自中央網信辦、工業和信息化部、公安部、市場監管總局于2019年1月25日發布《關于開展App違法違規收集使用個人信息專項治理的公告》，以及監管部門在全國范圍組織開展App違法違規收集使用個人信息專項治理以來，截至2024年3月，工信部已累計通報了涉及各類App（SDK）的36批侵害用戶權益行為，各地通信管理局、網信辦、公安、人民銀行各地分行等監管部門也各自有相關通報發布，對侵害用戶權益的App進行通報和下架處理。這些行動彰顯了監管部門對個人信息保護工作的高度重視。

為幫助App開發者更好理解個人信息保護合規要求，我們將陸續推出個人信息保護合規系列文章。本文為該系列第二篇，對某App被通報問題及其解決方法進行說明，旨在幫助開發者在開發階段避免出現同類問題。

問題描述：未逐一列出 App(包括委托的第三方或嵌入的第三方代碼、插件)收集使用個人信息的目的、方式、范圍等。

檢測標準

1. App個人信息保護政策中未完整列舉逐項說明App實際業務功能收集使用個人信息類型、目的、方式。

2. App嵌入第三方 SDK 存在收集個人信息的情況，但未在個人信息保護政策里說明其收集使用個人信息的目的、方式、范圍。

違規案例

說明各業務功能所收集的個人信息時，使用“等、例如”字段進行不完整描述。

收集信息不完整列舉

解決方法

? 建議在個人信息保護政策中完整說明各業務功能所收集的個人信息，避免使用“等、例如、包括但不限于”不完整方式列舉。

? 企業在填寫個人信息收集情況相關表單時，應注意字段聲明顆粒度要細，不可籠統表述。

? 個人信息保護政策表述建議：如采集個人信息字段，需要說明采集的具體字段、使用目的、采集/使用的業務場景、所屬模塊。以下為示例：

CFCA個人信息保護合規檢測服務

中國金融認證中心（CFCA）是由中國人民銀行于1998年牽頭組建，經國家信息安全管理機構批準成立的權威電子認證機構，歷經20余年積淀，發展成為以網絡安全綜合服務為核心的科技企業。

針對企業個人信息保護合規痛點，CFCA推出個人信息保護合規檢測，幫助企業進行合規改造、減少通報情況、維護企業形象。CFCA依托自身對個人信息保護合規標準的理解和把控，和對數百家客戶App檢測情況的了解，綜合提煉標準要求，分析標準要求的具體落地場景，為企業客戶提供全方位的合規檢測服務。

檢測內容覆蓋個人信息收集、傳輸、存儲、使用、銷毀全生命周期，配合CFCA自主研發的個人信息檢測輔助系統，以專家檢測+自動化工具檢測的形式多維度開展檢測工作，助力企業客戶合規展業。

部分依據標準

? 《App違法違規收集使用個人信息行為認定方法》【國信辦秘字〔2019〕191號】

? 《工業和信息化部關于開展縱深推進APP侵害用戶權益專項整治行動的通知》【工信部信管函〔2020〕164號】

? 《信息安全技術個人信息安全規范》【GB/T 35273-2020】

? 《個人金融信息保護技術規范》【JR/T 0171-2020】

? 《常見類型移動互聯網應用程序必要個人信息范圍規定》【國信辦秘字〔2021〕14號】

項目收益

CFCA檢測服務優勢

目前，CFCA具有超過1000款金融App的檢測經驗，檢測服務受眾涵蓋包括國有大行、全國性股份行等在內的各類銀行客戶。CFCA檢測團隊曾獲得多項國家、省部級安全競賽獎項，2022年在國家認監委組織的移動應用程序個人信息安全檢測競賽中奪得第一名。

CFCA在網絡安全、數據安全、個人信息保護等領域有著豐富的經驗和深厚的積累，今后也將持續提供相關檢測服務。

往期文章

個人信息保護合規漫談【一】：開發者應謹記“非必要不申請權限”原則

責任編輯：陳愛