而困而知 而勉而行

据中央网信办、工信部、公安部、市场监管总局四部门下属「App个人信息举报」平台此前的消息，天天酷跑等30个APP涉嫌违规收集个人信息，被通报要求整改，此前一批30个APP则是在4月份收到整改通知。

虽然被要求整改的APP不多，但是实际上违规的APP大量存在。截至6月11日，成立不足半年的App专项治理工作组共收到举报信息5500多条。

个人信息非法收集现象早就已经被搬到了台面上，但就目前来说，立法还是相当粗犷，对个人信息保护进行细致规定的文件层级低，行政部门执法力度也不够，因此整个APP市场中存在着大量的或打擦边球或明显非法收集个人信息的行为。

现实中，APP运营商们收集用户信息成为常态，当你偶然间看到某些有关部门的报告的时候就会发现，你的信息可能已经被N多APP收集了一遍。

有的APP会提示用户选择是否同意收集个人信息，但你一旦不同意，整个APP都将无法使用。

再有的APP则会选择「守点规矩」，把一大堆有关个人信息收集使用的规则放到个人隐私政策里，再加上一些晦涩难懂的语句，基本上让绝大多数人看了都会选择跳过或者想看也无法看懂。

立法现状条款分散且原则性规定多

《消费者权益保护法》

第二十九条 经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。经营者收集、使用消费者个人信息，应当公开其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息。

经营者及其工作人员对收集的消费者个人信息必须严格保密，不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施，确保信息安全，防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时，应当立即采取补救措施。

经营者未经消费者同意或者请求，或者消费者明确表示拒绝的，不得向其发送商业性信息。

《网络安全法》

第四十一条　网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。

第四十二条　网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。

网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

第四十三条　个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。

《关于开展App违法违规收集使用个人信息专项治理的公告》

中央网信办、工业和信息化部、公安部、市场监管总局于今年1月23日发布的公告，主要是对App违法违规收集使用个人信息专项治理的决定。

《信息安全技术个人信息安全规范》（GB/T 35273-2017）

2018年5月1日起实施的推荐性国家标准，不具备强制性。规范较为详尽地对个人信息保护进行了说明和定义。

《App违法违规使用个人信息自评估指南》

这是今年初App专项治理工作组成立后推出的一个非常具有实际指导意义的标准，可供APP运营者参照进行自查自纠。

评估指南总的分为隐私政策文本、APP收集使用个人信息行为、APP运营者对用户权利的保障三大部分，具体又细分为9个评估项和32个评估点。评估指南也是App专项治理工作组目前执法过程中的一个重要依据。

《App违法违规收集使用个人信息行为认定方法》(征求意见稿)

总共为七条32项，每一条均细化规定了违规收集个人信息的情形，是很有实际意义的一份文件，目前尚未正式出台。

七大条款分别为：一、没有公开收集使用规则的情形；二、没有明示收集使用个人信息的目的、方式和范围的情形；三、未经同意收集使用个人信息的情形；四、违反必要性原则，收集与其提供的服务无关的个人信息的情形；五、未经同意向他人提供个人信息的情形；六、未按法律规定提供删除或更正个人信息功能的情形；七、侵犯未成年人在网络空间合法权益的情形。

《刑法》

第二百五十三条之一　【侵犯公民个人信息罪】违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。

《个人信息保护法》目前仍在立法过程中。

此外还有《民法总则》第一百一十一条、《电子商务法》第五条、第二十三条、《消费者权益保护法》第十四条、第五十条、《网络安全法》第二十二条、第四十四条等更加原则性的规定。

违规收集个人信息可能面临的行政处罚

根据《网络安全法》《消费者权益保护法》等规定，行政部门可以采取的处罚措施有：责令整改、警告、没收违法所得、罚款、责令暂停相关业务、停业整顿、吊销相关业务许可证或吊销营业执照等。

本次「天天酷跑」等30款App就是因违反《网络安全法》第四十一条的规定而被责令整改。

违规收集可能成为民事诉讼被告

开心消消乐案

（2018）京0107民初2442号

2018年，原告刘瑞博起诉了「开心消消乐」的运营公司乐元素科技（北京）股份有限公司，认为乐元素公司侵犯了其侵私权。原因为原告发现，乐元素公司在未向原告进行任何告知、询问的情况下，开启了包括「存储」、「位置」、「电话」、「相机」、「短信」、「通讯录」等的全部可授权的应用权限。原告为此请求法院判令「开心消消乐」停止侵权，乐元素公司向其支付1元精神损失赔偿金，并赔礼道歉。乐元素公司提起了管辖权异议，案件因此被移送到了北京市海淀区法院，目前案件尚无结果。

值得关注的是，App专项治理工作组于5月24日发布的《百款常用App申请收集使用个人信息权限列表》中，「开心消消乐」申请收集个人信息相关权限数一栏为10，包括拍摄、读取通讯录、访问精准定位、读取电话状态、拨打电话等，而用户不同意开启，则App无法安装或运行的权限数一栏也为10。

窃取或违规出售个人信息可能面临刑事处罚

目前来看，涉及用户信息类的案件更多地集中于出售用户信息行为所导致的刑事案件中。

常凯、颜兴旺等侵犯公民个人信息案

（2018）鲁13刑终549号

为提供精准营销服务，数据堂（北京）科技股份有限公司向外部购进含有公民个人信息的数据后出售给扬州金时信息科技有限公司，扬州金时信息科技有限公司再将这些数据对外进行非法售卖。最终数据堂公司的直接负责人员和金时公司的主要人员被分别判处了十个月到三年不等的有期徒刑。

值得注意的是，法院曾向检察院建议对数据堂公司作为单位犯罪补充起诉，但检察院未采纳，否则数据堂公司本身也极有可能被判处罚金。

如何做才是合法合规

虽然法条分散，但是对《信息安全技术个人信息安全规范》（GB/T 35273-2017）、《App违法违规使用个人信息自评估指南》等几份重要文件进行梳理后我们还是可以发现一个基本脉络，笔者总结为：

隐私策政公平公开

个人信息收集明示+必要性

经用户同意收集和向他人提供

提供删除更正功能

一、隐私策政公平公开

隐私策政要单独成文，易于访问、易于阅读，进入App主功能界面后，4次点击以内能够访问到隐私政策。不设置不合理条款，如免除自身责任、加重用户责任、排除用户主要权利条款等。

二、个人信息收集明示+必要性

明示收集个人信息的范围、目的和方式，对收集信息的业务功能进行逐项列举，逐一列出收集个人信息的类型、频率，特别是针对个人敏感信息，收集个人息信以必要性为限，不收集与服务无关的信息。

三、经用户同意收集和向他人提供

提示用户阅读隐私政策并提供选择同意或不同意的选项，不以默认、捆绑、停止安装使用等手段变相强迫用户授权。不在未经同意的情况下就开始收集个人信息。拟向他人提供收集的个人信息的，也需要说明对外提供的目的、提供的信息类型、接收方身份，未经同意不得对外提供。

四、提供删除更正功能

为用户提供人工或在线等方式的删除、更正个人信息的功能。

结  语

虽然现行有效的规定还不够清晰，执法依据较为模糊，导致过度、违规收集用户信息的乱象大量存在。

但是APP运营者还是应当把握住用户信息收集和使用的核心原则，不打擦边球，结合文中的具体文件规定加强法务风控。随着法律的完善，执法也将日趋严格，可以预见，简单的整改必然不会是未来执法中的唯一措施。