當前，我國各相關監(jiān)管部門對于APP隱私保護的合規(guī)監(jiān)管已建立了一套較為成熟的機制，有多個機構在日常工作中開展常態(tài)化的APP隱私保護檢查及執(zhí)法活動，執(zhí)法活動較為頻繁，覆蓋范圍較為廣泛。無論是否是互聯(lián)網平臺企業(yè)，只要企業(yè)有APP產品在應用平臺/商店中上架，都有可能成為檢查和執(zhí)法的目標。實踐中，每年都有多個APP被查，不少APP產品還會多次被查。可以看出，常態(tài)化執(zhí)法對企業(yè)提出了長期、持續(xù)性的合規(guī)要求，企業(yè)需要真正掌握APP隱私保護合規(guī)的底層要求、合規(guī)要點和執(zhí)法實踐情況，方能做到長效合規(guī)。

基于我們協(xié)助企業(yè)開展APP隱私保護合規(guī)自查、應對APP通報和調查的經驗，本文將梳理我國當前APP隱私保護合規(guī)監(jiān)管的主要部門及監(jiān)管流程、APP隱私保護合規(guī)監(jiān)管的重點內容，并為相關企業(yè)提供合規(guī)建議。

一、APP合規(guī)監(jiān)管現狀

1、APP隱私保護合規(guī)監(jiān)管的主要部門

目前，我國APP隱私保護合規(guī)監(jiān)管的主責部門包括工信部門和網信部門，其中工信部門是開展APP違規(guī)檢測及監(jiān)督通報的主要部門，網信部門則主要是作為個人信息保護工作的統(tǒng)籌協(xié)調部門持續(xù)開展針對APP的違規(guī)檢測行為。此外，APP專項治理工作組可對監(jiān)管部門的執(zhí)法工作提供建議；市場監(jiān)督管理部門則從消費者權益保護的角度對APP的隱私保護合規(guī)情況進行監(jiān)督。

?工信部門：基于工信部發(fā)布的多項互聯(lián)網行業(yè)信息與用戶個人信息保護的相關規(guī)定[1]，各地通管局持續(xù)開展“APP侵害用戶權益專項整治行動”，監(jiān)管對象包括APP（包括小程序等新應用形態(tài)）運營者、SDK提供者和應用分發(fā)平臺等多類企業(yè)。工信部門的APP隱私保護合規(guī)監(jiān)管行動尤為關注企業(yè)違規(guī)處理用戶個人信息的情形。

?網信部門：相較于工信部門，網信部門較少發(fā)布針對違規(guī)APP的通報，但其作為個人信息保護工作的統(tǒng)籌協(xié)調部門，也在持續(xù)開展針對APP的違規(guī)檢測及執(zhí)法行動，且其監(jiān)管行動相對更側重互聯(lián)網信息內容的監(jiān)督管理。其下屬單位中國網絡空間安全協(xié)會持續(xù)針對各類APP個人信息收集情況進行測試，并將測試結果公開發(fā)布。

?APP治理專項工作組：2019年1月，中央網信辦、工信部、公安部、市場監(jiān)管總局四部門聯(lián)合發(fā)布了《關于開展App違法違規(guī)收集使用個人信息專項治理的公告》。受四部門委托，全國信息安全標準化技術委員會、中國消費者協(xié)會、中國互聯(lián)網協(xié)會、中國網絡空間安全協(xié)會聯(lián)合成立APP專項治理工作組，負責對用戶數量大、與民眾生活密切相關的APP隱私政策和個人信息收集使用情況進行評估，輔助監(jiān)管機關對APP隱私保護合規(guī)治理和對個人信息保護進行有效監(jiān)管。

?市場監(jiān)督管理部門：市場監(jiān)督管理部門通常并不是APP隱私保護常規(guī)監(jiān)管的主責部門，但因為其職能包括監(jiān)管和保護市場交易秩序，包括市場交易活動中的消費者權益保護工作，因此其在監(jiān)管過程中也可能會從前述角度對APP的隱私保護合規(guī)情況進行抽查和監(jiān)督。例如，在我們過往的經驗中，曾遇到地方市場監(jiān)管部門將隱私政策作為一種格式文本而進行監(jiān)督、檢查并要求整改的情形。

2、APP隱私保護違規(guī)行為監(jiān)管流程

就APP違規(guī)行為的監(jiān)管流程而言，以定期發(fā)布違規(guī)檢測結果最為頻繁的工信部門為例，其已建立起一套較為成熟的監(jiān)管機制：

（1）工信部通管局通過APP專項治理工作組監(jiān)督、專有APP監(jiān)管平臺、用戶投訴/舉報等渠道，日常持續(xù)開展針對APP的個人信息處理違規(guī)檢測行為，對于首次檢查發(fā)現企業(yè)存在違規(guī)行為的，會單獨下發(fā)整改通知書，責令企業(yè)進行限期整改；

