预约出租汽车服务）。

即时通信类

提供文字、图片、语音、视频等网络即时通信服务

1.注册用户移动电话号码；

2.账号信息：账号、即时通信联系人账号列表。

网络社区类

博客、论坛、社区等话题讨论、信息分享和关注互动

注册用户移动电话号码

网络支付类

网络支付、提现、转账等功能

1.注册用户移动电话号码；

2.注册用户姓名、证件类型和号码、证件有效期限、银行卡号码。

网上购物类

购买商品

1.注册用户移动电话号码；

2.收货人姓名（名称）、地址、联系电话；

3.支付时间、支付金额、支付渠道等支付信息。

餐饮外卖类

餐饮购买及外送

1.注册用户移动电话号码；

2.收货人姓名（名称）、地址、联系电话；

3.支付时间、支付金额、支付渠道等支付信息。

邮件快件寄递类

信件、包裹、印刷品等物品寄递服务

1.寄件人姓名、证件类型和号码等身份信息；

2.寄件人地址、联系电话；

3.收件人姓名（名称）、地址、联系电话；

4.寄递物品的名称、性质、数量。

交通票务类

交通相关的票务服务及行程管理（如票务购买、改签、退票、行程管理等）

1.注册用户移动电话号码；

2.旅客姓名、证件类型和号码、旅客类型。旅客类型通常包括儿童、成人、学生等；

3.旅客出发地、目的地、出发时间、车次/船次/航班号、席别/舱位等级、座位号（如有）、车牌号及车牌颜色（ETC服务)；

4.支付时间、支付金额、支付渠道等支付信息。

婚恋相亲类

婚恋相亲

1.注册用户移动电话号码；

2.婚恋相亲人的性别、年龄、婚姻状况。

求职招聘类

求职招聘信息交换

1.注册用户移动电话号码；

2.求职者提供的简历。

网络借贷类

通过互联网平台实现的用于消费、日常生产经营周转等的个人申贷服务

1.注册用户移动电话号码；

2.借款人姓名、证件类型和号码、证件有效期限、银行卡号码。

房屋租售类

个人房源信息发布、房屋出租或买卖

1.注册用户移动电话号码；

2.房源基本信息：房屋地址、面积/户型、期望售价或租金。

二手车交易类

二手车买卖信息交换

1.注册用户移动电话号码；

2.购买方姓名、证件类型和号码；

3.出售方姓名、证件类型和号码、车辆行驶证号、车辆识别号码。

问诊挂号类

在线咨询问诊、预约挂号

1.注册用户移动电话号码；

2.挂号时需提供患者姓名、证件类型和号码、预约挂号的医院和科室；

3.问诊时需提供病情描述。

旅游服务类

旅游服务产品信息的发布与订购

1.注册用户移动电话号码；

2.出行人旅游目的地、旅游时间；

3.出行人姓名、证件类型和号码、联系方式。

酒店服务类

酒店预订

1.注册用户移动电话号码；

2.住宿人姓名和联系方式、入住和退房时间、入住酒店名称。

网络游戏类

提供网络游戏产品和服务

注册用户移动电话号码

学习教育类

在线辅导、网络课堂等

注册用户移动电话号码

本地生活类

家政维修、家居装修、二手闲置物品交易等日常生活服务

注册用户移动电话号码

女性健康类

女性经期管理、备孕育儿、美容美体等健康管理服务

无须个人信息，即可使用基本功能服务

用车服务类

共享单车、共享汽车、租赁汽车等服务

1.注册用户移动电话号码；

2.使用共享汽车、租赁汽车服务用户的证件类型和号码，驾驶证件信息；

3.支付时间、支付金额、支付渠道等支付信息；

4.使用共享单车、分时租赁汽车服务用户的位置信息。

投资理财类

股票、期货、基金、债券等相关投资理财服务

1.注册用户移动电话号码；

2.投资理财用户姓名、证件类型和号码、证件有效期限、证件影印件；

3.投资理财用户资金账户、银行卡号码或支付账号。

手机银行类

通过手机等移动智能终端设备进行银行账户管理、信息查询、转账汇款等服务

1.注册用户移动电话号码；

2.用户姓名、证件类型和号码、证件有效期限、证件影印件、银行卡号码、银行预留移动电话号码；

3.转账时需提供收款人姓名、银行卡号码、开户银行信息。

邮箱云盘类

邮箱、云盘等

注册用户移动电话号码

远程会议类

通过网络提供音频或视频会议

注册用户移动电话号码

网络直播类

向公众持续提供实时视频、音频、图文等形式信息浏览服务

基本功能服务为“向公众持续提供实时视频、音频、图文等形式信息浏览服务”，无须个人信息，即可使用基本功能服务。

在线影音类

影视、音乐搜索和播放

无须个人信息，即可使用基本功能服务

短视频类

不超过一定时长的视频搜索、播放

无须个人信息，即可使用基本功能服务

新闻资讯类

新闻资讯的浏览、搜索

无须个人信息，即可使用基本功能服务

运动健身类

运动健身训练

无须个人信息，即可使用基本功能服务

