為你的App加把信任鎖

近日，為鞏固治理成效，營造共同維護消費者權 益的良好環境，工業和信息化部開展了移動互聯網應用程序（App）侵害用戶權益整治「回頭看」，組織第三方檢測機構對違規推送彈窗信息、App過度索取權限等問題進行重點抽測，共發現38款App存在問題。問題包括，頻繁自啟動和關聯啟動、違規推送彈窗信息、欺騙誤導用戶提供個人信息、違規收集個人信息、強制用戶使用定向推送功能、超範圍收集個人信息、欺騙誤導強迫用戶、應用分發平台上的App信息明示不到位和App強制、頻繁、過度索取權限。其中映客直播、丁香醫生等在列，所涉問題為App強制、頻繁、過度索取權限。

隨着智能手機成為人們生活不可或缺的一部分，從新聞瀏覽、娛樂交際到移動支付，App已深入生活每個角落。同時，為保護消費者權益，對App的監管需求也不斷增加。

2019年3月15日，市場監管總局與中央網信辦聯合發佈《關於開展App安全認證工作的公告》。公告明確指出，為規範App收集、使用用戶信息特別是個人信息的行為，加強個人信息安全保護，根據《中華人民共和國網絡安全法》《中華人民共和國認證認可條例》，市場監管總局、中央網信辦決定建立App安全認證制度。

App安全認證的作用，在於規範市場，引導企業提供更合理的產品，維護消費者權益，併科學引導行業快速、穩健發展。在認證價值、企業指導、合規要點、法律責任等方面，值得App運營商認真遵守和應用。

App安全認證的價值

目前，我國的App安全認證由中國網絡安全審查技術與認證中心開展，經評價合格的產品需能夠滿足《GB/T35273-2020 信息安全技術 個人信息安全規範》對App收集、傳輸、存儲、處理、使用個人信息等活動的要求，可以充分保障用戶的個人信息安全。

App安全認證的價值體現在：認證權威可信，能夠實現長效管控。首先，開展App安全認證工作為維護用戶信息安全提供了保障。中國網絡安全審查技術與認證中心按照App運營商自願申請的原則，由認證機構依據相關國家標準對App收集、存儲、傳輸、處理、使用個人信息等活動進行評價，符合要求後頒發安全認證證書並允許使用認證標識。

其次，實施App安全認證制度，能夠長效管控App消費使用環境。安全認證過程中，認證機構對App運營商提出了嚴格要求，違反相關法律法規的App運營商不得申請認證；獲證App運營商應持續進行獲證後自評價，並配合認證機構的監督活動；如果獲證App運營者在認證過程中存在欺騙、隱瞞、違反承諾等不當行為，認證機構將對證書作出暫停處理，甚至撤銷認證。

最後，App安全認證具有約束力，將積極促進行業誠信規範建設，推動行業良性發展。

App安全認證對企業的作用

App安全認證對企業的作用體現在以下幾點：

一是獲得App安全認證證書，表明App符合《GB/T 35273-2020信息安全技術 個人信息安全規範》的要求，企業能獲得個人信息保護合規方面的權威證明，彰顯其保護個人信息數據的決心和實力。

二是App運營商在認證實施過程中，通過採取適當的技術與措施來提高數據合規能力，可以進一步規範App收集使用個人信息的行為，有助於提升其個人信息保護意識和能力。

三是獲證App運營商可以將App安全認證的證書在其網站、工作場所、宣傳資料中展示，應用商店也會明確標識並優先推薦通過認證的App；在用戶個人信息保護意識愈發強烈的今天，相較於競品，獲證App在用戶群體中有明顯的信任優勢。

App合規要點及建議

為幫助App運營商更好地理解個人信息收集、使用的合規要求，我們結合在實際檢測過程中發現的問題以及當前的監管趨勢，提出以下合規建議：

一是App運營商應首先明確劃分基本業務功能和擴展業務功能。根據《GB/T 41391-2020 移動互聯網應用程序（App）收集個人信息基本要求》，實現用戶主要使用目的的業務功能所屬的服務類型為該App的類型。服務類型依據《常見類型移動互聯網應用程序必要個人信息範圍規定》中給出的39種常見服務類型。如果App不屬於這39種常見服務類型，應將實現用戶主要使用目的的業務功能劃分為App的基本業務功能。

二是App運營商應進行內部自查。根據App的服務類型，梳理App運行過程中需要收集的和實際收集的個人信息範圍，判斷是否是必須收集的個人信息，不是必須收集的個人信息應按照以下原則收集：不能強制收集，如用戶不同意就不提供基本業務功能；用戶拒絕後，不能頻繁徵求用戶同意干擾用戶正常使用；應在相應功能觸發時才收集相應的個人信息，不能提前收集。

三是完善隱私政策的內容和告知形式。隱私政策中應明確告知App收集使用個人信息的業務場景、目的，採取適當的增強方式（如彈框提示）告知用戶；隱私政策更新時也應採取適當的方式告知用戶。

四是獲取用戶的授權同意，遵循以下幾點要求：用戶同意隱私政策前，不能收集用戶的任何信息；收集個人信息時應告知收集、使用的規則，並徵得用戶的同意，避免默認選擇同意等非明示方式；收集個人敏感信息時應徵得用戶明示同意，收集個人生物識別前，應單獨告知用戶並徵得用戶明示同意。

五是對未成年人提供特殊保護。應在隱私政策中明確收集使用未成年人（包括年滿14周歲和不滿14周歲）個人信息的使用規則；App服務類型屬於遊戲和教育等主要業務功能涉及收集未成年人信息的，應制定兒童個人信息保護政策，設置有效篩選條件判斷是否為未成年人。

六是避免過度收集信息。收集的個人信息類型應與實現產品或服務的業務功能有直接關聯；達到收集的「最低頻率」與「最少數量」的要求。

七是第三方收集管理。App接入第三方時，應滿足以下要求：隱私政策中明確列出第三方的身份信息、聯繫信息、收集的個人信息和目的；和第三方通過合同等形式明確雙方的安全責任和應實施的個人信息安全措施；對第三方進行持續的監督。

八是注意國外法律的適用。如果App跨國運營、使用，App運營商需遵從國外的法律法規。部分國外法律在個人信息定義與保護制度上與我國的法律政策有所不同，在某些領域對運營商提出了更加嚴格的要求。例如，在做出自動化個人決策和畫像時，歐盟地區運營商應告知被處理的個人信息的主體相關處理，給予個人信息主體便捷的人工干預或質疑的方法，並定期檢查確保自動化個人決策和畫像系統按照預定方式運行。

違法收集的法律責任

《App安全認證實施規則》明確指出，通過認證並不能免除獲證App運營商對獲證App承擔的法律責任。此處所指的法律責任在《中華人民共和國消費者權益保護法（2013年修正）》《中華人民共和國網絡安全法》《中華人民共和國刑法（2020年修正）》《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》等法律法規中均有體現。違法收集、使用或提供個人信息不僅可能導致民事責任或行政責任，還有可能導致刑事責任，並可能面臨最高7年有期徒刑的刑罰。

無論對App運營商還是用戶，App安全認證都有重要意義和作用。我們期望能有更多的企業通過認證，營造良好的App消費使用環境，建立規範化的收集、使用個人信息的行業生態，達到推動行業良性發展的作用。

作者為中國網絡安全審查技術與認證中心 信息產業信息安全測評中心 陳萍

來源：消費指南雜誌