（2）如經整改仍存在違規(guī)行為，則通管局會將該企業(yè)納入存在侵害用戶權益行為APP企業(yè)的名單中并進行公開通報，責令企業(yè)二次整改；

（3）APP企業(yè)提交二次整改后，各地通管局經第三方檢測機構核查復檢，對于仍未完成整改的企業(yè)，將會通報對該APP采取下架處理或停止接入服務的措施，并可能將受到行政處罰的企業(yè)主體納入電信業(yè)務經營不良名單或失信名單。一旦下架，APP即便完成整改，也只能在至少40個工作日后才能恢復上架，因此如果出現這種情況，對企業(yè)經營將產生較大的影響。

二、APP隱私保護合規(guī)監(jiān)管重點內容

工信部公開通報存在侵害用戶權益行為的APP涉及的違規(guī)行為種類較多，其中，違規(guī)收集個人信息，超范圍收集個人信息，強制、頻繁、過度索取權限，以及欺騙誤導強迫用戶等是最為常見的侵犯用戶權益的違規(guī)行為。

根據工信部《關于開展縱深推進APP侵害用戶權益專項整治行動的通知》及四部委聯(lián)合發(fā)布的《App違法違規(guī)收集使用個人信息行為認定方法》等文件，以下是這幾種最為常見的APP違規(guī)行為的介紹及典型違規(guī)場景示例：

1、違規(guī)收集個人信息

此類違規(guī)行為包括APP在未告知用戶收集個人信息的目的、方式、范圍且未經用戶同意的情況下，私自收集用戶個人信息的行為。

?違規(guī)示例：某APP在用戶點擊確認隱私同意之前即通過技術手段收集用戶的設備信息。

2、超范圍收集個人信息

此類違規(guī)行為包括非服務所必需或無合理應用場景下，特別是在APP靜默狀態(tài)或后臺運行時，超出隱私政策所明示的范圍收集個人信息的行為。

?違規(guī)示例：某APP實際收集的個人信息范圍或打開的可收集個人信息權限超出了其隱私政策中所明示并獲得用戶授權的范圍。

3、APP強制、頻繁、過度索取權限

此類違規(guī)行為包括：（1）APP安裝、運行和使用相關功能時，非服務所必需或無合理應用場景下，用戶拒絕相關授權申請后，APP即自動退出或關閉；（2）在用戶明確拒絕權限申請后，頻繁彈窗、反復申請與當前服務場景無關的權限；（3）未及時明確告知用戶索取權限的目的和用途，提前申請超出其業(yè)務功能的權限。

?違規(guī)示例：某APP在用戶同意隱私政策之后，在沒有合理使用場景和特定業(yè)務功能，也未同步告知申請權限的目的和用途的情況下，立即申請使用用戶的攝像頭權限。

4、欺騙誤導強迫用戶

此類違規(guī)行為包括：（1）欺騙誤導用戶下載APP，特別是具有分發(fā)功能的移動應用程序欺騙誤導用戶非自愿下載APP的行為；（2）欺騙誤導用戶提供個人信息，例如在非服務所必需或無合理場景下，通過積分、獎勵、優(yōu)惠等方式欺騙誤導用戶提供身份證號碼以及個人生物特征信息的行為。

?違規(guī)示例：某APP通過其界面設置，引導用戶在非主動觸發(fā)跳轉的情況下，自動跳轉到第三方界面下載另一關聯(lián)APP。

5、隱私政策發(fā)布形式合規(guī)問題

在實際執(zhí)法活動中，監(jiān)管部門關注的問題除了上述隱私政策及收集、處理用戶個人信息的具體內容，還包括隱私政策的發(fā)布形式，關注點十分細致，以下是一些示例：

(1)隱私政策是否以單獨成文的形式發(fā)布；

(2)用戶在App界面中是否能夠通過彈窗、文本鏈接、常見問題（FAQs）等形式訪問隱私政策；

(3)App首次運行時，是否通過彈窗等明顯方式提示用戶閱讀隱私政策并獲取用戶授權；

(4)進入App主功能界面后，用戶是否通過4次以內的點擊，能夠訪問到隱私政策，且隱私政策鏈接位置突出、無遮擋；

(5)隱私政策文本是否易讀，包括語言清晰、易懂，文本顯示方式（字體、顏色、行間距等）利于用戶閱讀等等。

除了上述針對APP本身的違規(guī)行為監(jiān)管之外，我們也建議企業(yè)需要更加關注針對SDK（包括APP接入的第三方SDK）開展的違規(guī)行為檢測。在國家層面，自2022年第一批監(jiān)管通報開始，工信部已針對SDK違規(guī)收集用戶信息進行了專項檢測，并針對違規(guī)情形對外通報。近期發(fā)布的《網絡數據安全管理條例》也加強了對于第三方SDK合規(guī)監(jiān)管的要求，明確指出對于平臺所接入的第三方SDK違規(guī)和侵權的行為，平臺服務提供者與該第三方SDK提供方均要承擔相應責任。