浏览器类

浏览互联网信息资源

无须个人信息，即可使用基本功能服务

输入法类

文字、符号等输入

无须个人信息，即可使用基本功能服务

安全管理类

查杀病毒、清理恶意插件、修复漏洞等

无须个人信息，即可使用基本功能服务

电子图书类

电子图书搜索、阅读

无须个人信息，即可使用基本功能服务

拍摄美化类

拍摄、美颜、滤镜等

无须个人信息，即可使用基本功能服务

应用商店类

App搜索、下载

无须个人信息，即可使用基本功能服务

实用工具类

日历、天气、词典翻译、计算器、遥控器、手电筒、指南针、时钟闹钟、文件传输、文件管理、壁纸铃声、截图录屏、录音、文档处理、智能家居助手、星座性格测试等

无须个人信息，即可使用基本功能服务

演出票务类

演出购票

1.注册用户移动电话号码；

2.观演场次、座位号（如有）；

3.支付时间、支付金额、支付渠道等支付信息。

（四）告知同意规则

告知同意规则由告知规则与同意规则组成。首先要明确真实的进行告知，在个人充分知情同意的前提下，自愿、明确地作出的。

1.告知义务的产生

依据

具体内容

《民法典》

第一千零三十五条第一款

处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；（二）公开处理信息的规则；（三）明示处理信息的目的、方式和范围；（四）不违反法律、行政法规的规定和双方的约定。

《网络安全法》

第二十二条第三款

网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。

《个人信息保护法》

第十四条

基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。

个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。

《信息安全技术规范个人信息安全规范》（GB/T35273-2020）

第5.4条

收集个人信息，应向个人信息主体告知收集、使用个人信息的目的、方式和范围等规则。

2.告知内容

依据

具体内容

《个人信息保护法》

第十七条、二十二条、二十三条、三十九条等

①个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：

（一）个人信息处理者的名称或者姓名和联系方式；

（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；

（三）个人行使本法规定权利的方式和程序；

（四）法律、行政法规规定应当告知的其他事项。

前款规定事项发生变更的，应当将变更部分告知个人。

②个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的，应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。

③个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。

④个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。

《儿童个人信息网络保护规定》

第十条

网络运营者征得同意时，应当同时提供拒绝选项，并明确告知以下事项：⑴收集、存储、使用、转移、披露儿童个人信息的目的、方式和范围；⑵儿童个人信息存储的地点、期限和到期后的处理方式；⑶儿童个人信息的安全保障措施；⑷拒绝的后果；⑸投诉、举报的渠道和方式；⑹更正、删除儿童个人信息的途径和方法；⑺其他应当告知的事项。

（五）自动化决策规则

1.法定要求

《个人信息保护法》第二十四条个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。

通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

2.具体内涵

自动化决策规则常见的场景表现为：大数据杀熟、个性化广告、自动决策处罚等；自动化决策是指利用算法是利用计算机的算法根据个人信息自动进行决策；自动化决策将会给企业带来法律风险，决策的合法性、公平公正性难以保障，稍有不慎将会面临法律处罚。以携程为例，法院判决携程赔偿客户未完全赔付的差价及订房差价三倍支付赔偿携程赔付订房差价及三倍支付赔偿金，且要求携程应在其运营的携程旅行App中为用户增加不同意其现有“服务协议”和“隐私政策”仍可继续使用的选项，或者为用户修订携程旅行App的“服务协议”和“隐私政策”，去除对用户非必要信息采集和使用的相关内容，修订版本需经法院审定同意。

