1.授权同意

收集的内容、使用的目的，就是通常的隐私政策协议文档，由个人在充分知情的前提下自愿、明确作出同意或者勾选的动作，不能默认勾选和同意。

在用户同意之前，任何涉及个人信息的内容都不能运行，SDK初始化全都要在用户同意之后，不然就是私自收集，检测到就是违法违规行为。

【SDK这一点很容易踩坑，大家需要注意】。

2.收集范围

《规定》已经有了明确的指引，但是像金融行业因为要履行《反洗钱法》义务，以及投资者适当性管理要求案例化解析医疗机构场景下的数据合规和个人信息保护要点，所以收集的信息超过《规定》也是合法必要的。

一定要注意的是，App收集使用《规定》外的信息，需要有其他法律法规的支撑才行。

补充说一下，对于安全风控这一类信息收集，比如设备指纹采集，如果所处行业没有法律法规等正式文件支撑，这些就都不属于必要信息。强制用户同意才能使用的话，是存在违法违规风险的。

3.信息公示

需要公开收集使用规则，其实就是照着隐私政策模板写一个适合自己的隐私政策。

需要明示目的、方式和范围，这个除了需要在隐私政策里写明，还需要在具体的收集个人信息的业务场景里，就是具体的页面中，写明这些内容。

以上的三点，对应的都是《个人信息保护法》中个人的知情权，这是法律赋予的法定权益，从历次通报的情况来看，企业在这一方面还是需要加强重视。

互联网类App，目前潜在风险较大的是大数据杀熟这一部分，这个比较明显损害人民群众权益，第二十四条也明确写了，“不得对个人在交易价格等交易条件上实行不合理的差别待遇”，并且个人有权拒绝。

有自动化决策、依据用户画像定价这类功能的App，还不让用户拒绝的，最好只在中午这么做，因为早晚会出事。

四、解决之道-方法与认证介绍

App合规问题解决的核心思路，我认为就是要保护用户合法权益。

抓手是两处，一是要站在一个小白用户角度去体验App，二是在专业的角度去测评和整改App。

小白用户的体验其一，就是隐私政策要通俗易懂。专业术语要尽量的没有或者少用；收集的信息依据要列明，比如金融行业很多要求存储时间不少于5年、20年，那就把相关的要求文件名称和条款写上去。隐私政策虽然用户不太看，但是现在监管方、应用市场对这部分已经开始关注了，像应用宝、华为应用市场。

隐私政策写完了，UI设计完了，买个某茶，请公司职能部门的同事抽个一小时，帮你看一遍，职能同事能看明白的，能理解的，这八成没啥问题了。

隐私政策可以学习参考银联云闪付App，内容涵盖很全，也包括境外，作者也极其资深，墙裂推荐。

小白用户还有个体验就是以前App容易行坑蒙拐骗之事，之后是肯定不可以这样，以前很常见的欺骗、诱导、虚假的一些内容或手段，今后肯定也是重点打击的对象。

专业角度的测评和整改，需要借助专业的检测工具，或者服务公司开展检测，依据工具或者专家的经验和建议，找出问题项，然后整改。

这里也分享一些经验和踩过的一些坑。

服务公司这里就不说了，说一说发现问题后的事情。

一般看到问题，少不了和产品及开发一通。但是要记住一个原则，就是这方面的要求，只能比外面严，不能比外面松。因为检查到问题再通报，监管其实不会听你解释，必须限期内整改。这类问题在内部消化掉，远比被监管通报了再解决，给企业、部门、个人带来的负面影响小。这一点，最好不要妥协。

至于解决具体途径和方法，可以大家好好商议。一个小技巧就是如果公司有比较高层级的合规或者法务部门的话，最好拉上他们一起，他们是你的盟友，要团结一切可以团结的力量。

再说一说常见容易出现问题的点。

首先，是敏感个人信息的收集，需要单独同意，和同意隐私政策一样，需要用户手动去勾选然后才能收集。例如，在涉及银行卡的App业务场景中，收集的银行卡号码，金融账户信息，是需要说明目的并让用户单独同意的。

另外就是工信部第17批次通报的位置信息获取，这也是监管后续关注的趋势之一，这个敏感个人信息的获取，也需要单独的授权同意。从业务必要性来看，非必须位置信息的，还是乖乖关掉比较稳妥。业务需要的，更要注意获取频度，不能随时随地，获取位置信息。

