【引言】
 
近年来，App强制授权、过度索权、超范围收集个人信息的现象越演愈烈。2019年以来，国家多部委重拳出击，着重整治App违规违法收集个人信息乱象。截至目前，已有几十款App遭到强制下架、上百款App被点名整改，App收集个人信息领域迎来了强监管元年。面对来势汹汹的强监管高压，App运营商该如何做好信息收集工作？哪些个人信息可以收集？哪些不行？其中有哪些风险点值得关注？接下来一段时间，本团队将陆续推出App合规的系列文章，为App运营商合规收集个人信息提供方法和思路。
 
本篇是系列文章的第十篇：App运营商处理用户信息的合规小结。本系列文章已写至第十篇，在前九篇，笔者主要介绍了政府机构如何监管App运营商，并就何为个人信息，如何制定隐私政策，如何收集、使用、共享、转让个人信息以及用户应享有的主体权利做了较为详细的介绍。在本篇中，笔者将归纳总结App运营商处理用户信息的合规要点，大致分为：如何认定个人信息，如何制定隐私政策以及制定隐私政策后如何贯彻执行。
 
01 如何认定个人信息
 
根据《App合规十讲（二）：个人信息如何识别？》一文可知，我国对于个人信息的识别方法经历了“直接识别”法到“直接识别+间接识别”法再到“识别+关联”法的演变。“识别+关联”法中的“识别”是指从信息到个人，即由信息本身的特殊性识别出特定自然人，个人信息应有助于识别出特定个人；识别+关联”法中的“关联”是指从个人到信息，即如已知特定自然人，则由该特定自然人在其活动中产生的信息 （如个人位置信息、个人通话记录、个人浏览记录等）即为个人信息。
 
笔者在撰写《App合规十讲（二）：个人信息如何识别？》一文时，《个人信息保护法（草案）》尚未出台，2021年4月下旬，《个人信息保护法（草案）》二审征求意见稿出台，笔者发现关于个人信息的识别方法并未发生变化，还是按照“识别+关联”法进行判断。
 
02 转隐私政策的制定
 
根据《App合规十讲（三）：如何制定合格的隐私政策？》一文可知，一份合格的隐私政策至少应符合独立性、合理性、完整性和透明性要求。
 
独立性是指隐私政策应该独立成文。关于独立性要求不合规的表现包括：App没设置隐私政策；没有单独的隐私政策，只有隐私保密声明；隐私政策存在于用户协议当中等。
 
合理性是指App运营商设置隐私政策条款时，不应设置不公平条款，例如规定免除己方责任，加重对方义务的条款。
 
完整性是指App运营商设置隐私政策条款时，隐私政策的内容应包含APP运营商是“如何收集和使用个人信息”、“如何使用Cookie和同类技术”、“如何共享、转让、公开披露个人信息”、“如何保护用户个人信息”、“如何保护用户权利”、“如何处理儿童个人信息”、“如何在全球范围转移”等。
 
透明性是指App运营商设置隐私政策条款时，隐私政策无论是通过弹窗还是文本链接，位置应该较为突出明显，无异物遮挡，内容透明，易于理解。
 
03 隐私政策的执行
 
在制定一份合格的隐私政策后，App运营商应严格贯彻落实其在隐私政策中的承诺事项。
 
App运营商在收集用户信息时必须遵循合法、正当、必要三大原则，需要获得用户的同意，同时App运营商收集用户信息应做好区分业务功能的技术支持。
 
App运营商在使用用户信息时，要做好个人信息访问的控制措施，建立内部审批流程。此外，APP运营商还须使得使用个人信息的目的与其在隐私政策中所公示的目的相符。
 
App运营商在共享用户信息时，应事先征得主体授权同意，如果个人信息属于敏感信息的，还应该事先征得主体的明示同意；共享时应准确记录和保存个人信息的共享、转让情况等；应事先开展安全影响评估，并依评估结果采取有效措施。
 
App运营商在委托处理、转让、公开披露等环节处理个人信息时，App运营商应准确记录和保存个人信息的委托处理、转让、公开披露的情况，事先开展个人信息安全影响评估，并依评估结果采取有效的保护用户的措施；向用户告知委托处理、转让、公开披露个人信息的目的、类型，并事先征得用户的明示同意。
 
App运营商应赋予用户处理个人信息的查询权、更正权和删除权/注销权，例如App运营商应告知用户其所持有的关于该用户的个人信息或个人信息的类型，用户个人信息的来源、所将使用的功能用途是什么，出于何种目的；已经获得前述个人信息的第三方身份或类型。在用户不再使用App运营商提供的服务，App运营商应主动注销该用户的个人信息。