近年来，App强制授权、过度索权、超范围收集个人信息的现象越演愈烈。2019年以来，国家多部委重拳出击，着重整治App违规违法收集个人信息乱象。截至目前，已有几十款App遭到强制下架、上百款App被点名整改，App收集个人信息领域迎来了强监管元年。面对来势汹汹的强监管高压，App运营商该如何做好信息收集工作？哪些个人信息可以收集？哪些不行？其中有哪些风险点值得关注？接下来一段时间，本团队将陆续推出App合规的系列文章，为App运营商合规收集个人信息提供方法和思路。
 
本篇是系列文章的第六篇：App运营商使用个人信息的注意事项
 
App运营商在收集用户信息时需要遵循合法、正当、必要三大原则，且需要获得用户的同意，同时隐私政策应做好区分业务功能的准备。实际上，App运营商在使用用户信息上也需要做到合规操作。
 
一、做好个人信息访问的控制措施
 
App运营商在使用个人信息时应做好个人信息访问的控制措施，避免出现内鬼，盗取个人信息对外贩售。首先，对被授权访问人员，App运营商应建立最小授权的访问控制，包括对个人信息的重要操作设置内部审批流程，层层把关，使得用户信息的使用符合业务功能的目的；其次，对于管理人员、操作人员和审计人员，App运营商应设置角色分离机制，建立一套类似于财务审批需要审核、复核，出纳人员各司其职的角色流程；最后，如确需授权超权限处理个人信息的，App运营商应指定负责人进行审批，并记录在册，做到事事留痕，有迹可循。
 
司法实践中，曾出现多例因未做好合规使用个人信息导致公司出现严重问题，甚至公司负责人被判刑的案件。其中，最著名的案例当属“数据堂案”：
 
二、限制个人信息使用的目的
 
除了建立一套个人信息访问的控制操作流程外，App运营商应明确使用个人信息的目的须与其在隐私政策中所公示的目的相符。其中，对所收集的个人信息进行加工处理而产生的信息，能够单独或与其他信息结合识别自然人个人身份，或者反映自然人个人活动情况的，也应将其认定为个人信息。
 
实践中存在不少“大数据杀熟”的现象，例如：
现象一
有亚马逊用户反映，他删除浏览器的cookies后发现，之前浏览过的DVD商品售价从26.24美元降到了22.74美元。
现象二
2018年，有网友爆料称被“飞猪”APP杀熟，利马到布宜诺斯艾利斯的机票，同一航班，别人卖2500，“飞猪”APP却卖自己3211元。另外,也有人爆料自己搜索到的机票价格是2300+，实际下单后却变成了2900+。甚至还有人仅仅是因为使用支付宝的频率较高，就发现同样的酒店、房间和时间价格却有差异。
现象三
有人反映，自己经常用某账户买牛奶，一段时间后发现自己账户登录后看到的牛奶价格比家人账户下看到的贵了约6块钱，而有些别的账户甚至通过链接都找不到该款牛奶。同样的商品对不同的人也有不同价格。
现象四
有人爆料称，自己是饿了么金牌会员，经常点餐的餐厅原本自动有折扣，但自己选择地址后折扣就被取消，而用同事的手机下单仍有折扣，差价可达14元。另有人和同事一起订同样地点同样菜品的外卖，配送费却相差2元。
 
上述现象就与App运营商收集使用了用户信息有关。如果App运营商未在隐私政策中主要明示其将使用用户信息用于分析用户行为等目的，笔者认为上述“大数据杀熟”的情况归根到底从信息使用来源上就存在违法的状态。
 
三、做好用户画像与个性化展示
 
除了前述两点外，App运营商使用个人信息在用户画像和个性化展示时也应该做好合规操作。首先，用户画像中对个人信息主体的特征描述应合法、符合公序良俗；其次，新闻信息个性化展示中，应显著区分个性化推送服务，提供退出或关闭选项；最后，根据消费者的兴趣爱好、消费习惯等特征向其提供个性化展示，应同时提供不针对其个人特征的选项。实际上，上述“大数据杀熟”的现象也是App运营商未合规做好用户画像与个性化展示的结果。