看完上半年的App、小程序违规通报,我发现…

上半年个人信息保护系列专项观察

各个机构在通报中引用的法律除了三个上位法外，还有《常见类型移动互联网应用程序必要个人信息范围规定》《网络产品安全漏洞管理规定》《电信条例》《电信和互联网用户个人信息保护规定》《App违法违规收集使用个人信息行为认定方法》和《网络数据安全管理条例》。

其中，《App违法违规收集使用个人信息行为认定方法》的内容、语言表述与通报中的典型问题几乎一一对应。这也不难理解——毕竟该文件就是由四部委联合制定，等于“通报的标准答案”。

推荐所有正在自查的企业，优先对照这份认定方法逐条排查。另外上文所列的其他法律依据也是有用的，只是并非通报表述话术，不可忽略。

虽然《App违法违规收集使用个人信息行为认定方法》几乎涵盖了90%的通报点，但还是有一些孤例。这些孤例并非是凭空出来的，在法律依据上并不模糊，只是在前几年的通报中不常见，我列一下供企业自查参考：

（1）个人信息处理者处理不满十四周岁未成年人个人信息的，未制定专门的个人信息处理规则；收集未成年人信息未取得监护人单独同意。（特别注意此项通报里的三款App都不是儿童向的）

（2）通过自动化决策方式向个人进行信息推送、商业营销，未同时提供不针对其个人特征的选项，或者未向个人提供便捷的拒绝方式。（这个点公安部和国家网络安全通报中心都查了 ）（3）信息窗口乱转跳（工信部独家）（4）信息窗口无法关闭（工信部独家）（5）强制用户使用定向推送功能（6）应用分发平台上的App信息明示不到位 （工信部独家）

川渝的通报方式值得点赞。每期通报除了几个字的违规描述外，还会附两个典型案例说明详情，例如“登录时收集用户短信验证码，但隐私政策未列出”““APP以隐私政策弹窗的形式向用户明示收集使用规则，但未见清晰明示APP收集传感器、SD卡数据等的目的方式范围，用户同意隐私政策后，存在收集传感器、SD卡数据的行为”。这样对于企业的参考价值会大一些（但也不多）。

目前联合通报已经发了五期，链接在这里：第一期、第二期、第三期、第四期、第五期

专项行动刚发的时候写了一个一起读，这次回顾把它翻出来，觉得我的建议还挺实用的：

根据专项行动规划，下半年将聚焦以下三类问题：❹ 公共场所违法违规收集使用人脸识别信息❺ 线下消费场景中违法违规收集使用个人信息❻ 多行业的个人信息违法犯罪行为及相关案件

上半年监管重心集中在线上应用形态，而下半年则明显转向线下物理空间与高敏场景中的个人信息处理行为，尤其是线下+生物识别技术结合的场景，比如商场或写字楼中“无感通行”“人脸签到”系统、零售门店中“刷脸支付”等。

不同于App可被用户下载/卸载，线下人脸采集往往发生在非对等场景，用户更是难以拒绝，这恰恰是监管重点打击的“技术强制”与“默认同意”。这些执法行动还能和6月1日生效的《人脸识别技术应用安全管理办法》（这篇也有写过）配合。可以预见，商业地产、连锁门店、教育培训场所等高频“刷脸”场景，将成为重点监察对象。

另外第六项“违法犯罪案件”的表述也明确升级。不仅锁定网络借贷、教育、医疗等传统高风险行业，还新增了求职招聘、出行购票、旅游住宿等场景，并强调对下列行为的集中打击：• 通过暗网、电报等境外渠道售卖公民个人信息；；• 在境内平台非法买卖、传输、公开个人信息；• 发生信息系统遭攻击、数据被窃取、批量泄露等安全事件。

监管目标已从“规范数据收集”进一步扩展至打击黑灰产链条、查处系统性数据安全事件，执法方向从“入口控制”延伸到“全链路防控”。

上半年考试还没完，下半场哨声已响，同志们加油。