导言

2021年，数据合规领域大事频发。

立法上，我国数据立法全方位发力，法律体系架构初步搭建完成。顶层立法落地——《民法典》生效，《数据安全法》《个人信息保护法》先后实施并与《网络安全法》共同构成我国数据监管“三驾马车”；配套法律文件相继出台——《关键信息基础设施安全保护条例》正式实施，《网络交易管理办法》升级至《网络交易监督管理办法》，《网络安全审查办法》修订，《互联网信息服务算法推荐管理规定》《网络数据安全管理条例（征求意见稿）》《数据出境安全评估办法（征求意见稿）》发布，各类细则对上位法进行了衔接和补充；地方立法活跃——深圳和上海的数据条例发布并于2022年生效；汽车、金融、健康、工业和信息化领域聚焦特定行业，就若干重点问题作出规定……

司法上，全国首个涉数据纠纷专业合议庭在广州互联网法院挂牌成立；“人脸识别第一案”终审宣判，最高人民法院发布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》，加强对人脸信息的保护；“大数据杀熟”第一案审结；公诉机制介入个人信息权益保护，民事公益诉讼案件数量增长；大学生爬取并盗走某电商平台用户数据十几亿条，被判侵犯公民个人信息罪；全国首例非法获取地理信息数据刑事案终审裁判，三被告人犯非法获取计算机信息系统数据罪……

监管上，App专项治理继续深入，“大厂”App相继“上榜”；多家银行因侵犯客户个人信息权益被罚；智能网联车企事故频出，促使数据本地化和跨境监管措施加速落地；人脸技术滥用受到消费者质疑，监管部门出手整治；平台借算法助力扩张，也因“大数据杀熟”、“大数据剥削”、“信息茧房”、不正当竞争、垄断等诸多问题屡被约谈……

经济环境上，在全球经济持续数字化转型的背景下，我国“十四五”规划纲要提出加快数字化发展、建设数字中国的重要部署；数据要素市场化配置加速，北京、上海数据交易所揭牌成立，NFT形成数据价值确权、登记新模式，数字货币试点场景拓展、权益保护加强，数据资产化进程加快；元宇宙潮起，互联网科技巨头纷纷布局……

2021年无疑在数据合规领域发展史上划下了浓墨重彩的一笔，经济和技术的发展给数据合规带来更多机会，也提出更多问题、更大挑战。

作为 “必修课”，天达共和数据合规团队在每年年初会对上一年度数据合规领域的主要问题进行回顾和梳理，并对相关问题在新一年的发展趋势进行预测和分析，以借此与客户、同仁探讨、分享我们的观察和思考。今年，我们选取了一些有代表性的案例，希望以此为切入点，结合我们在实践中的经验，对App专项治理、人脸识别与AI合规、算法治理与反垄断、网络安全审查和数据安全、重点行业监管等几个在2021年备受关注的数据合规问题展开讨论，希望能够给企业了解和解决相关问题提供一些思路和启发。我们将以系列文章的形式在天达共和官方公众号平台陆续发布以上专业文章，敬请关注。

第一篇：从违规通报清单看App个人信息合规问题

2022年2月18日，工业和信息化部（下称“工信部”）发布了2022年第1批关于侵害用户权益行为的App通报清单。自工信部2019年12月发布第一批违规App通报清单以来，这已经是该部门发布的第21张此类清单。

随着智能手机的广泛普及，移动互联网应用程序（或称“移动智能终端应用软件”，下称“App”）正在引领着科技服务的新浪潮。一方面，种类繁多的App为我们提供了便捷、创新的服务，重塑了人们在数字时代的生活习惯与行为模式；而另一方面，伴随着App服务深度渗透到社会生活的各个角落，个人信息安全问题日益凸显。近年来，围绕App个人信息保护的立法及执法活动都处于相对活跃的状态，特别是自2021年11月1日《个人信息保护法》（下称“《个保法》”）正式生效后，个人信息保护已成为App产品生态链中被广泛讨论的重要话题。本文将重点回顾过去一年中App相关的重要立法与执法活动，并希望结合本团队的项目实务经验，帮助企业梳理App个人信息合规监管重点问题，从而对2022年的监管趋势进行展望。

一、App个人信息保护相关立法活动回顾

早在2016年，国家互联网信息办公室（下称“国家网信办”）即出台了首部专门针对App的部门规章《移动互联网应用程序信息服务管理规定》（下称“《管理规定》”），其中明确规定了App服务提供者应当“建立健全用户信息安全保护机制，收集、使用用户个人信息应当遵循合法、正当、必要的原则，明示收集使用信息的目的、方式和范围，并经用户同意”。

