新規(guī)有哪些特點？對App相關(guān)企業(yè)而言，要特別注意在哪些方面做技術(shù)、法務(wù)、規(guī)程的調(diào)整和優(yōu)化？

　　5月1日，國家四部委聯(lián)合制定的《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》（簡稱《規(guī)定》）將正式實施。

　　《規(guī)定》明確移動互聯(lián)網(wǎng)應(yīng)用程序（App）運營者不得因用戶不同意收集非必要個人信息，而拒絕用戶使用App基本功能服務(wù)?！兑?guī)定》要求各地各相關(guān)單位督促App運營者抓緊落實，并加強監(jiān)督檢查，及時調(diào)查、處理違法違規(guī)收集使用個人信息行為，切實維護公民在網(wǎng)絡(luò)空間的合法權(quán)益。

　　新規(guī)有哪些特點？對App相關(guān)企業(yè)而言，要特別注意在哪些方面做技術(shù)、法務(wù)、規(guī)程的調(diào)整和優(yōu)化？

　　中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心高級工程師樊華為我們進行相關(guān)專業(yè)解答。

　　問：新規(guī)有哪些突出特點呢？

　　答：

　　一是《規(guī)定》第二條規(guī)定“App包括移動智能終端預(yù)置、下載安裝的應(yīng)用軟件，基于應(yīng)用軟件開放平臺接口開發(fā)的、用戶無需安裝即可使用的小程序”，首次將小程序明確納入App收集個人信息的監(jiān)管范圍?！兑?guī)定》中所說的“小程序”不僅僅指代微信小程序，還包括所有無需下載和安裝的輕應(yīng)用、H5頁面等收集個人信息的軟件形態(tài)。這類小程序在提供服務(wù)時與App一樣收集了用戶個人信息，因此將其納入《規(guī)定》規(guī)范范圍。

　　二是《規(guī)定》按照基本功能服務(wù)分類以列舉的方式寫明39類App的必要信息，更加簡明、清楚直觀。采用描述性的語言概括基本功能服務(wù)，而非采用簡單的應(yīng)用市場歸類形式，更便于App定位自身的功能服務(wù)。同時通過App基本功能服務(wù)的確認(rèn)，為解決App功能捆綁的問題提供了思路。

　　《規(guī)定》中沒有對App申請的權(quán)限進行規(guī)制，一方面是由于同一權(quán)限可能對應(yīng)多類個人信息，一旦用戶授權(quán)，無法對細(xì)粒度的個人信息進行控制；另一方面使用信息清單的形式，普通用戶更能清楚了解App收集了何種個人信息，對照《規(guī)定》能判斷是否存在違規(guī)情況，進而提高舉報準(zhǔn)確率。

　　三是《規(guī)定》第三條明確必要個人信息范圍，即“具體是指消費側(cè)用戶個人信息，不包括服務(wù)供給側(cè)用戶個人信息。”此處首次根據(jù)App服務(wù)對象，將個人信息分為消費側(cè)個人信息和服務(wù)側(cè)個人信息。以網(wǎng)絡(luò)約車類App為例，按照此處說明，《規(guī)定》只涵蓋了打車用戶使用的App，而駕車司機使用的App則不受此《規(guī)定》的約束。

　　四是《規(guī)定》明確12類App無須個人信息，即可使用基本功能服務(wù)。一方面，此類App在使用基本功能服務(wù)時，無需區(qū)分用戶的身份，所以無須個人信息；另一方面，因“不打開與個人信息相關(guān)權(quán)限”是確?！安皇占瘋€人信息”的前提，且移動智能終端系統(tǒng)允許App申請的系統(tǒng)資源足夠大，故App無需因運行需要再申請額外公用系統(tǒng)資源。即不存在不打開相關(guān)權(quán)限就無法運行的說法。由此可見，無須個人信息，相關(guān)App也是可運行的。

　　問：針對《規(guī)定》，相關(guān)企業(yè)要從法務(wù)上做哪些應(yīng)對、調(diào)整？

　　答：

　　《規(guī)定》第二條第一款明確“移動智能終端上運行的App存在收集用戶個人信息行為的，應(yīng)當(dāng)遵守本規(guī)定。法律、行政法規(guī)、部門規(guī)章和規(guī)范性文件另有規(guī)定的，依照其規(guī)定”，即不適用《規(guī)定》的特殊情形為“法律、行政法規(guī)、部門規(guī)章和規(guī)范性文件另有規(guī)定的”。對此，法務(wù)人員首先要梳理適用于本企業(yè)的法律、行政法規(guī)、部門規(guī)章和規(guī)范性文件，同時了解行業(yè)協(xié)會發(fā)布的各類要求是否具有與上述文件相同的效力，如果不具備，則不能作為此條的例外情形予以考慮。

