APP隱私安全背景

早年的時候，APP的開發並未有特殊的合規保護，導致大家下載的APP為了開發和維護的便利，於是乎，無論使用者是否同意，都會自行的要求手機的所有許可權以及肆意的獲取使用者的資訊，以前的人們也未意識到這點，而有的公司和個人已經嗅探到個人資訊的變現渠道，於是乎，不規範的APP操作導致大家的隱私安全蕩然無存。

APP合規的作用

隨著國外隱私合規政策的實施和完善，國內的隱私合規也跟上了步伐，工信部開始稽核上線的不合規APP，以確保公民的資訊受到保護，合規約束了大部分APP應用的企業需要遵循合法的資訊處理程式以及適當的隱私資訊保護措施。

最常見的“超範圍收集個人資訊”

定義：

超範圍收集個人資訊很好理解，就是超出了APP所需要的收集範圍，比如，一個健康食譜的APP，在沒有使用者同意的情況下，居然需要收集使用者的瀏覽行為，預設開啟使用者的定位，預設獲取使用者的定位資訊，拿到了與它行為無關的個人隱私資訊。

App收集的個人資訊與業務功能無關

多數情況下，App實際收集的個人資訊型別與現有業務功能無關，這裡的“無關”，是指該類資訊並非實現現有業務功能所必需。

強制要求使用者授權同意收集個人資訊，拒絕授權後不提供任何業務功能

這個大家早期應該不陌生，以前的安卓APP，你不給許可權，那我就不給你用了，而現在的情況是，你不給許可權，頂多部分功能不能用，但你不能不讓我開啟APP。

運營者因使用者不同意提供非必要個人資訊，而拒絕使用者使用App基本功能服務。或捆綁多項業務功能徵求使用者同意，不同意則不提供任何單一服務。

未明示所收集的使用者資訊如何使用，即隱私政策中沒有關於如何使用所收集的使用者資訊的描述。

使用者使用業務功能時，收集個人資訊的頻率嚴重超出其業務功能的實際需要。

應用在使用期間，或靜默狀態，或應用處於後臺時收集個人資訊的頻率超出實際需要，就屬於收集頻率不合規。比如，近日被上海消保委點名的某共享充電寶在使用者點選時或每五分鐘多次收集非必要的個人資訊。