随后，工信部于2016年12月发布了《移动智能终端应用软件预置和分发管理暂行规定》，该规定于2017年7月1日生效，其中明确规定了未经明示且经用户同意，不得收集使用用户个人信息，同时要求生产企业和互联网信息服务提供者均应通过用户提示、企业网站等方式明示所提供App的信息，包括明确告知用户App收集、使用用户个人信息的内容、目的、方式和范围等。

2019年3月3日，App违法违规收集使用个人信息专项治理工作组发布了《App违法违规收集使用个人信息自评估指南》。2019年11月28日，国家网信办、工信部、公安部、国家市场监督管理总局（下称“市场监管总局”）联合发布了《App违法违规收集使用个人信息行为认定方法》（下称“《认定方法》”），其中明确了包括“未公开收集使用规则”“未明示收集使用个人信息的目的、方式和范围”“未经用户同意收集使用个人信息”“违反必要原则，收集与其提供的服务无关的个人信息”“未经同意向他人提供个人信息”“未按法律规定提供删除或更正个人信息功能”“未公布投诉、举报方式等信息”在内的六种App违法违规收集使用个人信息行为的认定规则。上述两个文件对于App服务提供者进行个人信息保护合规自查具有非常重要的参考价值。

进入2021年，各主管部门持续发力。4月26日工信部发布了《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》（下称“《暂行规定（征求意见稿）》”），明确了App开发运营者、App分发平台、App第三方服务提供者、移动智能终端生产企业、网络接入服务提供者等五类主体的个人信息保护义务。

5月1日，国家网信办、工信部、公安部、市场监管总局联合发布的《常见类型移动互联网应用程序必要个人信息范围规定》（下称“《常见App必要个人信息规定》”）正式实施，其中明确了地图导航、网络约车、即时通信、网络社区、网络支付等39类常见类型App的必要个人信息范围，进一步明确了App服务提供者在提供基本服务时所能够收集处理的必要个人信息范围。

2021年是个人信息立法的“大年”。《个保法》《数据安全法》《网络数据安全管理条例（征求意见稿）》（下称“《数安条例（征求意见稿）》”）等法律法规的相继出台，从更高位阶为App的个人信息保护工作提供了坚实依据与明确指导。

2022年1月5日，国家网信办发布了《移动互联网应用程序信息服务管理规定（征求意见稿）》（下称“《管理规定（征求意见稿）》”），并公开向社会公众征求意见。《管理规定（征求意见稿）》在《管理规定》的基础上，结合《个保法》《数据安全法》等新法新规的规定进一步细化要求：从事App个人信息处理活动“应当遵循合法、正当、必要和诚信原则，具有明确、合理的目的并公开处理规则，遵守必要个人信息范围的有关规定，规范个人信息处理活动，采取必要措施保障个人信息安全，不得以任何理由强制要求用户同意非必要的个人信息处理行为，不得因用户不同意提供非必要个人信息，而拒绝用户使用其基本功能服务”。另外，《管理规定（征求意见稿）》第十九条还特别强调了，App分发平台负有对申请上架和更新的App名称、图标、简介、信息服务、个人信息收集使用行为等进行审核的义务，发现存在数据安全风险隐患、违法违规收集使用个人信息行为的，或者损害个人、组织合法权益的，应当停止提供服务。

2022年2月16日，工信部发布《关于进一步规范移动智能终端应用软件预置行为的通告（征求意见稿）》，要求移动智能终端生产企业“确保除基本功能软件外的预置应用软件均可卸载，并提供安全便捷的卸载方式供用户选择”。

可以看到，App个人信息保护相关的立法活动始终处于活跃状态，随着《个保法》的正式生效，上层立法及后续配套规则的完善将为App个人信息保护提供更为明确的法律依据，同时也将对App个人信息保护合规义务的落实提出更高的要求。

二、2021年App专项治理活动回顾

1. 网信部门关于App违法违规收集个人信息情况的专项治理活动

2021年，国家网信办依据《网络安全法》《认定方法》《常见App必要个人信息规定》等法律和有关规定，组织对常见类型公众大量使用的部分App的个人信息收集使用情况进行检测，并针对检测结果通报要求涉及的App进行限期整改。期间共发布了4批《App违法违规收集使用个人信息情况的通报》，共涉及17类351款App。

