【引言】
 
近年来，App强制授权、过度索权、超范围收集个人信息的现象越演愈烈。2019年以来，国家多部委重拳出击，着重整治App违规违法收集个人信息乱象。截至目前，已有几十款App遭到强制下架、上百款App被点名整改，App收集个人信息领域迎来了强监管元年。面对来势汹汹的强监管高压，App运营商该如何做好信息收集工作？哪些个人信息可以收集？哪些不行？其中有哪些风险点值得关注？接下来一段时间，本团队将陆续推出App合规的系列文章，为App运营商合规收集个人信息提供方法和思路。
 
本篇是系列文章的第九篇：App运营商委托处理、转让等环节处理个人信息的注意事项。
 
01 委托处理个人注意事项
 
对于委托方而言，App运营商在委托处理用户信息、作出委托行为时，不应超出已征得用户授权同意的范围；应对委托行为进行用户信息的安全影响评估，确保受委托者能妥善处理用户信息。委托方有权对受委托者进行监督，监管的方式可以通过合同约定，也可以对受委托方进行审计。
 
对于受委托方而言，受委托方应严格按照App运营商的要求处理个人信息。如果受委托者确实因为特殊情况无法按照App运营商的要求处理个人信息的，应及时向App运营商反馈。如果受委托方再次转委托时，应事先征得App运营商的授权。此外，如果受委托者在处理个人信息过程中无法提供足够的安全保护水平或发生了安全事件的，应及时向App运营商反馈，必要时可以解除委托关系。委托关系解除后，受委托方不允许再保存个人信息。
 
02 转让个人信息注意事项
 
App运营商转让个人信息分为两种情况：
第一种情况是非因收购、兼并、重组、破产原因的转让；
第二种情况是因收购、兼并、重组、破产原因的转让。
 
针对非因收购、兼并、重组、破产原因的转让，App运营商应事先开展用户安全影响评估，并依评估结果采取有效的保护用户的措施；主动向用户告知转让个人信息的目的、数据接收方的类型，并事先征得用户的授权同意；准确记录和保存个人信息的转让情况，包括转让的日期、规模、目的，以及数据接收方基本情况等；承担因转让个人信息对个人信息主体合法权益造成损害的相应责任等。
 
针对因收购、兼并、重组、破产原因的转让，App运营商应主动向用户告知有关情况；变更后的App运营商应继续履行原App运营商的责任和义务，如变更个人信息使用目的时，应重新取得用户的明示同意。
 
03 个人信息公开披露注意事项
 
实际上，用户信息原则上是不应被公开披露的，特别是个人生物识别信息、基因信息等敏感信息。但是如App运营商经法律授权或具备合理事由确需公开披露时，可以披露用户信息。需注意的是，App运营商公开披露用户信息时，应事先开展个人信息安全影响评估，并依评估结果采取有效的保护用户的措施；向用户告知公开披露个人信息的目的、类型，并事先征得用户的明示同意；App运营商应准确记录和保存个人信息的公开披露的情况，包括公开披露的日期、规模、目的、公开范围等，并承担因公开披露个人信息对个人信息主体合法权益造成损害的相应责任。