　　除此之外，還應(yīng)對照法律、行政法規(guī)、部門規(guī)章和規(guī)范性文件的要求，確認(rèn)收集個人信息業(yè)務(wù)場景，根據(jù)App的業(yè)務(wù)，確認(rèn)自身的基本功能服務(wù)及其對應(yīng)的必要信息范圍，與業(yè)務(wù)人員溝通App的收集個人信息的必要時機，評估和調(diào)整業(yè)務(wù)邏輯、隱私政策、界面和彈窗設(shè)計等。例如，在某些與用戶個人經(jīng)濟利益關(guān)系重大的特殊場景中，國家監(jiān)管要求確認(rèn)用戶真實身份，而此類個人信息只有用戶主動觸發(fā)此場景時才能申請，不能在用戶剛開始注冊時要求用戶提供。

　　同時，《規(guī)定》以一一列舉的形式明確了必要信息，法務(wù)工作者還需考慮本公司App產(chǎn)品的《隱私政策》是否需要調(diào)整；是否需要以對照《規(guī)定》的形式，對必要信息和非必要信息的收集和處理進行分別說明；是否有必要在相關(guān)條款中引入“等”、“可能”等模糊文字進行概括性描述。

　　問：企業(yè)要符合新規(guī)從應(yīng)用程序技術(shù)層面采取哪些必要措施？

　　答：

　　對于開發(fā)人員，在編寫申請與個人信息相關(guān)權(quán)限，通過系統(tǒng)函數(shù)接口自動收集用戶個人信息代碼時，只能訪問《規(guī)定》里允許的信息，而不能收集該權(quán)限對應(yīng)的其它個人信息；從代碼庫復(fù)制的代碼需審計其個人信息收集的情況，采用cookie技術(shù)時，所收集的個人信息也應(yīng)遵循《規(guī)定》的要求。

　　對于安全合規(guī)人員，應(yīng)重視出廠檢測工作。檢測基本功能服務(wù)收集的個人信息是否在《規(guī)定》范圍內(nèi)，重點關(guān)注嵌入的第三方插件、代碼是否也遵循了《規(guī)定》的要求。

　　對于上層管理人員，要及早結(jié)合業(yè)務(wù)布局研究功能的去標(biāo)識化、匿名化及隱私計算等個人信息保護技術(shù)，深挖數(shù)據(jù)潛能的同時，完善企業(yè)個人信息保護體系。

　　問：理解新規(guī)，一般可能出現(xiàn)哪些方面的誤解或者曲解？

　　答：

　　誤解一：《規(guī)定》只規(guī)制了App的基本功能服務(wù)，只要保證App不因為用戶不同意提供非必要個人信息，而拒絕用戶使用其基本功能服務(wù)，即合規(guī)。

　　對于功能服務(wù)單一的App是可以這么理解。對于提供了多種功能服務(wù)App，此時這種理解就過于片面。因為必要信息是根據(jù)功能服務(wù)需求、遵循合法、正當(dāng)、必要的原則來確定的。對應(yīng)于基本功能服務(wù)的必要信息，非基本功能服務(wù)也有其必要信息。即App亦不得因用戶不同意提供非基本功能服務(wù)的非必要個人信息，而拒絕用戶使用其非基本功能服務(wù)。

　　誤解二：《規(guī)定》僅列明了39種常見類型App的基本功能服務(wù)和必要個人信息范圍，對相對非常見的提供其他類功能服務(wù)的App暫無約束力。

　　39種常見類型App可能無法涵蓋所有App，并且隨著需求變化和技術(shù)發(fā)展可能會出現(xiàn)新的服務(wù)類型，可能會出現(xiàn)新的App類型。盡管如此，“合法、正當(dāng)、必要”的收集原則是通用的，同時新服務(wù)類型App應(yīng)參照39類中相近類型，審視現(xiàn)有功能服務(wù)收集的個人信息是否屬于必要個人信息。此外，具有新的基本功能服務(wù)的App，如其非基本功能服務(wù)屬于已規(guī)制的39類App范圍內(nèi)，也必須遵守《規(guī)定》。

