APP个人信息保护要点，开发者必看！

APP个人信息保护要点，开发者必看！

2021年11月1日，《个人信息保护法》正式落地施行。在促进个人信息保护和数字经济发展的同时，《个人信息保护法》的实施，也对App开发者们提出了一些新的要求。

在此背景下，本文将结合最新的法律法规及行业标准要求 ，对App个人信息保护的要点进行梳理，帮助开发者们高效落实个人信息保护相关事宜。

01有哪些合规问题要关注?

近年来，为保障个人信息安全，监管力度日益加大、监管标准日益趋严，相关主管部门对个人信息收集使用违规行为更是下重拳治理。为帮助大家高效落实个人信息保护工作，我们梳理了监管部门近期关注的重点问题，供大家参考：

图形用户界面, 表格 中度可信度描述已自动生成

02如何规范个人信息处理？

个人信息的处理，是个人信息保护中最重要一环。在App处理个人信息过程中，如何更好地规范个人信息处理活动，促进个人信息合理利用，保障个人信息安全呢？

处理个人信息应遵循最小必要原则，并征得用户授权同意

《个人信息保护法》中明确了个人信息处理者需要遵循的处理原则：合法、正当、必要和诚信，个人信息处理者不得通过误导、欺诈、胁迫等方式处理个人信息。在该原则的指引下，App应该怎么做？

首先，App须在征得用户自主选择同意后，才能处理个人信息。App不应将多项业务功能和权限打包，要求用户一揽子接受并授权同意。

其次，在个人信息处理目的、处理方式、收集范围、保存期限等方面，App都需要满足"最小影响、最小范围、最短时间"的要求：

个人信息处理应当具有明确、合理的目的，并与处理目的直接相关，采取对个人信息影响权益最小的方式 

收集个人信息， 应当限于实现处理目的的最小范围，不得过度收集个人信息

除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间

只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息

此外，App还须对自身信息处理行为的目的正当性与处理必要性进行充分说明，明确提供基本功能服务所必须收集的个人信息范围，并与业务部门及时沟通调整实际收集个人信息的范围。

保障用户查询、更正、删除、拒绝等主体权利

《个人信息保护法》强调对于个人信息主体权益的保护，个人除了具有对其个人信息的处理享有知情权、决定权外，还有权限制或者拒绝他人对其个人信息进行处理，包括知悉个人信息处理规则和处理事项、同意和撤回同意，以及个人信息的查询、复制、更正、删除、拒绝、携带、转移等。

App可通过以下方式，满足《个人信息保护法》下对个人信息主体权益的高保护要求：

提供"便捷"的拒绝方式，为用户提供退出或关闭个性化展示模式的选项 

提供"便捷"的撤回同意方式，包括但不限于将撤回的按钮置于醒目的位置，与"同意"的选项相对应，给与对应撤回的选项等等，其困难程度不能高于"同意"的方式

建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的，应当说明理由

03如何制定完整规范的隐私政策？

个保法第七条规定"处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围"，要满足以上要求，App首先需要制定一份《隐私政策》。

隐私政策是否合规，是衡量App个人信息处理是否合规的关键因素之一。那App开发者们如何制定一份完整且规范的《隐私政策》呢？以下8条内容必不可少：

l App开发者或运营者的基本情况，包括主体身份、联系方式；

l 处理个人信息的业务功能，以及各业务功能分别处理的个人信息类型。涉及个人敏感信息的，需明确标识或突出显示；

l 个人信息处理方式、存储期限、涉及数据出境情况等个人信息处理规则；

l 对外共享、转让、公开披露个人信息的目的，涉及的个人信息类型，接收个人信息的第三方类型，以及各自的安全和法律责任；

l 个人信息主体的权利和实现机制，如查询方法、更正方法、删除方法、注销账户的方法、撤回授权同意的方法、获取个人信息副本的方法、对信息系统自动决策结果进行投诉的方法等； 

l 提供个人信息后可能存在的安全风险，及不提供个人信息可能产生的影响；

l 遵循的个人信息安全基本原则，具备的数据安全能力，以及采取的个人信息安全保护措施，必要时可公开数据安全和个人信息保护相关的合规证明；

l 处理个人信息主体询问、投诉的渠道和机制，以及外部纠纷解决机构及联络方式。

04如何合规使用SDK？

作为广大开发者信赖的伙伴，个推一直高度重视用户个人信息保护、数据合规及数据安全问题。为帮助 App 开发者更好地落实个人信息保护，我们梳理了App使用个推SDK时的要点，供大家参考：

1. 在使用个推SDK产品时，开发者需在App《隐私政策》的 "与授权合作伙伴共享"条款中，将个推用户隐私政策加入其中，并向终端用户逐一明示您嵌入的SDK处理个人信息的目的、方式和范围。

2. 您应确保在App首次运行时通过明显方式提示终端用户阅读您的《隐私政策》并取得终端用户的合法授权后，再初始化SDK进行信息处理。同时，我们也建议您将接入的个推SDK版本更新至最新版。

3．如果您和您的用户请求访问、更正、补充其用户信息，或要求行使删除权、更改其授权同意的范围等，您可以查看《个推隐私政策》，或通过个推用户信息保护负责邮箱，向我们提出相关请求。

为了更及时高效地落实合规要求，我们建议各位开发者充分了解现有以及陆续将发布的有关个人信息保护的法律、法规、政策、标准等，并及时开展自查、规范调整，高效落实个人信息保护工作。

数字经济时代，做好个人信息保护，是国家政策法规和产业健康发展的要求，是全社会共同的期待，也是我们共同的责任。个推将以更加安全可靠的产品与服务，回馈开发者的信任与选择，积极与开发者一道共同推动个人信息保护工作，捍卫个人信息安全和数据安全，助力行业健康可持续发展！