本篇介紹：個人資訊收集
本篇為第1篇/共xx篇
下一篇：企業資料保護合規體系建設經驗總結（二）

引子

距離之前寫《企業安全隱私合規體系建設經驗總結》已經有一年多了，在過去的這一年多中，我最大的變化就是換了一家公司，并做為安全部負責人，在這里我仍然兼管公司安全合規體系建設，在系統的回顧建設歷程后寫下了本系列《企業資料保護合規體系建設經驗總結》，以讓后來人及自己以后都少走彎路，

由于前東家的業務主要是歐美地區的，因此之前的《企業安全隱私合規體系建設經驗總結》主要參照的是歐美的法律法規標準，而新東家的業務則完全是國內的，那么本系列《企業資料保護合規體系建設經驗總結》則主要參照的是國內的法律法規標準，

前言

資料保護應當遵循“四個全覆寫”的要求：覆寫資料的全生命周期；覆寫業務經營、風險管理和內部控制流程中的全部資料；覆寫內部資料和外部資料；覆寫所有分支機構和附屬機構，

具體來說，為確保資料相關運作合法合規，企業應將資料保護體系貫徹資料的全生命周期，配合建立網路安全相關法律法規要求的各項制度，符合法律法規對于個人資訊保護的各項規定要求，參照相關國家標準的細化要求，進行個人資訊全生命周期的合規安排，

回到本篇主題，那何為個人資訊收集？

對于這個問題，《個人資訊安全規范》第3.5條、《個人資訊告知同意指南》第5.1條、《網路安全法》第41條均對個人資訊收集做了說明，我們來看看《個人資訊安全規范》第3.5條，其他的相關法規條款請讀者自行查閱，

《個人資訊安全規范》第3.5條規定：個人資訊收集是指獲得個人資訊的控制權的行為，包括直接收集個人資訊和間接收集個人資訊兩種方式，其中直接收集個人資訊是指個人資訊主體主動提供、通過與個人資訊主體互動或記錄個人資訊主體行為等自動采集的行為；間接個人資訊收集是指通過共享、轉讓、搜集公開資訊等間接獲取個人資訊的行為，

接下來，我將從個人資訊收集的合法性、必要性、被收集者同意、征得被收集者同意的例外、隱私政策優化、間接獲取個人資訊的要求等六方面來探討個人資訊收集的合規化，

一、合法性

《個人資訊安全規范》第5.1條規定了收集個人資訊的合法性要求，我們在實踐中可參照它的要求來進行實施：

1、不應以欺詐、誘騙、誤導的方式收集個人資訊

不能以欺詐、誘騙等不正當方式誤導用戶同意收集個人資訊或打開可收集個人資訊的權限，比如故意欺瞞、掩飾收集個人資訊的真實目的，

在實際實施中，可以通過實際的技術測驗來判斷是否有誤導行為，但對于宣稱收集資訊只用于A功能而實際上卻用于B功能的行為，除了通過抓包測驗外，也可以與開發面談問詢，例如B功能的實作肯定需要個人資訊做為支撐，但它沒有明面上收集，那這里的個人資訊從何而來？

2、不應隱瞞產品或服務所具有的收集個人資訊的功能

首先，《隱私政策》中不能存在“等、例如”字樣，這是規定的，也就是說，我們需要全面的梳理業務功能，而不能因為懶惰，在隱私政策中使用“等、例如”字樣，進而可避免宣稱收集資訊只用于A功能而實際上卻用于B功能的行為，

在實際監管中，抓包測驗就能發現一切端倪，監管機構也是用這種方式做測驗，然后對不合規APP進行通報整改的，除了監管機構，合規比較嚴格的客戶也會進行盡調審計，

3、不應從非法渠道獲取個人資訊

這個行為是指，通過黑市等非法渠道獲取來源不明的個人資訊，一般的正規公司都不存在這一行為，

需要注意的是，這里除了自身不應從黑市等非法渠道獲取個人資訊外，對于共享或授權個人資訊資料給我們的合作方，也應對其資料來源、是否獲得用戶授權以及授權的范圍進行必要的盡調，以防止產生連帶法律責任，