与此同时，各地网信办根据《网络安全法》《数据安全法》《个保法》《认定方法》《常见App必要个人信息规定》等法律和有关规定多次围绕App违法违规收集个人信息的情况进行专项治理，浙江、黑龙江、海南、山东、天津等地的通报结果也通过网信办官方网站进行了发布。

此外，在2021年7月4日，国家网信办发布了关于下架某网络约车App的通报。通报中指出，经检测核实，该网络约车App及其多款关联App存在严重违法违规收集使用个人信息问题，依据《网络安全法》相关规定，国家网信办通知应用商店下架相关App，并要求相关运营者严格按照法律要求，参照国家有关标准，认真整改存在的问题，切实保障广大用户个人信息安全。由于该网络约车App境外上市等事件的持续发酵，该通报内容也吸引了资本市场及其他同业者的广泛关注。

2. 工信部门关于App侵害用户权益的专项治理活动

工信部自2019年10月31日发布《工业和信息化部关于开展App侵害用户权益专项整治工作的通知》开始，展开了密集的App侵害用户权益专项整治活动，重点对于“违规收集用户个人信息”“违规使用用户个人信息”“不合理索取用户权限”“为用户账号注销设置障碍”共四方面八类侵犯用户权益的行为进行检查，对其中存在侵害用户权益行为的App进行通报并要求其限期整改，逾期未整改的，工信部对其进行了下架通报处理。

此后，工信部于2020年7月22日再次发布《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》，重点强调了对软件工具开发包（SDK）提供者及应用分发平台的整治，并针对性明确了与上述整治对象相关的侵害用户权益的行为。

2021年，工信部发布《关于侵害用户权益行为的App通报》共8批次，其中包括了2021年2月通报的《关于违规调用麦克风、通讯录、相册等权限侵害用户权益行为的App通报》，涉及App共592款。此外针对包括超范围索取权限、过度手机个人信息、违规调用通讯录信息等重点问题。工信部在下半年开展了三批次的“回头看”专项通报，涉及App共121款。

对于经通报后未能限期完成整改的App，工信部2021年发布《关于下架侵害用户权益App名单的通报》共9批次，涉及App共526款。

截至2022年2月，该专项活动已累计发布《关于侵害用户权益行为的App通报》共21批，涉及被通报整改的App 1,000余款。除工信部外，2021年各地方通信局也不时在工信部官方网站发布区域内的App治理情况及检查结果通报。

3. 其他相关执法活动

与App相关的专项治理活动主要由工信部门与网信办集中开展，其他包括公安部“净网”行动在内的各项专项整治活动也有涉及。此外，各地检察机关以及公安机关在开展打击个人信息犯罪活动的过程中同时会对涉案App进行相应处理。

三、2021年工信部关于侵害用户权益行为的App专项整治重点内容

如前所述，虽然针对App的监管仍然维持“九龙治水”的多头共管格局，其中仍以作为互联网行业主管部门的工信部及其下属各级通信管理局开展的监管执法活动最为活跃。本文针对工信部2021年开展的关于App侵害用户权益行为专项治理活动中公开通报的信息进行了整理，以便统计并分析揭示出App专项治理活动中涉及到的个人信息保护重点问题。

1. 工信部通报中提及的App所涉侵害用户权益的问题包括“违规收集个人信息”“超范围收集个人信息”“强制、频繁、过度索取权限”“违规使用个人信息”“欺骗误导强迫用户”“欺骗误导用户下载App”“强制用户使用定向推送功能”“App频繁自启动和关联启动”“应用分发平台上的App信息明示不到位”“应用分发平台管理责任落实不到位”等。

2. 在被通报的问题中，个人信息保护相关问题占据极大比例，其中涉及违规或超范围收集个人信息的占通报问题总数的50%；违规使用个人信息占20%；强制、频繁、过度索取权限占9%；其他各种问题合计占21%。

四、App个人信息保护合规重点问题探讨

从2021年工信部App专项整治行动数据不难看出，个人信息保护问题已经成为App侵害用户权益的重灾区。随着近年个人信息保护立法的逐步完善，App服务提供者在观念上已逐渐实现了从“忽视个人信息保护”到“强调个人信息保护”的重要转变，特别是在2021年11月1日《个保法》正式生效后，个人信息保护已经成为所有App服务提供者不得不重点关注的核心议题。但从上述的专项治理活动数据可以看出，纵然App服务提供者对于个人信息保护的意识在逐步提升，但侵害用户个人信息权益的现象仍屡见不鲜。本文尽量通过将法律法规与实务经验相结合的方式，对App个人信息保护中的重点问题进行探讨，希望可以为企业提供关于App个人信息保护合规更加具象的参考。