個人資訊如何定義，如何界定違規收集個人資訊？

消費者要在下載和使用App時，一定要分清哪些是App需要的必要資訊，哪些不是必要資訊。

今年5月1日起施行的《常見型別移動網際網路應用程式必要個人資訊範圍規定》規定明確了39種常見型別App的必要個人資訊範圍。

第五條 常見型別App的必要個人資訊範圍：

（一）地圖導航類，基本功能服務為“定位和導航”，必要個人資訊為：位置資訊、出發地、到達地。

（二）網路約車類，基本功能服務為“網路預約出租汽車服務、巡遊出租汽車電召服務”，必要個人資訊包括：

1.註冊使用者行動電話號碼；

2.乘車人出發地、到達地、位置資訊、行蹤軌跡；

3.支付時間、支付金額、支付渠道等支付資訊（網路預約出租汽車服務）。

（三）即時通訊類，基本功能服務為“提供文字、圖片、語音、影片等網路即時通訊服務”，必要的個人資訊包括：

1.註冊使用者行動電話號碼；

2.賬號資訊：賬號、即時通訊聯絡人賬號列表。

（四）網路社群類，基本功能服務為“部落格、論壇、社群等話題討論、資訊分享和關注互動”，必要個人資訊為：註冊使用者行動電話號碼。

（五）網路支付類，基本功能服務為“網路支付、提現、轉賬等功能”，必要個人資訊包括：

1.註冊使用者行動電話號碼；

2.註冊使用者姓名、證件型別和號碼、證件有效期限、銀行卡號碼。

（六）網上購物類，基本功能服務為“購買商品”，必要的個人資訊包括：

1.註冊使用者行動電話號碼；

2.收貨人姓名（名稱）、地址、聯絡電話；

3.支付時間、支付金額、支付渠道等支付資訊。

（七）餐飲外賣類，基本功能服務為“餐飲購買及外送”，必要個人資訊包括：

1.註冊使用者行動電話號碼；

2.收貨人姓名（名稱）、地址、聯絡電話；

3.支付時間、支付金額、支付渠道等支付資訊。

（八）郵件快件寄遞類，基本功能服務為“信件、包裹、印刷品等物品寄遞服務”，必要個人資訊包括：

1.寄件人姓名、證件型別和號碼等身份資訊；

2.寄件人地址、聯絡電話；

3.收件人姓名（名稱）、地址、聯絡電話；

4.寄遞物品的名稱、性質、數量。

（九）交通票務類，基本功能服務為“交通相關的票務服務及行程管理（如票務購買、改簽、退票、行程管理等）”，必要個人資訊包括：

1.註冊使用者行動電話號碼；

2.旅客姓名、證件型別和號碼、旅客型別。旅客型別通常包括兒童、成人、學生等；

3.旅客出發地、目的地、出發時間、車次/船次/航班號、席別/艙位等級、座位號（如有）、車牌號及車牌顏色（ETC服務)；

4.支付時間、支付金額、支付渠道等支付資訊。

（十）婚戀相親類，基本功能服務為“婚戀相親”，必要的個人資訊包括：

1.註冊使用者行動電話號碼；

2.婚戀相親人的性別、年齡、婚姻狀況。

（十一）求職招聘類，基本功能服務為“求職招聘資訊交換”，必要的個人資訊包括：

1.註冊使用者行動電話號碼；

2.求職者提供的簡歷。

（十二）網路借貸類，基本功能服務為“透過網際網路平臺實現的用於消費、日常生產經營週轉等的個人申貸服務”，必要個人資訊包括：

1.註冊使用者行動電話號碼；

2.借款人姓名、證件型別和號碼、證件有效期限、銀行卡號碼。

（十三）房屋租售類，基本功能服務為“個人房源資訊釋出、房屋出租或買賣”，必要的個人資訊包括：

1.註冊使用者行動電話號碼；

2.房源基本資訊：房屋地址、面積/戶型、期望售價或租金。

（十四）二手車交易類，基本功能服務為“二手車買賣資訊交換”，必要的個人資訊包括：

1.註冊使用者行動電話號碼；

2.購買方姓名、證件型別和號碼；

3.出售方姓名、證件型別和號碼、車輛行駛證號、車輛識別號碼。

（十五）問診掛號類，基本功能服務為“線上諮詢問診、預約掛號”，必要個人資訊包括：

1.註冊使用者行動電話號碼；

2.掛號時需提供患者姓名、證件型別和號碼、預約掛號的醫院和科室；

3.問診時需提供病情描述。

（十六）旅遊服務類，基本功能服務為“旅遊服務產品資訊的釋出與訂購”，必要個人資訊包括：

1.註冊使用者行動電話號碼；

2.出行人旅遊目的地、旅遊時間；

3.出行人姓名、證件型別和號碼、聯絡方式。

（十七）酒店服務類，基本功能服務為“酒店預訂”，必要的個人資訊包括：

1.註冊使用者行動電話號碼；

2.住宿人姓名和聯絡方式、入住和退房時間、入住酒店名稱。

（十八）網路遊戲類，基本功能服務為“提供網路遊戲產品和服務”，必要個人資訊為：註冊使用者行動電話號碼。