　　誤解三：確定了基本功能服務(wù)的App只能收集《規(guī)定》中明確的個人信息。

　　《規(guī)定》第三條明確“本規(guī)定所稱必要個人信息，是指保障App基本功能服務(wù)正常運行所必需的個人信息，缺少該信息App即無法實現(xiàn)基本功能服務(wù)?！卑凑沾硕x，必要個人信息是基本功能服務(wù)對應(yīng)的最小集。《規(guī)定》并不禁止App收集所列舉的必要個人信息之外個人信息。我們知道，即使劃分為同類型的App，在實現(xiàn)其功能時也會有所差別，因此在功能確有需求時，在現(xiàn)行以同意為主要合法性基礎(chǔ)的法律框架下，可通過明示告知，征得用戶同意收集非必要的個人信息。

　　誤解四：《規(guī)定》里已列明的必要個人信息，無需征得用戶同意即可收集。

　　《網(wǎng)絡(luò)安全法》第四十一條，提出了“合法、正當(dāng)、必要”收集原則，“明示規(guī)則、征得同意”的要求。因此即使完全符合《規(guī)定》要求，在收集前也需要告知用戶，取得用戶授權(quán)同意。

　　問：企業(yè)依照《規(guī)定》進行優(yōu)化、整改會遇到哪些需要解決的問題？

　　答：

　　一是App基本服務(wù)功能和非基本服務(wù)功能的切分，需根據(jù)功能逐項征求用戶同意收集個人信息。對于提供單一功能服務(wù)的App，這種切分相對較容易，可以通過修訂隱私政策、信息收集的同意彈框設(shè)定等方式來達到上述要求。而對于提供多類功能服務(wù)的App，可能需重新設(shè)計其業(yè)務(wù)邏輯，整合各條業(yè)務(wù)線，調(diào)整界面和彈窗等，對企業(yè)內(nèi)部而言是一項不小的挑戰(zhàn)。

　　二是對于同時擁有兩個或多個主要功能服務(wù)的App而言，確定哪個功能服務(wù)為基本功能服務(wù)有一定的難度。事實上，市場上也存在大部分用戶會同時使用某App兩個以上的功能服務(wù)，這就涉及企業(yè)戰(zhàn)略定位等更上層的問題。《規(guī)定》實施在即，是否備出足夠的時間，進行優(yōu)化調(diào)整，企業(yè)需要下功夫。

　　問：企業(yè)怎樣理解個人信息保護的企業(yè)主體責(zé)任？

　　答：

　　技術(shù)層面看，企業(yè)是收集個人信息的主體，是個人信息的控制者，在收集某類個人信息前，應(yīng)確認(rèn)是否遵循“合法、正當(dāng)、必要”的原則。企業(yè)在存儲、傳輸、委托處理等個人信息處理的全生命周期里負(fù)有安全管理的主要責(zé)任，未經(jīng)個人信息主體同意不得收集其個人信息，不得向他人提供其個人信息；同時企業(yè)是用戶個人信息主體權(quán)益的主要履責(zé)人，應(yīng)向個人信息主體明示個人信息處理規(guī)則，保障其選擇同意的權(quán)利，及時響應(yīng)個人信息主體對其個人信息相關(guān)的查閱、復(fù)制、刪除、更正、補充等的請求，并提供撤回同意、注銷賬戶、投訴的途徑。

　　其次，企業(yè)是保障用戶個人信息安全的直接負(fù)責(zé)人，應(yīng)具備與所面臨的安全風(fēng)險相匹配的安全能力，并采取足夠的管理措施和技術(shù)手段，保護個人信息的機密性、完整性、可用性，并對其個人信息活動對個人信息主體合法權(quán)益造成的損害承擔(dān)責(zé)任。

　　問：針對個人信息保護的強監(jiān)管，企業(yè)應(yīng)該有怎樣的意識；在機制設(shè)置和業(yè)務(wù)流程上，怎樣做才能確保合規(guī)？

