近年来，App强制授权、过度索权、超范围收集个人信息的现象越演愈烈。2019年以来，国家多部委重拳出击，着重整治App违规违法收集个人信息乱象。截至目前，已有几十款App遭到强制下架、上百款App被点名整改，App收集个人信息领域迎来了强监管元年。面对来势汹汹的强监管高压，App运营商该如何做好信息收集工作？哪些个人信息可以收集？哪些不行？其中有哪些风险点值得关注？接下来一段时间，本团队将陆续推出App合规的系列文章，为App运营商合规收集个人信息提供方法和思路。

本篇是系列文章的第五篇：App运营商收集用户信息的合规要点

    如上一篇文章所述，App运营商收集用户信息需要遵循合法、正当、必要三大原则。实际上，除此之外，App运营商收集用户信息还需要获得用户的同意，同时隐私政策应做好区分业务功能的准备。

一、 合规要点一：用户同意

2016年人大常委会发布《网络安全法》规定：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。”因此，我国对于个人信息的采集一直以执行“告知+用户同意”为判断标准。

根据《信息安全技术 个人安全规范》的规定，“用户同意”包括用户“授权同意”和“明示同意”。所谓的“授权同意”类似于默示同意，对于一般的个人信息，只要用户不反对，即视为其默示同意；所谓的“明示同意”是指“个人信息主体通过书面声明或主动做出肯定性动作，对其个人信息进行特定处理做 出明确授权的行为。”个人敏感信息，则需要经过用户的明示同意。此外，对于间接获取用户信息的，按照《信息安全技术 个人安全规范》的要求，须要求个人信息提供方说明个人信息来源，了解提供方已获得的个人信息处理的授权同意范围。

虽然在2021年出台的《个人信息保护法（草案）》第二次征求意见稿中，《个人信息保护法（草案）》对收集用户信息的方式做了大幅度的修改，规定：“第十三条 符合下列情形之一的，个人信息处理者方可处理个人信息:
(一)取得个人的同意；
(二)为订立或者履行个人作为一方当事人的合同所必需；
(三)为履行法定职责或者法定义务所必需；
(四)为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；
(五)依照本法规定在合理的范围内处理已公开的个人信息；
(六)为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；
(七)法律、行政法规规定的其他情形。

依照本法其他有关规定，处理个人信息应当取得个人同意，但有前款第二项至第七项规定情形的，不需取得个人同意。”该条款突破了“告知+同意”的收集模式，规定除了“同意”模式外，如出现其他情形，还可以收集用户信息。
又因《个人信息保护法》尚未出台，当前App运营商如果要收集用户信息，得到用户同意仍是必不可少的合规要素。

二、 合规要点二：区分业务功能

《信息安全技术 个人安全规范》规定，业务功能分为基本业务功能和拓展业务功能。基本业务功能应符合个人信息主体选择、使用所提供产品或服务的根本期待和最主要的需求。扩展业务功能是指将产品或服务所提供的基本业务功能之外的其他功能，比如改善服务质量、提升用户体验、研发新产品等。因此，App运营商在收集用户信息时，应主动区分收集的哪些用户信息是为了基本业务功能，哪些用户信息是为了拓展业务功能，并赋予用户主动拒绝App运营商为拓展业务功能收集信息的权利。

实践中，不少App运营商未主动区分业务功能，如遇到监管机构监管，可能存在被处罚、甚至被下架的风险。

反面案例一：支付宝（苹果系统版本号：10.1.32）未区分基本业务功能和拓展业务功能。