1. 告知义务的履行

《个保法》第十七条 规定，个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知处理目的、处理方式，处理的个人信息种类、保存期限等必要事项，事项发生变更的，也应当将变更部分告知个人。

而对于App服务提供者以何种形式履行上述告知义务，《信息安全技术 个人信息安全规范》（GB/T 35273-2020）（下称“《个人信息安全规范》”）第5.4条注1明确提出，如产品或服务仅提供一项收集、使用个人信息的业务功能时，个人信息控制者可通过个人信息保护政策的形式，实现向个人信息主体的告知；产品或服务提供多项收集、使用个人信息的业务功能的，除个人信息保护政策外，个人信息控制者宜在实际开始收集特定个人信息时进行告知，以便个人信息主体在做出具体的授权同意前，能充分考虑对其的具体影响。

而关于App服务提供者履行告知义务的时点、方式以及具体内容，《个人信息安全规范》第5.5条注3 中进行了简要解释，《暂行规定（征求意见稿）》第六条在此基础上进一步明确，从事App个人信息处理活动的，“应当在App登录注册页面及App首次运行时，通过弹窗、文本链接及附件等简洁明显且易于访问的方式，向用户告知涵盖个人信息处理主体、处理目的、处理方式、处理类型、保存期限等内容的个人信息处理规则”。

在实际操作过程中，对于 《个人信息安全规范》第5.4条注1中的“仅提供一项收集、使用个人信息的业务功能”的内容存在理解上的差异，为数不少的App服务提供者担忧如果将业务功能拆分过细，则对于功能较为多元复杂的App而言，逐次告知的弹窗将极大影响客户的使用体验感，降低产品的市场竞争力。我们认为，对于“仅提供一项收集、使用个人信息的业务功能”的理解应当从业务功能的高度关联性出发，秉持着“基本功能集群化、扩展功能独立化”的原则，对于需要收集、使用个人信息的多项无法分割的具有高度关联性的业务功能，可以一并通过个人信息保护政策完成告知义务（需要单独告知的除外），对于其他具有着明显差异性的业务功能，则建议在通过个人信息政策进行一般性告知的同时，在实际开始收集特定个人信息之前再另行进行告知。从兼顾App的服务体验而言，与主要功能不存在高度关联性的扩展功能本身已偏离基本功能的服务目的，对于用户而言，即时告知既能提醒其关注个人信息收集处理行为对其的影响，也能提高其对扩展服务的关注度，同时降低“一揽子同意”导致的合规风险。

但值得注意的是，《认定方法》第二条关于“未明示收集使用个人信息的目的、方式和范围”的认定中，包括了“在申请打开可收集个人信息的权限，或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时，未同步告知用户其目的，或者目的不明确、难以理解”的行为。《暂行规定（征求意见稿）》第六条第（六）项规定，“处理种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等敏感个人信息的，应当对用户进行单独告知，取得用户同意后，方可处理敏感个人信息”。因此，在申请打开可收集个人信息的权限，或申请收集用户身份证号、银行账号、行踪轨迹等敏感个人信息时，需要采取单独告知的形式并征得用户的同意。

此外，根据《个保法》《认定方法》《暂行规定（征求意见稿）》的规定，个人信息保护政策从形式上应当易于阅读，避免出现文字过小过密、颜色过淡、模糊不清、未提供简体中文版、内容晦涩难懂、冗长繁琐、用户难以理解、使用大量专业术语等情形。而就告知内容而言，除了《个保法》第十七条规定的内容，《个保法》第二十三条 关于向第三方提供个人信息、第三十条 关于处理敏感个人信息、第三十九条 个人信息跨境提供等规定的特别告知内容应当在个人信息保护政策中进行体现。

2. 用户同意的取得

关于同意取得的形式，根据《个保法》第十三条 、第十四条 ，个人信息主体的同意作为个人信息处理合法性基础之一，应当由个人在充分知情的前提下自愿、明确作出。《认定方法》第三条第4项以及《暂行规定（征求意见稿）》第六条第（二）项均强调了同意的取得应当采取非默认勾选的方式，所谓“默认勾选”指在用户勾选前即已在勾选框提前设置了同意勾选的情况，明示同意应当要求用户主动进行勾选。此外，我们还建议应当在告知弹窗或勾选项中清晰地体现出“要求用户仔细阅读个人信息保护政策并同意App服务提供者按照个人信息保护政策的内容处理其个人信息”的意思表示。