（六）敏感个人信息处理

1. 法定要求

依据

条款

主要内容

《个人信息保护法》

第二十八条

敏感个人信息一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。

第二十九条

处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。

第三十条

个人信息处理者处理敏感个人信息的，除本法第十七条第一款规定的事项外，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响；依照本法规定可以不向个人告知的除外。

第三十一条

个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。

个人信息处理者处理不满十四周岁未成年人个人信息的，应当制定专门的个人信息处理规则。

《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》

将非法获取、出售、提供行踪轨迹信息、通信内容、征信信息、财产信息等敏感个人信息的行为规定为侵犯公民个人信息罪的“严重情节”。

2. 核心要点

由于敏感个人信息与自然人的人身利益和财产利益有着密切联系，故此针对个人敏感信息的处理是对企业的一大考验。基于《个人信息保护法》的规定，处理敏感个人信息必须遵循必要性原则，并限于实现特定处理目的的最小范围和最短期限，采用对个人权益影响最小的方式。企业常常进行全面收集并超出合理的使用范围进行使用，对于敏感信息与其他信息混同且缺乏保护措施，侵害了个人对其敏感信息的知情权、处分权等。

（七）数据跨境

1.《数据安全法》

第二十四条国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。

2.《个人信息保护法》

规则

具体要求

条款

条件（满足其中之一）

（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；

（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；

（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；

（四）法律、行政法规或者国家网信部门规定的其他条件。

第三十八条

告知

应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。

第三十九条

特殊主体

关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。

第四十条

禁止性规定

境外的组织、个人从事侵害中华人民共和国公民的个人信息权益，或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的，国家网信部门可以将其列入限制或者禁止个人信息提供清单，予以公告，并采取限制或者禁止向其提供个人信息等措施。

第四十二条

（八）隐私政策的完整性

根据《App违法违规收集使用个人信息行为认定方法》《App违法违规收集使用个人信息自评估指南》等，关于隐私政策部分总结如下：

序号

核心要点

1

在App中没有隐私政策，或者隐私政策中没有收集使用个人信息规则

2

是否公开隐私政策等收集使用规则

3

是否提示用户阅读隐私政策等收集使用规则

4

隐私政策等收集使用规则是否易于访问，如进入App主界面后，需多于4次点击等操作才能访问到

5

隐私政策等收集使用规则是否易于阅读，如文字过小过密、颜色过淡、模糊不清，或未提供简体中文版等

6

在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则

7

隐私政策未完整列举其收集、使用的用户信息或运营者超出隐私政策所列范围收集、使用用户信息

8

隐私政策中未提供用户投诉、申诉、反馈渠道（一般投诉渠道有：电子邮件、电话、在线客服等方式）

（九）构建制度化合规体系

序号

制度

依据

主要内容

1

全流程数据安全管理制度

《数据安全法》

第二十七条

开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度。

2

个人信息安全影响评估制度

《个人信息保护法》

第五十五条

有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：

（一）处理敏感个人信息；

（二）利用个人信息进行自动化决策；

（三）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；

（四）向境外提供个人信息；

（五）其他对个人权益有重大影响的个人信息处理活动。

《个人信息安全影响评估指南》（GB/T39335-2020）

开展相关评估并留存相关记录，评估点应至少包括但不限于以下内容：

是否向用户说明了自动化决策的基本原理或运行机制；

是否定期对自动化决策的效果进行评价；

是否对自动化决策使用的数据源、算法等持续优化；

是否向用户提供针对自动化决策结果的投诉渠道；

是否支持对自动化决策结果的人工复核。

3

个人信息的跨境传输安全审查制度

《网络安全法》

第三十七条

关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当存储在境内。如需出境应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。

《数据安全法》

第三十一条

关键信息基础设施的运营者在中国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。

《个人信息保护法》第三十八条

个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列一项条件之一：（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；（四）法律、行政法规或者国家网信部门规定的其他条件。中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

4

人员管理与

培训制度

《数据安全法》

第二十七条

开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训。

企业应针对企业相关人员，邀请内外部专家开展培训活动，充分了解法律规定、技术标准、操作流程、权限内容等，并同时评估相关制度制定的合法性和完善性，以及制度和操作规程是否在组织范围内得到有效执行。

