来源：中伦视界，作者：李瑞、贾申、李梦涵。本文已获作者授权转载。

在移动互联网时代，APP（应用程序）成为各类移动端应用最广泛的产品，也是企业收集数据和用户个人信息最主要的渠道之一。从个人隐私保护的角度而言，APP承载和运营着规模庞大的个人信息，APP的合规管理直接关系着个人信息安全及用户权益保护；从企业合规的角度而言，APP的隐私保护合规管理是数据保护领域最受关注的一块版图。

当前，我国各相关监管部门对于APP隐私保护的合规监管已建立了一套较为成熟的机制，有多个机构在日常工作中开展常态化的APP隐私保护检查及执法活动，执法活动较为频繁，覆盖范围较为广泛。无论是否是互联网平台企业，只要企业有APP产品在应用平台/商店中上架，都有可能成为检查和执法的目标。实践中，每年都有多个APP被查，不少APP产品还会多次被查。可以看出，常态化执法对企业提出了长期、持续性的合规要求，企业需要真正掌握APP隐私保护合规的底层要求、合规要点和执法实践情况，方能做到长效合规。

基于我们协助企业开展APP隐私保护合规自查、应对APP通报和调查的经验，本文将梳理我国当前APP隐私保护合规监管的主要部门及监管流程、APP隐私保护合规监管的重点内容，并为相关企业提供合规建议。

一、APP合规监管现状

（一）APP隐私保护合规监管的主要部门

目前，我国APP隐私保护合规监管的主责部门包括工信部门和网信部门，其中工信部门是开展APP违规检测及监督通报的主要部门，网信部门则主要是作为个人信息保护工作的统筹协调部门持续开展针对APP的违规检测行为。此外，APP专项治理工作组可对监管部门的执法工作提供建议；市场监督管理部门则从消费者权益保护的角度对APP的隐私保护合规情况进行监督。

• 工信部门：基于工信部发布的多项互联网行业信息与用户个人信息保护的相关规定[1]，各地通管局持续开展“APP侵害用户权益专项整治行动”，监管对象包括APP（包括小程序等新应用形态）运营者、SDK提供者和应用分发平台等多类企业。工信部门的APP隐私保护合规监管行动尤为关注企业违规处理用户个人信息的情形。
• 网信部门：相较于工信部门，网信部门较少发布针对违规APP的通报，但其作为个人信息保护工作的统筹协调部门，也在持续开展针对APP的违规检测及执法行动，且其监管行动相对更侧重互联网信息内容的监督管理。其下属单位中国网络空间安全协会持续针对各类APP个人信息收集情况进行测试，并将测试结果公开发布。
• APP治理专项工作组：2019年1月，中央网信办、工信部、公安部、市场监管总局四部门联合发布了《关于开展App违法违规收集使用个人信息专项治理的公告》。受四部门委托，全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会联合成立APP专项治理工作组，负责对用户数量大、与民众生活密切相关的APP隐私政策和个人信息收集使用情况进行评估，辅助监管机关对APP隐私保护合规治理和对个人信息保护进行有效监管。
• 市场监督管理部门：市场监督管理部门通常并不是APP隐私保护常规监管的主责部门，但因为其职能包括监管和保护市场交易秩序，包括市场交易活动中的消费者权益保护工作，因此其在监管过程中也可能会从前述角度对APP的隐私保护合规情况进行抽查和监督。例如，在我们过往的经验中，曾遇到地方市场监管部门将隐私政策作为一种格式文本而进行监督、检查并要求整改的情形。

（二）APP隐私保护违规行为监管流程

就APP违规行为的监管流程而言，以定期发布违规检测结果最为频繁的工信部门为例，其已建立起一套较为成熟的监管机制：

（1）工信部通管局通过APP专项治理工作组监督、专有APP监管平台、用户投诉/举报等渠道，日常持续开展针对APP的个人信息处理违规检测行为，对于首次检查发现企业存在违规行为的，会单独下发整改通知书，责令企业进行限期整改；