再一个就是SDK的行为检测。

企业的App在开发的时候，大多数时候会需要融合三方的SDK，关注的重点一般都在SDK是否给我提供了需要的功能,而忽略SDK是否超范围收集了信息或者夹带了私货。在这一点上，必须立场坚定态度鲜明，超过我们需要的，不必要的信息收集，必须关闭，不使用。一旦松动，后患无穷。

至于一些开源SDK，那只能选择调试修改或者找替换的SDK，要相信开发团队，肯定可以搞得定，没有解决不了的问题，如果有，那就是一杯茶或者一顿烧烤的事情。

SDK的问题解决掉，App基本就问题不大。

第三个是安全评估，《个人信息保护法》第五十五条和第五十六条要求的开展评估及要求，可以参看《GBT 39335-2020 信息安全技术 个人信息安全影响评估指南》开展，指南其实很详尽，也很容易照着执行并完成。

最后一个是手机号，这个在很多时候，我们把它作为ID使用。用户登录的时候密码肯定加密传输校验，但是手机号是一个比较特殊的个人信息，在传输的时候，也需要一并做加密处理。

大家都知道，安全工作的度量是比较困难的，所以会有不少的认证，比如27001信息安全管理体系认证，取得了认证，基本能够证明企业的信息安全管理具备一定的水平，达到了某个标准。

App在个人信息安全方面的保护能力也一样有认证的，虽然这个认证目前看只在国内有效，但是获得认证，也同样是能够向公司管理层、用户传达一个信息，就是我们的App在保护用户个人信息方面，达到了国家认可的水平。

目前，我了解的App安全方面的认证有2个（大家了解有其他的相关认证欢迎补充），一个是国家市场监管总局和人行推出的【金融科技产品认证-客户端软件】。还有一个更通用一些，也与《个人信息保护法》第六十二条第四部分内容更吻合些的，是由国家市场监管总局和网信办推出的【App安全认证】，这个证目前只授权给了中国网络安全审查技术与认证中心CCRC去做。

从和相关的专家、同行交流来看，这个证目前要求还是比较严格，含金量也存在。接下来就讲一点这个认证的内容。

拿这个认证，说简单也简单，满足《信息安全技术 个人信息安全规范GB/T 35273-2020》里面的要求就行。但其实也不简单，里面共计100多项，需要通过技术检测和现场审核确认。项目的周期5个月到一年多不等，有决心半年内取得认证的有，弄了两年，放弃的也有。项目主要是检测排期和内部整改会耗费不少时间，以及相关流程。

大体流程是企业提出申请，三方检测机构技术检测，整改，技术通过；然后现场审核与整改，通过；最后认定决定，更详细的内容可以在CCRC的官网了解。认证先是相关的管理制度要健全，不全就补充，类似27001那一套，但是相对简单很多，如果内部已经有安全管理体系的基础的话。

几个重要的文件，比如隐私政策，个人信息生命周期管理，影响评估制度与执行，应急预案等，有27001的底子在，这些完善起来很快，没有的话，就需要从基础安全做起。

App安全认证方面的管理要求，较传统安全管理多出的一部分是关于App开发规范、版本发布相关的内容，这部分也不难。相对规范的开发其实这部分都做了，只是可能没落到文件制度上，补一下就ok。

然后是技术检测和问题整改，这个前面基本也说过了，主要是保障用户的权益，对标《个人信息保护法》的个人权利内容，基本就是35273里的每一条都会检测，有意向做认证的完全可以开展一遍自评估，且最好站在最严苛的角度评价是否符合，至少从我的经验看，通常自评估都可以称得上，相当乐观。

关于认证的最后，想说一下的是相关的资源需求。

首先需要合规法务的支持，不管是公司内部的相关部门还是外部合作的律所，在隐私政策上，肯定是需要多次修订的。然后是基础的安全管理组织的支持，这在内部的安全管理上有一些内容。以及，App产品开发的大力支持，因为落在他们身上的整改项，改起来是挺耗资源的。

五、持续的合规管理

App的合法合规，是一个持续性的工作。即便是取得了认证，获得肯定，后续也还是需要继续开展相关的工作内容，比如年度的相关审计，按需不定期的开展影响评估等等。因为有获得认证后，还会被通报的案例存在。