（十九）學習教育類，基本功能服務為“線上輔導、網路課堂等”，必要個人資訊為：註冊使用者行動電話號碼。

（二十）本地生活類，基本功能服務為“家政維修、家居裝修、二手閒置物品交易等日常生活服務”，必要個人資訊為：註冊使用者行動電話號碼。

（二十一）女性健康類，基本功能服務為“女性經期管理、備孕育兒、美容美體等健康管理服務”，無須個人資訊，即可使用基本功能服務。

（二十二）用車服務類，基本功能服務為“共享單車、共享汽車、租賃汽車等服務”，必要個人資訊包括：

1.註冊使用者行動電話號碼；

2.使用共享汽車、租賃汽車服務使用者的證件型別和號碼，駕駛證件資訊；

3.支付時間、支付金額、支付渠道等支付資訊；

4.使用共享單車、分時租賃汽車服務使用者的位置資訊。

（二十三）投資理財類，基本功能服務為“股票、期貨、基金、債券等相關投資理財服務”，必要個人資訊包括：

1.註冊使用者行動電話號碼；

2.投資理財使用者姓名、證件型別和號碼、證件有效期限、證件影印件；

3.投資理財使用者資金賬戶、銀行卡號碼或支付賬號。

（二十四）手機銀行類，基本功能服務為“透過手機等移動智慧終端裝置進行銀行賬戶管理、資訊查詢、轉賬匯款等服務”，必要個人資訊包括：

1.註冊使用者行動電話號碼；

2.使用者姓名、證件型別和號碼、證件有效期限、證件影印件、銀行卡號碼、銀行預留行動電話號碼；

3.轉賬時需提供收款人姓名、銀行卡號碼、開戶銀行資訊。

（二十五）郵箱雲盤類，基本功能服務為“郵箱、雲盤等”，必要個人資訊為：註冊使用者行動電話號碼。

（二十六）遠端會議類，基本功能服務為“透過網路提供音訊或視訊會議”，必要個人資訊為：註冊使用者行動電話號碼。

（二十七）網路直播類，基本功能服務為“向公眾持續提供實時影片、音訊、圖文等形式資訊瀏覽服務”，無須個人資訊，即可使用基本功能服務。

（二十八）線上影音類，基本功能服務為“影視、音樂搜尋和播放”，無須個人資訊，即可使用基本功能服務。

（二十九）短影片類，基本功能服務為“不超過一定時長的影片搜尋、播放”，無須個人資訊，即可使用基本功能服務。

（三十）新聞資訊類，基本功能服務為“新聞資訊的瀏覽、搜尋”，無須個人資訊，即可使用基本功能服務。

（三十一）運動健身類，基本功能服務為“運動健身訓練”，無須個人資訊，即可使用基本功能服務。

（三十二）瀏覽器類，基本功能服務為“瀏覽網際網路資訊資源”，無須個人資訊，即可使用基本功能服務。

（三十三）輸入法類，基本功能服務為“文字、符號等輸入”，無須個人資訊，即可使用基本功能服務。

（三十四）安全管理類，基本功能服務為“查殺病毒、清理惡意外掛、修復漏洞等”，無須個人資訊，即可使用基本功能服務。

（三十五）電子圖書類，基本功能服務為“電子圖書搜尋、閱讀”，無須個人資訊，即可使用基本功能服務。

（三十六）拍攝美化類，基本功能服務為“拍攝、美顏、濾鏡等”，無須個人資訊，即可使用基本功能服務。

（三十七）應用商店類，基本功能服務為“App搜尋、下載”，無須個人資訊，即可使用基本功能服務。

（三十八）實用工具類，基本功能服務為“日曆、天氣、詞典翻譯、計算器、遙控器、手電筒、指南針、時鐘鬧鐘、檔案傳輸、檔案管理、桌布鈴聲、截圖錄屏、錄音、文件處理、智慧家居助手、星座性格測試等”，無須個人資訊，即可使用基本功能服務。

（三十九）演出票務類，基本功能服務為“演出購票”，必要個人資訊包括：

1.註冊使用者行動電話號碼；

2.觀演場次、座位號（如有）；

3.支付時間、支付金額、支付渠道等支付資訊。

即使App需要必要個人資訊才能實現其功能和服務，我們也一定要清楚，“必要個人資訊”一定是保障App業務功能正常執行所需要的最少夠用的個人資訊，App超範圍收集個人資訊是一種違法行為，應當向監管機關反映和舉報。

根據網路安全法確立的規則，網路運營者收集、使用個人資訊，應當遵循合法、正當、必要的原則，不得收集與其提供的服務無關的個人資訊，不得違反法律、行政法規的規定和雙方的約定收集、使用個人資訊，並應當依照法律、行政法規的規定和與使用者的約定，處理其儲存的個人資訊。

我們應當如何遵循APP合規

資料擁有者

APP運營方作為資料的擁有者和處理者，應當明確自身的責任和義務，併為此承擔一定的責任，尊法而行、合規經營，拒絕“越界”，其次嚴於律己，嚴格把控自有產品的合規性，保護使用者的合法權益，樹立行業標杆。

終端使用者

普及APP合規使用常識，增強使用者隱私保護意識。

結論

APP合規安全遠不止於此，使用者隱私安全保護任重而道遠。