（2）如经整改仍存在违规行为，则通管局会将该企业纳入存在侵害用户权益行为APP企业的名单中并进行公开通报，责令企业二次整改；

（3）APP企业提交二次整改后，各地通管局经第三方检测机构核查复检，对于仍未完成整改的企业，将会通报对该APP采取下架处理或停止接入服务的措施，并可能将受到行政处罚的企业主体纳入电信业务经营不良名单或失信名单。一旦下架，APP即便完成整改，也只能在至少40个工作日后才能恢复上架，因此如果出现这种情况，对企业经营将产生较大的影响。

二、APP隐私保护合规监管重点内容

工信部公开通报存在侵害用户权益行为的APP涉及的违规行为种类较多，其中，违规收集个人信息，超范围收集个人信息，强制、频繁、过度索取权限，以及欺骗误导强迫用户等是最为常见的侵犯用户权益的违规行为。

根据工信部《关于开展纵深推进APP侵害用户权益专项整治行动的通知》及四部委联合发布的《App违法违规收集使用个人信息行为认定方法》等文件，以下是这几种最为常见的APP违规行为的介绍及典型违规场景示例：

（一）违规收集个人信息

此类违规行为包括APP在未告知用户收集个人信息的目的、方式、范围且未经用户同意的情况下，私自收集用户个人信息的行为。

违规示例：某APP在用户点击确认隐私同意之前即通过技术手段收集用户的设备信息。

（二）超范围收集个人信息

此类违规行为包括非服务所必需或无合理应用场景下，特别是在APP静默状态或后台运行时，超出隐私政策所明示的范围收集个人信息的行为。

违规示例：某APP实际收集的个人信息范围或打开的可收集个人信息权限超出了其隐私政策中所明示并获得用户授权的范围。

（三）APP强制、频繁、过度索取权限

此类违规行为包括：

（1）APP安装、运行和使用相关功能时，非服务所必需或无合理应用场景下，用户拒绝相关授权申请后，APP即自动退出或关闭；

（2）在用户明确拒绝权限申请后，频繁弹窗、反复申请与当前服务场景无关的权限；

（3）未及时明确告知用户索取权限的目的和用途，提前申请超出其业务功能的权限。

违规示例：某APP在用户同意隐私政策之后，在没有合理使用场景和特定业务功能，也未同步告知申请权限的目的和用途的情况下，立即申请使用用户的摄像头权限。

（四）欺骗误导强迫用户

此类违规行为包括：

（1）欺骗误导用户下载APP，特别是具有分发功能的移动应用程序欺骗误导用户非自愿下载APP的行为；

（2）欺骗误导用户提供个人信息，例如在非服务所必需或无合理场景下，通过积分、奖励、优惠等方式欺骗误导用户提供身份证号码以及个人生物特征信息的行为。

违规示例：某APP通过其界面设置，引导用户在非主动触发跳转的情况下，自动跳转到第三方界面下载另一关联APP。

（五）隐私政策发布形式合规问题

在实际执法活动中，监管部门关注的问题除了上述隐私政策及收集、处理用户个人信息的具体内容，还包括隐私政策的发布形式，关注点十分细致，以下是一些示例：

（1）隐私政策是否以单独成文的形式发布；

（2）用户在App界面中是否能够通过弹窗、文本链接、常见问题（FAQs）等形式访问隐私政策；

（3）App首次运行时，是否通过弹窗等明显方式提示用户阅读隐私政策并获取用户授权；

（4）进入App主功能界面后，用户是否通过4次以内的点击，能够访问到隐私政策，且隐私政策链接位置突出、无遮挡；

（5）隐私政策文本是否易读，包括语言清晰、易懂，文本显示方式（字体、颜色、行间距等）利于用户阅读等等。

除了上述针对APP本身的违规行为监管之外，我们也建议企业需要更加关注针对SDK（包括APP接入的第三方SDK）开展的违规行为检测。在国家层面，自2022年第一批监管通报开始，工信部已针对SDK违规收集用户信息进行了专项检测，并针对违规情形对外通报。近期发布的《网络数据安全管理条例》也加强了对于第三方SDK合规监管的要求，明确指出对于平台所接入的第三方SDK违规和侵权的行为，平台服务提供者与该第三方SDK提供方均要承担相应责任。