　　答：

　　2018年歐盟GDPR開始生效以來，加強個人信息保護的呼聲越來越高。我國除國家層面已發(fā)布的法律法規(guī)、標(biāo)準(zhǔn)規(guī)范，多個行業(yè)部門也提出了適用于本行業(yè)要求。過去，在信息技術(shù)飛速發(fā)展的過程中，個人信息監(jiān)管始終處于空白狀態(tài)，如今國家對個人信息監(jiān)管日漸加強，企業(yè)難免會有不適應(yīng)感，這是一個必經(jīng)的過程。在數(shù)字經(jīng)濟時代，大數(shù)據(jù)是資源、能源的觀點越來越被更多人認(rèn)可，究其原因，企業(yè)通過算法將數(shù)據(jù)資源充分挖掘，釋放了其巨大的生產(chǎn)能力。但同時，企業(yè)應(yīng)該意識到，數(shù)據(jù)的開發(fā)利用不僅帶來了利潤，同時帶來了“大數(shù)據(jù)殺熟”“信息繭房”等用戶反映強烈，甚至影響國家安全的問題。在發(fā)展與安全之間找到平衡之道，是現(xiàn)在互聯(lián)網(wǎng)信息服務(wù)行業(yè)首要且必須嚴(yán)肅思考的問題。為了獲取高額利益而瘋狂榨取用戶個人信息價值，甚至侵犯隱私，最終一定會帶給產(chǎn)品和用戶重度傷害；對個人信息的保護不僅不會為業(yè)務(wù)增長帶來困擾，還會成為用戶評價服務(wù)優(yōu)劣的重要參數(shù)。廣大企業(yè)只有深切認(rèn)識并認(rèn)同上述理念，個人信息保護之路才會走得好，業(yè)務(wù)發(fā)展才走得遠(yuǎn)。

　　個人信息保護與傳統(tǒng)網(wǎng)絡(luò)安全有所不同，它是跨專業(yè)的一門學(xué)科。要做到合規(guī)，企業(yè)既需法律背景的法務(wù)人員，還需要了解業(yè)務(wù)的安全人員，要找到一條適合企業(yè)個人信息保護的最佳實踐之路關(guān)鍵是二者要充分溝通、合作。而現(xiàn)在大部分企業(yè)中，法律、安全、業(yè)務(wù)分屬于不同部門，企業(yè)應(yīng)著力讓個人信息工作鏈上所有的員工深刻意識到這項工作的互補性和依賴性，打通部門之間的壁壘，搭建溝通交流渠道，建立效果評價機制，設(shè)置專門保障崗位，通力合作架構(gòu)內(nèi)部個人信息合規(guī)體系。

　　具體來說，一是要重視法律法規(guī)和標(biāo)準(zhǔn)規(guī)范要求。法律法規(guī)的要求是個人信息收集使用的基線，標(biāo)準(zhǔn)規(guī)范為個人信息保護指明了實踐的方向。App運營者可積極探索落實法律法規(guī)要求與企業(yè)產(chǎn)品實現(xiàn)相結(jié)合的最佳實踐。

　　二是關(guān)注監(jiān)管重點和媒體熱議問題。監(jiān)管部門重點關(guān)注、媒體熱議問題通常也是網(wǎng)民關(guān)心和與網(wǎng)民利益關(guān)系密切的問題，App運營者應(yīng)掌握監(jiān)管動向，了解監(jiān)管真實意圖，有的放矢、實質(zhì)性地推進企業(yè)收集使用個人信息的合規(guī)化。

　　三是加強宣傳教育和制度建設(shè)工作。App運營者需明確組織內(nèi)部個人信息保護職責(zé)和崗位，加強宣傳交流，強化合規(guī)意識，規(guī)范企業(yè)個人信息收集使用流程，建立企業(yè)內(nèi)部的個人信息保護機制，從產(chǎn)品設(shè)計、流程開發(fā)各環(huán)節(jié)貫徹個人信息保護的要求，形成能促進產(chǎn)品和服務(wù)不斷優(yōu)化、提升的長效和良性機制。

　　四是布局和推進與業(yè)務(wù)相結(jié)合的隱私計算。App運營者應(yīng)大力研究隱私計算技術(shù)，不斷引入新的業(yè)務(wù)場景、新的法規(guī)要求，以達成隱私數(shù)據(jù)“可用不可見”等，既實現(xiàn)業(yè)務(wù)目標(biāo)，又能更好保障用戶個人信息。