二、必要性

根據《APP違法違規認定方法》第4條和《APP自評估指南》評估項7，我們可以實踐滿足個人資訊收集的必要性要求，必要性的要求包括：

1、收集的個人資訊型別或打開的可收集個人資訊的權限應為現有業務功能所必需或有合理的應用場景

收集的個人資訊型別或打開的可收集個人資訊權限不得與現有業務功能的應用場景無關，不得過度收集或過度索權，

實踐中典型的問題一般包括：

1）過度收集用戶通訊錄、短信、通話記錄等，或收集身份證號、人臉、指紋等作為應用開啟使用的前提條件，
2）通過積分、獎勵等方式誘導用戶，收集身份證號、人臉、指紋等資訊，
3）APP在用戶還未使用相關功能或服務時，提前申請開啟通訊錄、定位、短信、相機等權限，

需要注意的是，“現有業務功能”是指現有的，而非過去或準備開發的新業務功能，

2、不得因用戶不同意收集非必要個人資訊或打開非必要權限，而拒絕提供業務功能

實踐中存在很多通過拒絕提供業務功能，變相強迫用戶同意收集非必要個人資訊或打開非必要權限的行為，最典型的問題就是APP在運行時向用戶索取與當前服務場景無關的權限，用戶拒絕后，應用直接退出或關閉，

產生這種現象的原因，一般是開發人員因為懶惰，采取了一刀切的方式解決合規要求，此時需要安全向產品、開發普及其中的合規要求，從而使產品走向合規，

3、當新增業務功能申請收集的個人資訊超出用戶原有同意范圍，若用戶不同意，不得拒絕提供原有業務功能，但新增業務功能取代原有業務功能的除外

在實踐中，一個應用更新新的功能非常普遍，此時就要避免出現新功能的索權上繼續使用一刀切的模式，使用戶不同意新功能的索權導致整個應用都不能使用，而解決這個問題的方法和上個一樣，需要安全向產品、開發普及其中的合規要求，從而使產品走向合規，

4、收集個人資訊的頻繁程度不得超出業務功能的實際需要

在實踐中典型的問題是按照一定的頻次收集位置資訊、IMEI或頻繁讀取通訊錄、短信、圖片等，一般情況下，公司存在該方面業務需要的，都沒有太大問題，因為如何才算得上頻繁并沒有考量標準，但需要我們重點關注的，就是業務功能根本不需要這些資料，卻進行頻繁收集的情況，

5、不得僅以改善服務質量、提升用戶體驗、定向推送資訊、研發新產品等為由，強制要求用戶同意收集個人資訊

前面我們說了，收集的個人資訊必須是要有對應的業務功能的，因此，在實踐中，APP可以將改善服務質量、提升用戶體驗、定向推送資訊、研發新產品等目的與其他業務功能相結合，從而確保使用個人資訊的型別與具體業務功能相對應，

6、不得要求用戶一次性同意打開多個可收集個人資訊的權限，用戶不同意則無法使用

對于一攬子收集的問題有一個特殊情況，Android 6.0以前，APP在安裝前需要先獲取所有權限，得到用戶同意后才能進行安裝，Android 6.0及之后谷歌才開發了即時權限獲取功能，即用到這個權限的時候再申請，不再安裝前一攬子獲取，而目前市面上APP基本都還支持Android 6.0之前的版本，這屬于不可抗力因素，

但是對于Android 6.0及之后的系統，仍一攬子收集就是我們自己的責任了，在實踐中我們通過簡單的測驗就能判斷它是否合規，同時，在實際測驗中，我們應當注意，用戶不同意應僅影響與所拒絕提供個人資訊相關的業務功能，不能影響其他業務功能的正常使用，不得以不同意一攬子授權為理由不提供任何單一服務，

7、不得在用戶明確拒絕后繼續頻繁索要權限、打擾用戶

實踐中存在很多用戶明確拒絕權限申請后，仍向用戶頻繁彈窗申請開啟與當前服務場景無關的通訊錄、定位、短信、相機等權限的問題，嚴重影響用戶體驗，工信部和各省監管機構也屢次通報了存在這種問題的APP，