三、企业合规建议

（一）企业日常如何开展APP隐私保护合规工作

如前所述，监管部门发布的整改通知与公告通常要求APP运营者在规定时间内完成整改，并可能对逾期不改或情节严重的APP采取公开曝光、暂停业务、下架等处罚措施，为企业带来较高的整改工作压力，并可能带来法律风险和潜在的经济损失。因此，做好APP隐私保护合规工作的重点在于“防患于未然”的日常合规工作。包括：

相关企业（包括平台企业和非平台企业）应注重APP隐私保护合规自查，定期开展数据合规的专项“体检”。基于各地区通管局公开通报中反映的执法重点领域，对自身运营的APP进行自查；

针对收集用户数据规模较大、与日常生活关系密切的APP，企业在必要时可引入第三方技术检测机构开展合规自测、引入专业律师进行隐私政策及界面设计等方面的专项合规核查；

针对常见的APP隐私政策发布方式及内容要求、用户授权同意方式、收集个人信息的最小必要原则等内容，企业应定期对相关部门人员（包括IT技术人员）开展法律法规方面的合规培训，确保在产品设计及运营过程中嵌入合规要求。

（二）企业如何开展APP通报整改工作

当企业收到监管部门提出的整改要求时，应高度重视，迅速组织企业内部相关责任人按要求完成整改工作，避免因整改不及时、不到位而导致更加严重的违规后果。基于我们协助企业应对APP监管通报及进行合规整改的经验，建议企业依据下述步骤开展具体应对工作。

1、预估完成整改时限，与监管部门进行沟通（如需）：

收到整改要求时，应立即组织包括业务、法务、IT在内的人员对整改工作所需完成时限进行合理预估。监管部门通常会在其下发的整改通知中限定整改完成时间，但如果出于各类原因（如企业未及时收到整改通知、整改工作十分复杂等），企业可能难以在限定期限内完成工作的，则应当基于自身对工作内容、范围和所需时限的合理预估，第一时间与监管部门进行沟通；同时，应以最快的速度组织和响应相关整改工作，确保按时完成整改。

2、对整改问题进行具体分析并部署对应整改人员/措施：

根据监管部门提出的具体整改要求，企业应进行具体分析并部署对应的整改人员和整改措施。例如，针对隐私政策明示内容不合规、语言表述不准确等问题，应当由法务人员或律师对隐私政策的文本内容进行逐一修订和完善；针对APP过度索取权限、超范围收集信息等问题，应当由业务人员与IT人员配合，在技术层面对产品设计作出调整，同时由法务人员配合对隐私政策文本进行修改。

3、采取措施对APP存在的问题进行整改：

明确各项整改措施后，建议企业通过整改清单等形式，追踪相关人员的整改工作，分门别类落实整改要求。

4、准备整改完毕后的书面汇报及证据材料并提交：

在整改工作全部完成后，应按照监管部门提出的问题清单，逐一按格式答复整改的情况，包括但不限于清晰的文字描述和整改后的界面设计图示，配以必要的证据材料等；必要时，企业还可说明已制定的合规制度，介绍后续将开展的合规提升工作等，以全面展示自身配合整改、持续合规的态度。

5、引入第三方机构持续完善合规工作：

根据我们的经验，在企业上市、开展特殊重大交易等情形下，企业通常会更加关注数据合规工作的落实情况。企业如果想要进一步提升自身的合规水平，查找并杜绝隐患，还可引入第三方技术检测机构、法律顾问团队，从技术和法律的角度全面进行风险点核查及提升APP隐私保护合规工作，以避免整改不到位或后续遭到进一步监管甚至处罚措施的风险。

[1] 具体包括：《规范互联网信息服务市场秩序若干规定》（工业和信息化部令第20号）、《电信和互联网用户个人信息保护规定》（工业和信息化部令第24号）和《移动智能终端应用软件预置和分发管理暂行规定》（工信部信管〔2016〕407号）等。

作者：

• 李瑞，中伦律师事务所北京办公室合伙人、律师；业务领域：跨境投资并购，反垄断和竞争法，网络安全和数据保护；行业领域：教育培训，电信和互联网，信息和智能技术
• 贾申，中伦律师事务所北京办公室高级顾问；业务领域：合规和调查，投资并购和公司治理，诉讼仲裁；行业领域：能源和电力
• 李梦涵，中伦律师事务所北京办公室合规与政府监管部律师

特别声明：以上所刊登的文章仅代表作者本人观点，不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。