所以，这需要负责的同事和部门经常给领导者们吹风，去强调这个工作的重要性以及后果的严重性，然后定期的同步一些监管动态和内部相关工作的开展情况，监管的通报朋友圈转起来，行业情报在相应的组里发起来。这些信息需要多次、持续的同步传达给相关的部门和人员，不能埋头内部干事，发现的问题和已经解决的问题都需要定期的向上汇报。

最后，在技术侧，我们需要将相关的工作前置案例化解析医疗机构场景下的数据合规和个人信息保护要点，左移，个人信息安全的同事需要参加相关的需求评审，SDK的引入更是建议需要进行审慎的评估。

我的分享基本就到这里，感谢各位的聆听，看看各位有哪些疑问。顺便祝大家周末愉快。

ps：

第五十五条和第五十六条要求的开展评估及要求，可以参看《GBT 39335-2020 信息安全技术 个人信息安全影响评估指南》开展

第二章第二节的敏感个人信息处理规则里，需要注意的是，敏感个人信息，比如常见的人脸与指纹、银行卡、GPS位置信息、医疗信息，需要用户的单独同意，有些还需要书面同意。这一点目前很少有App能覆盖全，这是需要注意的地方。

第四章权利，知情、决定、查阅、复制、更正补充、删除。这里对于删除，在金融行业，法律、行政法规规定的保存期限未届满，那么是无法删除的，但是当用户提出删除的需求，那存储和安全保护之外的措施是不能做的。

第五章义务，管理制度，技术保护措施，事前评估，以及第五十八条定义的组织，需要有外部成员组成的独立机构进行监督，并发布报告接受监督。

---------------------------------------------------

问答环节：

Q1：对于SDK的引入，如果SDK已经提供了安全隐私合规的报告，APP接入后还需要从哪些点来考量它是否合规？

A：合同明确相关责任，有条件，再测一遍其行为最好。

---------------------------------------------------

Q2：目前CCRC的App认证含招商基金在内，累计共30个公司通过认证。我也一直在关注此认证，相比较与半强制的人民银行主导，中互金推动的金融科技App备案，当时怎么考虑要去做CCRC条线的认证？主要是立项背景怎么向上传导和说明。

A：我们当时是两个都在关注的。CCRC的App安全认证我们早期评估就是更优先，但是之前认证一直没有发出来。等到去年第一批发出来后，我们就跟进做了。前期我们和法务保持了密切的关注和内部沟通及向上汇报。

---------------------------------------------------

Q3：我想请教下SDK行为检测这个具体落地方式，比如业务要做一键登录功能，安全检测有可能是做好相关功能后才能开展，有时候可能有点晚

A：安全一定要参加需求评审和讨论，左移。实在没条件，后置了。那也要多沟通，多强调，早发现问题，早解决。主动解决和被动通报有质的不同。

---------------------------------------------------

Q4：有哪些app检测的方法或工具，可以检测到用户在没同意隐私协议下就收集了用户的信息，如位置信息，传感器信息啊？

A1：其实，拉开发的大佬，让他看逻辑，他其实是能理出来的。我们也有这样的情况，开发大佬知道，不说，检测出来了，说这个我知道，我关掉。。。。

A2: 小米手机有一个应用行为记录。可以查看到。

A1: 这确是个好提议，我也用过。但依然需要和开发兄弟确认。因为这个没经过人工核对。

---------------------------------------------------

Q5：大佬，个人信息保护法的应急预案应该遵照怎么样的流程？根据个保法和个人信息规范的融合点去写，侧重点应该关注什么？

A：参照网络安全、安全管理的应急预案流程。侧重点在场景的预测和预案的演练。

---------------------------------------------------

Q6：四部委发了《常见类型移动互联网应用程序必要个人信息范围规定》，像金融类APP收集人脸活体等信息，超出了必要范围，但人脸又是KYC的主要技术手段，这个有什么好的解决方案吗

A：这个我目前没有找到，欢迎找到的大佬拿出来大家共同学习

---------------------------------------------------

Q7: 请问公司app过了CCRC的认证，还会被网信要求整改吗？两者之间有没有必然联系？支撑单位是否一致？

A：CCRC是质量监督条线的。也是网信的支撑机构。所以，会。