被监管“盯上”的个人信息:详解APP过度采集的通报逻辑与整改实务

📖 《中华人民共和国个人信息保护法》

第五条规定：“处理个人信息应当遵循合法、正当、必要和诚信原则……”

第六条规定：“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。”

🔸 功能定义是否清晰？你必须能准确定义APP提供给用户的每一项服务或功能。

🔸 信息与功能是否直接关联？收集的每一项个人信息，都必须像拼图一样，严丝合缝地对应到某一个具体功能上。

🔸 是否存在替代方案？是否有对个人权益影响更小的替代信息或技术方案可以实现同样的功能？

❌ 大而化之的捆绑：一款手电筒APP，申请获取用户的精确地理位置、相册访问和通讯录权限。

❌ 功能与权限错配：一款视频播放器APP，其核心功能是播放本地视频，但在用户首次启动时就申请获取麦克风权限。

1. 绘制“功能-信息”地图：以产品功能为单位，全面梳理每一项功能分别需要哪些个人信息和设备权限。制作一份清晰的“功能-权限-信息”对应表。

2. 进行“必要性”审查：对上述表格中的每一项信息收集行为，逐一进行“灵魂拷问”——如果去掉这个信息，功能是否还能基本实现？如果答案是“能”，那么这项收集行为就极有可能被认定为“非必要”。

3. 实施“最小化”设计：在产品设计阶段，就应秉持数据最小化的理念。例如，需要用户年龄信息进行用户画像时，是需要精确的“出生年月日”，还是只需要“年龄段”？后者对个人权益影响更小。

国家标准GB/T 35273《信息安全技术 个人信息安全规范》明确要求：“在App首次运行时，应通过弹窗等显著方式向用户提示隐私政策，并由用户自主选择是否同意隐私政策。”“在收集个人信息前，应向个人信息主体明确告知……并获得个人信息主体的授权同意。”

🔸 1. 先展示，后行动：APP首次启动时，任何收集个人信息或申请权限的行为都不能发生。必须首先弹出隐私政策，等待用户阅读并点击“同意”。

🔸 2. 同意前是“静默”状态：在用户点击“同意”之前，APP（包括其内嵌的第三方SDK）不得读取设备识别码（如IMEI、MAC地址、Android ID等）、应用列表、剪贴板信息等。这是一个技术“红线”。

🔸 3. “默认同意”是陷阱：隐私政策的同意选项不能是默认勾选的，必须由用户主动做出“同意”的动作。

💨 “偷跑”行为：用户首次打开APP，还未看到隐私政策弹窗，后台监测工具已发现APP开始读取设备唯一标识符。

🐷 SDK“猪队友”：APP主程序虽然合规，但集成的某个第三方统计SDK或广告SDK在APP启动瞬间就开始非法收集信息。

🚫 变相强制：隐私政策弹窗的“同意”按钮做得巨大且亮眼，而“不同意”或“退出”按钮则小到难以发现，或者干脆没有，用户不同意就无法使用APP任何功能（即使是无需个人信息的核心功能）。

1. 代码级自查：组织技术团队对APP的启动链路进行代码审查，确保在用户点击同意之前，没有任何函数调用会触发个人信息或设备信息的读取。

2. 严审第三方SDK：对所有集成的SDK进行严格的合规审计。要求SDK提供方出具其合规承诺，并使用技术工具（如抓包分析）监控SDK在APP启动和运行期间的真实行为。在集成时，务必确保SDK的初始化函数在用户同意隐私政策之后才被调用。

3. 优化同意界面：设计清晰、中立的隐私政策弹窗。提供明确的“同意”和“不同意/退出”选项。对于可以独立使用的基本功能，应允许用户在不同意收集非必要信息的情况下继续使用。

📖 《App违法违规收集使用个人信息行为认定方法》

三、以下行为可被认定为“未经用户同意收集使用个人信息”：

1. 征得用户同意前就开始收集个人信息或打开可收集个人信息的权限；

2. 用户明确表示不同意后，仍收集个人信息或打开可收集个人信息的权限，或频繁征求用户同意、干扰用户正常使用；

3. 实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围；

4. 以默认选择同意隐私政策等非明示方式征求用户同意；

5. 未经用户同意更改其设置的可收集个人信息权限状态，如App更新时自动将用户设置的权限恢复到默认状态；

6. 利用用户个人信息和算法定向推送信息，未提供非定向推送信息的选项；

7. 以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限，如故意欺瞒、掩饰收集使用个人信息的真实目的；

8. 未向用户提供撤回同意收集个人信息的途径、方式；

9. 违反其所声明的收集使用规则，收集使用个人信息。

🔸 即时触发：不要在APP一启动或用户一登录时，就弹出一连串的权限申请，轰炸用户。而应在用户真正要使用到某个需要特定权限的功能时，再适时弹出申请。

🔸 场景明确：弹出的权限申请框中，必须用通俗易懂的语言，清晰地解释“为什么需要这个权限”。例如，不是简单地说“APP需要相机权限”，而是说“为了拍摄头像/扫描二维码，需要您授权使用相机”。

🧑‍🧑‍🧒‍🧒 权限申请“全家桶”：用户首次启动一款社交APP，还未进行任何操作，系统就接连弹出“请求定位权限”“请求访问通讯录”“请求使用麦克风”等多个申请。

😵‍💫 目的告知模糊：申请定位权限时，弹窗提示为“为给您提供更好的服务”。用户完全不清楚“更好的服务”具体指什么，是被动接受广告推送，还是使用地图功能。

1. 权限申请时机后置：将所有非核心功能必需的权限申请，都后置到用户主动触发相应功能的节点。示例：一个电商APP，定位权限应在用户点击“附近门店”时申请；相机权限应在用户点击“扫一扫”或“拍照评价”时申请；通讯录权限应在用户使用“推荐给好友”功能时申请。

2. 优化权限申请文案：精心设计每一条权限申请的说明文案。公式是：“为了实现【具体功能】，我们需要您授权【某权限】。”

3. 提供B方案：如果用户拒绝了某个权限，APP不应直接闪退或卡死。应优雅地处理，比如提示用户“无法使用该功能，您可以在系统设置中重新开启”，或者提供一个无需该权限的替代方案（如手动输入地址代替定位）。

🔸 后台行为：APP在后台运行时，除非是为了实现如持续导航、后台播放等用户明确知晓且必要的功能，否则不应频繁收集位置、传感器等敏感信息。

🔸 前台行为：APP在前台运行时，信息的获取频率也应与功能需求匹配。例如，一个天气APP，每隔几小时或在用户手动刷新时获取一次位置信息就足够了，没有必要每分钟都获取一次。

❌ 后台“潜行者”：某出行APP，用户已结束行程并将其切换至后台，但APP仍在以数分钟一次的频率持续获取用户位置信息。

❌ 过度敏感：一个阅读APP，为了实现“摇一摇”反馈功能，以极高频率持续读取加速度传感器信息，不仅耗电，也收集了远超必要范围的数据。

1. 明确前后台行为差异：严格区分APP在前台和后台状态下的数据收集策略。非必要，不后台收集。如确需后台收集，必须在隐私政策中明确告知，并在系统中以显著方式（如状态栏图标）提示用户。

2. 设定合理的轮询周期：根据功能特性，设定合理的、最低限度的信息获取频率。优先采用“事件触发”机制（如用户点击刷新）而非“定时轮询”机制。

3. 提供用户控制选项：对于一些非核心功能的数据收集（如个性化推荐所需的用户行为数据），应允许用户在APP设置中自主开启或关闭。