三、企業(yè)合規(guī)建議

1、企業(yè)日常如何開展APP隱私保護合規(guī)工作

如前所述，監(jiān)管部門發(fā)布的整改通知與公告通常要求APP運營者在規(guī)定時間內完成整改，并可能對逾期不改或情節(jié)嚴重的APP采取公開曝光、暫停業(yè)務、下架等處罰措施，為企業(yè)帶來較高的整改工作壓力，并可能帶來法律風險和潛在的經濟損失。因此，做好APP隱私保護合規(guī)工作的重點在于“防患于未然”的日常合規(guī)工作。包括：

?相關企業(yè)（包括平臺企業(yè)和非平臺企業(yè)）應注重APP隱私保護合規(guī)自查，定期開展數據合規(guī)的專項“體檢”?；诟鞯貐^(qū)通管局公開通報中反映的執(zhí)法重點領域，對自身運營的APP進行自查；

?針對收集用戶數據規(guī)模較大、與日常生活關系密切的APP，企業(yè)在必要時可引入第三方技術檢測機構開展合規(guī)自測、引入專業(yè)律師進行隱私政策及界面設計等方面的專項合規(guī)核查；

?針對常見的APP隱私政策發(fā)布方式及內容要求、用戶授權同意方式、收集個人信息的最小必要原則等內容，企業(yè)應定期對相關部門人員（包括IT技術人員）開展法律法規(guī)方面的合規(guī)培訓，確保在產品設計及運營過程中嵌入合規(guī)要求。

2、企業(yè)如何開展APP通報整改工作

當企業(yè)收到監(jiān)管部門提出的整改要求時，應高度重視，迅速組織企業(yè)內部相關責任人按要求完成整改工作，避免因整改不及時、不到位而導致更加嚴重的違規(guī)后果?；谖覀儏f(xié)助企業(yè)應對APP監(jiān)管通報及進行合規(guī)整改的經驗，建議企業(yè)依據下述步驟開展具體應對工作。

（1）預估完成整改時限，與監(jiān)管部門進行溝通（如需）：

收到整改要求時，應立即組織包括業(yè)務、法務、IT在內的人員對整改工作所需完成時限進行合理預估。監(jiān)管部門通常會在其下發(fā)的整改通知中限定整改完成時間，但如果出于各類原因（如企業(yè)未及時收到整改通知、整改工作十分復雜等），企業(yè)可能難以在限定期限內完成工作的，則應當基于自身對工作內容、范圍和所需時限的合理預估，第一時間與監(jiān)管部門進行溝通；同時，應以最快的速度組織和響應相關整改工作，確保按時完成整改。

（2）對整改問題進行具體分析并部署對應整改人員/措施：

根據監(jiān)管部門提出的具體整改要求，企業(yè)應進行具體分析并部署對應的整改人員和整改措施。例如，針對隱私政策明示內容不合規(guī)、語言表述不準確等問題，應當由法務人員或律師對隱私政策的文本內容進行逐一修訂和完善；針對APP過度索取權限、超范圍收集信息等問題，應當由業(yè)務人員與IT人員配合，在技術層面對產品設計作出調整，同時由法務人員配合對隱私政策文本進行修改。

（3）采取措施對APP存在的問題進行整改：

明確各項整改措施后，建議企業(yè)通過整改清單等形式，追蹤相關人員的整改工作，分門別類落實整改要求。

（4）準備整改完畢后的書面匯報及證據材料并提交：

在整改工作全部完成后，應按照監(jiān)管部門提出的問題清單，逐一按格式答復整改的情況，包括但不限于清晰的文字描述和整改后的界面設計圖示，配以必要的證據材料等；必要時，企業(yè)還可說明已制定的合規(guī)制度，介紹后續(xù)將開展的合規(guī)提升工作等，以全面展示自身配合整改、持續(xù)合規(guī)的態(tài)度。

（5）引入第三方機構持續(xù)完善合規(guī)工作：

根據我們的經驗，在企業(yè)上市、開展特殊重大交易等情形下，企業(yè)通常會更加關注數據合規(guī)工作的落實情況。企業(yè)如果想要進一步提升自身的合規(guī)水平，查找并杜絕隱患，還可引入第三方技術檢測機構、法律顧問團隊，從技術和法律的角度全面進行風險點核查及提升APP隱私保護合規(guī)工作，以避免整改不到位或后續(xù)遭到進一步監(jiān)管甚至處罰措施的風險。

[注]?

[1] 具體包括：《規(guī)范互聯(lián)網信息服務市場秩序若干規(guī)定》（工業(yè)和信息化部令第20號）、《電信和互聯(lián)網用戶個人信息保護規(guī)定》（工業(yè)和信息化部令第24號）和《移動智能終端應用軟件預置和分發(fā)管理暫行規(guī)定》（工信部信管〔2016〕407號）等。