5

个人信息保护合规审计制度

《个人信息保护法》

第五十四条

个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。第六十四条履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈，或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施，进行整改，消除隐患。

《关于推进个人信息保护合规审计的若干建议》

在个人信息保护合规审计中，审计机构以独立的第三方视角，依据法律、行政法规等对个人信息处理者的个人信息处理活动进行评价和监督，揭示管理和控制等方面存在的不足，提升个人信息处理者的个人信息保护水平，降低合规风险。

6

突发事件

处理制度

《数据安全法》

第二十三条

国家建立数据安全应急处置机制。发生数据安全事件，有关主管部门应当依法启动应急预案，采取相应的应急处置措施，防止危害扩大，消除安全隐患，并及时向社会发布与公众有关的警示信息。

《个人信息保护法》

第五十七条

发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项：

（一）发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害；

（二）个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施；

（三）个人信息处理者的联系方式。

个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的，个人信息处理者可以不通知个人；履行个人信息保护职责的部门认为可能造成危害的，有权要求个人信息处理者通知个人。

在现实中，数据泄露、篡改、丢失等突发事件时有发生，主要原因集中在企业对于数据的安全保护不到位所致。在此之前企业应筛选出薄弱环节，遵照法律规定，通过技术和管理制度进行完善，并定期进行演练；当面临突发事件时，企业首先应立即采取补救措施；并向监管部门和个人信息主体进行通知，若措施有效并没有造成对个人信息主体的危害的，可以不通知个人，但是要通知监管部门；最后，需要进行技术和制度清查，补好技术和制度的漏洞。

7

安全技术

更新制度

《网络安全法》

第十条

建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。

企业应不断更新网络安全技术，保障网络安全、计算机环境安全、应用和数据安全等基础安全控制措施，从而避免个人信息泄露、篡改、丢失等。建立安全技术更新制度，进行攻击测试和应急演练，积极开发网络数据安全保护和利用技术，推动技术创新，提升网络安全保护水平。

附全文PDF：

引 用

【1】《信息安全技术 移动互联网应用程序 (App)生命周期安全管理指南》（征求意见稿）

【2】车伟 赵申《供电企业数据盘点与数据目录构建研究》载《机电信息》2019年第36期

【3】程啸 《论个人信息处理者的告知义务》，载《上海政法学院学报（法治论丛）》2021年第5期

【4】杨立新、赵鑫：《利用个人信息自动化决策的知情同意规则及保障——以个性化广告为视角解读<个人信息保护法>第24条规定》，载《法律适用》2021年第10期

【5】《大数据杀熟，携程被判退一赔三！》，载微信公众号“人民法院报”2021年7月1日

·北京策略律师事务所数据合规项目组

策略数据合规项目组在数据合规及个人信息保护领域拥有丰富的人才储备和实践经验。截止目前，项目组拥有通过EXIN（国际信息科学考试协会）DPO认证的律师12名，通过EXIN ISO27001认证的律师2名。

项目组由律师事务所执行主任庞理鹏律师领衔，庞理鹏律师是国内较早从事数据合规和个人信息保护的律师，在该领域具有很高的知名度和影响力。项目组律师和顾问背景多元，既包括曾在跨国集团担任法务的公司律师，也包括世界500强企业尤其是高科技企业的产品经理、技术经理。项目组大部分律师精通该领域的国内外法律和实践，是企业在中国及全球业务运营中的可靠商业伙伴。

·律师介绍

庞理鹏

策略律所数据合规项目组负责人

北京策略律师事务所党支部书记、执行主任；

中国信息通信研究院个人信息保护合规审计推进小组成员；

国际信息科学考试学会（EXIN）数据保护官（DPO）&信息安全官、（ISO）双认证律师、并担任该考试协会数据保护官（DPO）授权培训讲师；

北海国际仲裁院仲裁员；

北京多元调解发展促进会策略区块链与数字经济争议调解中心负责人

孙亮

策略律所数据合规项目组成员

清华大学法律硕士；

曾在法院系统具有近七年的民商事、行政、执行审判实践经验；

参与多个国家级科研项目并公开发表多篇专业文章；

近年来专注数据合规方面法律研究和实践应用

特别声明：以上仅代表笔者个人观点，不代表策略律师及策略律师事务所出具的任何形式之法律意见。如有意向就相关议题进一步交流探讨，欢迎与本所联系！