近日，为巩固治理成效，营造共同维护消费者权 益的良好环境，工业和信息化部开展了移动互联网应用程序（App）侵害用户权益整治“回头看”，组织第三方检测机构对违规推送弹窗信息、App过度索取权限等问题进行重点抽测，共发现38款App存在问题。问题包括，频繁自启动和关联启动、违规推送弹窗信息、欺骗误导用户提供个人信息、违规收集个人信息、强制用户使用定向推送功能、超范围收集个人信息、欺骗误导强迫用户、应用分发平台上的App信息明示不到位和App强制、频繁、过度索取权限。其中映客直播、丁香医生等在列，所涉问题为App强制、频繁、过度索取权限。

随着智能手机成为人们生活不可或缺的一部分，从新闻浏览、娱乐交际到移动支付，App已深入生活每个角落。同时，为保护消费者权益，对App的监管需求也不断增加。

2019年3月15日，市场监管总局与中央网信办联合发布《关于开展App安全认证工作的公告》。公告明确指出，为规范App收集、使用用户信息特别是个人信息的行为，加强个人信息安全保护，根据《中华人民共和国网络安全法》《中华人民共和国认证认可条例》，市场监管总局、中央网信办决定建立App安全认证制度。

App安全认证的作用，在于规范市场，引导企业提供更合理的产品，维护消费者权益，并科学引导行业快速、稳健发展。在认证价值、企业指导、合规要点、法律责任等方面，值得App运营商认真遵守和应用。

App安全认证的价值

目前，我国的App安全认证由中国网络安全审查技术与认证中心开展，经评价合格的产品需能够满足《GB/T35273-2020 信息安全技术 个人信息安全规范》对App收集、传输、存储、处理、使用个人信息等活动的要求，可以充分保障用户的个人信息安全。

App安全认证的价值体现在：认证权威可信，能够实现长效管控。首先，开展App安全认证工作为维护用户信息安全提供了保障。中国网络安全审查技术与认证中心按照App运营商自愿申请的原则，由认证机构依据相关国家标准对App收集、存储、传输、处理、使用个人信息等活动进行评价，符合要求后颁发安全认证证书并允许使用认证标识。

其次，实施App安全认证制度，能够长效管控App消费使用环境。安全认证过程中，认证机构对App运营商提出了严格要求，违反相关法律法规的App运营商不得申请认证；获证App运营商应持续进行获证后自评价，并配合认证机构的监督活动；如果获证App运营者在认证过程中存在欺骗、隐瞒、违反承诺等不当行为，认证机构将对证书作出暂停处理，甚至撤销认证。

最后，App安全认证具有约束力，将积极促进行业诚信规范建设，推动行业良性发展。

App安全认证对企业的作用

App安全认证对企业的作用体现在以下几点：

一是获得App安全认证证书，表明App符合《GB/T 35273-2020信息安全技术 个人信息安全规范》的要求，企业能获得个人信息保护合规方面的权威证明，彰显其保护个人信息数据的决心和实力。

二是App运营商在认证实施过程中，通过采取适当的技术与措施来提高数据合规能力，可以进一步规范App收集使用个人信息的行为，有助于提升其个人信息保护意识和能力。

三是获证App运营商可以将App安全认证的证书在其网站、工作场所、宣传资料中展示，应用商店也会明确标识并优先推荐通过认证的App；在用户个人信息保护意识愈发强烈的今天，相较于竞品，获证App在用户群体中有明显的信任优势。

App合规要点及建议

为帮助App运营商更好地理解个人信息收集、使用的合规要求，我们结合在实际检测过程中发现的问题以及当前的监管趋势，提出以下合规建议：

一是App运营商应首先明确划分基本业务功能和扩展业务功能。根据《GB/T 41391-2020 移动互联网应用程序（App）收集个人信息基本要求》，实现用户主要使用目的的业务功能所属的服务类型为该App的类型。服务类型依据《常见类型移动互联网应用程序必要个人信息范围规定》中给出的39种常见服务类型。如果App不属于这39种常见服务类型，应将实现用户主要使用目的的业务功能划分为App的基本业务功能。

二是App运营商应进行内部自查。根据App的服务类型，梳理App运行过程中需要收集的和实际收集的个人信息范围，判断是否是必须收集的个人信息，不是必须收集的个人信息应按照以下原则收集：不能强制收集，如用户不同意就不提供基本业务功能；用户拒绝后，不能频繁征求用户同意干扰用户正常使用；应在相应功能触发时才收集相应的个人信息，不能提前收集。

三是完善隐私政策的内容和告知形式。隐私政策中应明确告知App收集使用个人信息的业务场景、目的，采取适当的增强方式（如弹框提示）告知用户；隐私政策更新时也应采取适当的方式告知用户。

四是获取用户的授权同意，遵循以下几点要求：用户同意隐私政策前，不能收集用户的任何信息；收集个人信息时应告知收集、使用的规则，并征得用户的同意，避免默认选择同意等非明示方式；收集个人敏感信息时应征得用户明示同意，收集个人生物识别前，应单独告知用户并征得用户明示同意。

五是对未成年人提供特殊保护。应在隐私政策中明确收集使用未成年人（包括年满14周岁和不满14周岁）个人信息的使用规则；App服务类型属于游戏和教育等主要业务功能涉及收集未成年人信息的，应制定儿童个人信息保护政策，设置有效筛选条件判断是否为未成年人。

六是避免过度收集信息。收集的个人信息类型应与实现产品或服务的业务功能有直接关联；达到收集的“最低频率”与“最少数量”的要求。

七是第三方收集管理。App接入第三方时，应满足以下要求：隐私政策中明确列出第三方的身份信息、联系信息、收集的个人信息和目的；和第三方通过合同等形式明确双方的安全责任和应实施的个人信息安全措施；对第三方进行持续的监督。

八是注意国外法律的适用。如果App跨国运营、使用，App运营商需遵从国外的法律法规。部分国外法律在个人信息定义与保护制度上与我国的法律政策有所不同，在某些领域对运营商提出了更加严格的要求。例如，在做出自动化个人决策和画像时，欧盟地区运营商应告知被处理的个人信息的主体相关处理，给予个人信息主体便捷的人工干预或质疑的方法，并定期检查确保自动化个人决策和画像系统按照预定方式运行。

违法收集的法律责任

《App安全认证实施规则》明确指出，通过认证并不能免除获证App运营商对获证App承担的法律责任。此处所指的法律责任在《中华人民共和国消费者权益保护法（2013年修正）》《中华人民共和国网络安全法》《中华人民共和国刑法（2020年修正）》《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等法律法规中均有体现。违法收集、使用或提供个人信息不仅可能导致民事责任或行政责任，还有可能导致刑事责任，并可能面临最高7年有期徒刑的刑罚。

无论对App运营商还是用户，App安全认证都有重要意义和作用。我们期望能有更多的企业通过认证，营造良好的App消费使用环境，建立规范化的收集、使用个人信息的行业生态，达到推动行业良性发展的作用。

作者为中国网络安全审查技术与认证中心 信息产业信息安全测评中心 陈萍