這種問題只需簡單的測驗就能發現，因此在APP上線前，可以先做好合規測驗，

三、被收集者同意

對于被收集者同意，根據《網路安全法》第41條的分析，具體的要求包括：

1、不得在征得用戶同意前就開始收集個人資訊或打開可收集個人資訊的權限

實踐中常見的問題包括APP運行時，缺乏向用戶明示且征求用戶同意的環節，收集IMEI、設備MAC地址、通訊錄等個人資訊，或APP運行時，雖然有向用戶并經用戶同意的環節，但個人資訊收集發生在用戶同意前，

在實際監管中，可以通過抓包測驗，檢測在征得用戶同意前是否向服務端發送了個人資訊，對于不合規的地方，可以要求開發進行修復改進，

2、用戶明確表示不同意后，不得收集個人資訊或打開可收集個人資訊的權限

實踐中有很多用戶明確表示不同意后，仍收集個人資訊或打開可收集個人資訊權限的情況，網路運營者應當尊重用戶意愿，在用戶明確拒絕收集個人資訊或打開可收集個人資訊權限的請求后，不得收集個人資訊或打開可收集個人資訊的權限，

此外，需要注意的是，用戶明確拒絕收集個人資訊或打開可收集個人資訊權限的請求后，應僅影響與拒絕提供個人資訊或打開可收集個人資訊權限相關的業務功能，不得影響用戶正常使用其他業務功能，

3、實際收集的個人資訊或打開的可收集個人資訊的權限，應與宣告并經用戶同意的收集規則保持一致

隱私政策的作用不僅在于告知用戶并獲得用戶的同意，還在于網路運營者自身收集個人資訊的約束，用戶在悉知并同意隱私政策后，對網路運營者在個人資訊收集處理上會形成合理期待，

實踐中可以先通過了解實際業務，優化隱私政策讓隱私政策合規化，再通過技術測驗來判斷應用是否合規，對于與隱私政策不相符的地方，可連同產品、開發等人員進行合規化改進，

4、不得以默認選擇同意個人資訊保護政策等非明示方式征求用戶同意

目前市面上常見的不合規現象包括：默認勾選同意、注冊即表示同意等，而被監管機構通報的也大多屬于這一類，

在實踐中，合規的方式應當是用戶自主做出肯定性動作，肯定性動作包括主動勾選、主動點擊、主動填寫或輸入、主動開啟、主動簽名等方式，對于是否合規，通過簡單的測驗即可得出結論，

5、不得未經用戶同意更改其設定的可收集個人資訊權限狀態，如APP更新時自動將用戶設定的權限恢復到默認狀態

對于利用APP更新等方式在未經用戶同意的情況下，隱秘修改用戶設定的可收集個人資訊權限狀態的行為，如果沒有專門去查看權限狀態，很難發現該變動，實際測驗中可通過更新APP來手動驗證權限是否有變動，

APP申請呼叫可收集個人資訊權限均應獲得用戶同意，不得未經用戶同意私自更改用戶權限設定，不得利用系統更新升級去更改原有的系統權限設定，

6、收集個人生物識別資訊的特殊要求

《個人資訊安全規范》第5.4條規定：收集個人生物識別資訊前，應單獨向個人資訊主體告知收集、使用個人生物識別資訊的目的、方式和范圍，以及存盤實踐等規則，并征得個人資訊主體的明示同意，