但需要注意的是，根据《个保法》第二十三条向第三人提供个人信息、第二十五条 个人信息的公开、第二十九条 敏感个人信息的处理、第三十九条 个人信息跨境提供的处理情形，需要取得个人信息主体的单独同意。目前虽然对于单独同意的认识以及实践操作仍存在着较大分歧，很多App服务提供者依旧在平衡个人信息保护与用户体验感的问题上无法进行取舍，但我们仍建议在技术及用户体验允许的范围内，尽量采用弹窗、首次注册登陆时的勾选项或电子授权同意书等形式，通过逐项确认的方式实现单独同意。

3. 最小必要原则与目的限定原则的具体适用

《个保法》第五条 、第六条 确立了个人信息处理的最小必要原则与目的限定原则，这两个原则贯穿了个人信息的全生命周期。而对于如何把握其在实务操作中的适用存在一定难度。我们仅就App“超范围收集个人信息”问题从两个维度依次递进地阐述最小必要原则与目的限定原则的实际适用。

首先，对于如何判断App服务内容对应的所需处理的个人信息的必要范围，可以参考《常见App必要个人信息规定》，其中明确了必要个人信息是指保障App基本功能服务正常运行所必需的个人信息，缺少该信息App即无法实现基本功能服务。《常见App必要个人信息规定》列举了39类常见类型App的必要个人信息范围，对于App服务提供者来说具有重要参考价值。

其次，《个人信息安全规范》第5.3条 指出应当尊重用户对于多项业务功能的自主选择权，不应通过捆绑产品或服务各项业务功能的方式，要求个人信息主体一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求。

虽然绝大多数App通常会集成多种服务功能以实现为用户提供全方位体验的商业目的，但无论是在告知环节还是在取得同意阶段，我们仍建议App服务提供者将基础服务与扩展服务进行区分，分别明确各服务功能所必需收集的个人信息范围。当用户无需使用扩展服务时，应当保障其拒绝提供相应个人信息授权的权利。

需要重点提示的问题是，很多App通常仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，强制要求用户同意收集其个人信息。《个人信息安全规范》第5.3条第f）项、《认定方法》第四条第5项、《暂行规定（征求意见稿）》第七条第（六）项中均认为该行为违反了最小必要原则，侵害了用户的个人信息权益，但该行为在App中普遍存在，需要App服务提供者特别注意。

4. 其他问题

除了上述提及的问题外，关于App个人信息保护还存在着诸多问题，由于篇幅有限无法在此一一展开讨论。但需要提醒的是，《认定方法》中指出的包括“违反所声明的收集使用规则，收集使用个人信息”“实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围”“既未经用户同意，也未做匿名化处理，数据传输至App后台服务器后，向第三方提供其收集的个人信息”等问题，究其主要原因，绝大多数是由于App服务提供者的个人信息保护意识薄弱、内部合规管理体制存在漏洞造成的，这样的问题有可能涉及技术、产品、合规等多个部门，存在类似问题的App服务提供者，应当尽早进行个人信息保护合规差距分析与整改工作。

五、2022年App个人信息保护合规监管展望

2022年对App个人信息保护的监管仍将作为主管部门执法活动的重点内容，且执法监管将更为细致和深入。结合主管部门近期的执法活动来看，特别是2021年11月工信部开展的信息通信服务感知提升行动（即通常所说的“524”行动），以及我们在本篇开头部分提及的工信部2022年第1批关于侵害用户权益行为的App通报清单，除监管部门往年所关注的问题外，App内嵌的SDK等第三方接入产品对个人信息的收集情况，以及App已收集个人信息的使用情况（特别是对外共享）将成为2022年的监管重点。

另一方面，随着App用户数量的逐步稳定，众多成熟的App运营商都面临着增量市场转为存量市场的现实困境。App服务提供者在提升技术能力、创新服务类型的同时，更需要关注对用户个人信息的保护。在数据作为重要生产要素的时代，个人信息保护能力与合规水平也是一种核心竞争力。App个人信息保护合规问题对于企业防范风险和增强产品服务竞争力两个方面均有实际的重要意义。着眼今年的App监管重点问题，App服务提供者有必要对自身App使用SDK和共享个人信息的情况进行自查，尽早识别风险并有针对性地采取合规措施，从而降低违规风险，提升App产品的安全性和可靠性。