實踐中，應當重點關注三個要點：

1）告知方式：單獨告知；
2）告知內容：收集、使用個人生物識別資訊的目的、方式和范圍，以及存盤實踐等規則；
3）同意方式：明示同意，

四、征得被收集者同意的例外

對于征集被收集者同意的例外情形，我們來看看《個人資訊安全規范》第5.6條中是如何規定的：

a）與個人資訊控制者履行法律法規規定的義務相關的；

舉例：比如國家規定必需要納稅，納稅時收集個人資訊的情況，無需征得你同意

b）與國家安全、國防安全直接相關的；

舉例：我達不到這個高度，舉不出例子

c）與公共安全、公共衛生、重大公共利益直接相關的；

舉例：比如新冠肺炎期間要排查人員流動時收集個人資訊的情況，無需征得你同意

d）與刑事偵查、起訴、審判和判決執行等直接相關的；

舉例：比如當你犯法了公安機關調查你時收集個人資訊的情況，無需征得你同意

e）出于維護個人資訊主體或其他個人的生命、財產等重大合法權益但又難以得到本人授權同意的；

舉例：比如你在昏迷時醫生給你上藥，需要收集你的生物個人資訊的情況，無需征得你同意

f）所涉及的個人資訊是個人資訊主體自行向社會公眾公開的；

舉例：你自己發布出去的個人資訊

g）根據個人資訊主體要求簽訂和履行合同所必須的；

舉例：比如要你履行xx合同的義務時，收集個人資訊的情況，無需征得你同意

h）從合法公開披露的資訊中收集個人資訊的；

舉例：比如從合法的新聞報道、政府公開等渠道收集個人資訊的

i）維護所提供產品或服務的安全穩定運行所必需的；

舉例：比如發現、處置產品或服務的故障

j）個人資訊控制者為新聞單位，且其開展合法的新聞報道所必需的；

舉例：關于新聞單位的，不舉例

k）個人資訊控制者為學術研究機構，出于公共利益開展統計或學術研究所必要，且其對外提供學術研究或描述的結果時，對結果中所包含的個人資訊進行去標識化處理的，

舉例：關于科研院所的，不舉例

五、隱私政策優化

先科普個小知識，隱私政策的出現主要來源于當初歐盟的GDPR，在當時國內還沒有相關法律，因此為了統一業務合規，大多數跨國公司在國內業務中也使用了隱私政策，而現在，《個人資訊安全規范》中將其規定為個人資訊保護政策，但由于隱私政策這個名稱使用已久，我們今天仍稱將其之為隱私政策，

隱私政策的作用在于兩方面：

1）向個人資訊主體說明網路運營者收集處理個人資訊的相關規則，保證個人資訊知情權的有效實作，同時構成對網路運營者自身行為的約束；

2）網路運營者獲取個人資訊主體授權的重要依據，在個人資訊主體同意后，其可以作為網路運營者配合監督管理的重要機制，用以證明獲得授權以減輕或豁免責任的重要憑證，

依據國內法規，隱私政策的具體要求如下：

1、隱私政策應符合獨立性、易讀性要求

實踐中，隱私政策應當以單獨成文的形式發布，而不是作為用戶協議、用戶說明等檔案中的一部分存在，

同時，隱私政策應易于訪問，在進入APP主界面后，應通過4次以內的點擊就能夠訪問到隱私政策，并且隱私政策的鏈接位置應當突出、無遮擋，不應該出現隱私政策鏈接無效、文本無法顯示的的情形，

另外，隱私政策應易于閱讀，不應該是清一色無差別文本，不應有文字過小過密、顏色過淡、模糊不清、冗長繁瑣等問題，造成閱讀起來一團漿糊，

2、隱私政策應清晰說明各項業務功能及所收集個人資訊的型別

1）明示收集個人資訊的業務功能和各項業務功能所收集的個人資訊型別

隱私政策中應當將收集個人資訊的業務功能、各項業務功能所收集的個人資訊型別逐項例舉，不能因為懶惰梳理或為額外收集留有余地而使用“等、例如”字樣，這個就不再多說了，

2）顯著標識個人敏感資訊型別

隱私政策中應對個人敏感資訊型別進行額外的顯著標識（如字體加粗、下劃線、顏色等），需要注意的是，不能將所有收集的個人資訊全部進行顯著標識，如果全部進行顯著標識，反而導致收集的個人敏感資訊沒有得到額外的顯著標識，

3、隱私政策應清晰說明個人資訊處理規則及用戶權益保障

1）應說明公司運營主體的基本情況

運營主體的基本情況應至少包含主體身份、聯系方式，聯系方式可以是隱私郵箱或客服電話等，

2）應說明個人資訊存盤和超期處理方式

隱私政策中應說明個人資訊的如下情況：1）存放地域，如果在境外，應說明境外的哪個國家或地區；2）存盤期限，應說明明確的存盤期限，或法律規定范圍內的最短期限；3）超期處理方式，如洗掉或匿名化等，

3）應說明個人資訊的使用規則

隱私政策應明確說明收集使用個人資訊的目的、方式、范圍等，如果將個人資訊用于用戶畫像、個性化展示等，應說明其應用場景和可能對用戶產生的影響，

4）應說明個人資訊的出境情況

如果存在個人資訊出境的情況，應將出境的個人資訊型別逐項列出并顯著標識，顯著標識的方式如字體加粗、下劃線、顏色等，

5）應說明個人資訊安全保護措施和能力

隱私政策中應對網路運營者在個人資訊保護方面采取措施和具備能力進行說明，如身份鑒別、資料加密、訪問控制、安全審計等，

6）應說明對外共享、轉讓、公開披露個人資訊規則

如果存在個人資訊對外共享、轉讓、公開披露的情況，隱私政策應明確以下內容：1）對外共享、轉讓、公開披露個人資訊的目的；2）涉及的個人資訊型別；3）接收方累心或身份；4）各自的安全和法律責任，

應當注意的是，對于第三方的說明，應避免直接使用“提供給第三方”等類似過于寬泛的表述，

7）應說明用戶權利保障機制

隱私政策中應對以下用戶操作方法提供明確說明：1）個人資訊查詢；2）個人資訊更正；3）個人資訊洗掉；4）用戶賬戶注銷；5）撤回已同意的授權，

需要注意的是，這些方法應該是方便用戶操作且能切實保障用戶該等權利的有效實作，避免出現一紙空文的情況，

8）應說明用戶申訴渠道和反饋機制

隱私政策中至少提供以下一種投訴渠道：1）電子郵件；2）電話；3）傳真；4）在線客服；5）在線表格，一般情況下，傳真和表格是不會用到的，

9）應具備時效性

應明確標識隱私政策發布、生效或更新日期，按照一般實踐，該標識一般在隱私政策的文首或文末，

10）隱私政策更新

一般在發生業務功能變更、個人資訊出境變更、使用目的變更、聯系方式變更等變更時，要進行隱私政策更新，在隱私政策更新后，可以通過彈窗方式提醒用戶重新閱讀，并通過用戶手動點擊確認、手動勾選等方式獲得用戶的再次授權，

4、不應在隱私政策中設定免責等不合理條款

隱私政策中不應存在免除自身責任、加重用戶責任、排除用戶主要權利條款，例如：隱私政策中列明 “您須對您本人在使用本APP所提供的服務時的一切行為、行動（無論是否故意）負全部責任”，

這里的免除自身責任，是指運營者免除依照法律規定應當負有的強制性法律義務；這里的加重用戶責任，是指運營者要求用戶在法律規定的義務范圍之外承擔責任或損失；排除用戶主要權利，是指運營者排除用戶依照法律規定或依照合同的性質應當享有的主要權利，

六、間接獲取個人資訊的要求

在間接獲取個人資訊時，應當做到有限盡調！因為你不知道合作方共享或授權過來的資料是從哪來的，

在實踐中，有限盡調包括：

1）要求個人資訊提供方書面說明個人資訊來源和以獲得的個人資訊處理的授權同意范圍，并提供其隱私政策等個人資訊授權文本；

2）要求個人資訊提供方簽署承諾函或在合作協議中設定專門條款，要求其承諾合法合規且獲得用戶同意獲取并有權對外提供個人資訊；

3）對個人資訊提供方進行必要的網路檢索，檢索內容包括個人資訊方面的涉訴情況、行政處罰情況、通報情況、新聞報道情況、用戶投訴情況等；

4）持續關注個人資訊提供方的資料合規情況，如定期抽查其個人資訊授權文本等用戶授權情況，

如果發現個人資訊提供方存在不合規情況，應視違法違規程度要求其限期改正或終止相關合作！