自中央網信辦、工業和信息化部、公安部、市場監管總局于2019年1月25日發布《關于開展App違法違規收集使用個人信息專項治理的公告》，以及監管部門在全國范圍組織開展App違法違規收集使用個人信息專項治理以來，截至2024年3月，工信部已累計通報了涉及各類App（SDK）的36批侵害用戶權益行為，各地通信管理局、網信辦、公安、人民銀行各地分行等監管部門也各自有相關通報發布，對侵害用戶權益的App進行通報和下架處理。這些行動彰顯了監管部門對個人信息保護工作的高度重視。

為幫助App開發者更好理解個人信息保護合規要求，我們將陸續推出個人信息保護合規系列文章。本文為該系列第三篇，對某App被通報問題及其解決方法進行說明，旨在幫助開發者在開發階段避免出現同類問題。

問題描述：征得用戶同意前存在收集個人信息或打開“可收集個人信息”權限的行為

常見場景：

1. 用戶首次打開App時，未同意隱私政策，App就收集設備信息或彈窗申請權限（圖1）；

2. 注冊/登錄時，在用戶沒有主動勾選同意隱私政策前，允許用戶發送短信驗證碼等可采集用戶信息的行為。

圖1 用戶未同意隱私協議前收集設備信息

解決方法：

· App首次打開時，在用戶同意隱私政策前不進行收集設備信息收集行為及不申請“可收集個人信息”的權限。

1. 對于App自身代碼，此時需要開發者排查相關收集設備信息或申請“可收集個人信息”的權限行為是否在用戶點擊同意隱私政策后觸發，否則應將相關方法調整至用戶點擊同意隱私政策后；

2. 對于第三方SDK的相關行為，解決這種問題的常用做法是可以通過設置一個標志值，當用戶同意隱私政策標志值發生改變后再初始化SDK。隨著監管力度的加強，部分SDK也逐漸提供了相應的解決方案，圖2某在線地圖SDK提供了隱私合規接口。所以在針對第三方SDK同意隱私政策前的收集行為時，開發者可以查閱一下SDK供應商是否提供了解決方案，如果沒有，則可以用上述方案進行合規化整改。

圖2 某在線地圖SDK隱私合規方案

· App注冊/登錄時，用戶未勾選同意隱私政策前不允許用戶進行發送短信驗證碼等能采集用戶信息的行為。如圖3:

圖3 用戶發送短信驗證碼前需同意隱私協議

CFCA個人信息保護合規檢測服務

中國金融認證中心（CFCA）是由中國人民銀行于1998年牽頭組建，經國家信息安全管理機構批準成立的權威電子認證機構，歷經20余年積淀，發展成為以網絡安全綜合服務為核心的科技企業。

針對企業個人信息保護合規痛點，CFCA推出個人信息保護合規檢測，幫助企業進行合規改造、減少通報情況、維護企業形象。CFCA依托自身對個人信息保護合規標準的理解和把控，和對數百家客戶App檢測情況的了解，綜合提煉標準要求，分析標準要求的具體落地場景，為企業客戶提供全方位的合規檢測服務。

檢測內容覆蓋個人信息收集、傳輸、存儲、使用、銷毀全生命周期，配合CFCA自主研發的個人信息檢測輔助系統，以專家檢測+自動化工具檢測的形式多維度開展檢測工作，助力企業客戶合規展業。

部分依據標準：

? 《App違法違規收集使用個人信息行為認定方法》【國信辦秘字〔2019〕191號】

? 《工業和信息化部關于開展縱深推進APP侵害用戶權益專項整治行動的通知》【工信部信管函〔2020〕164號】

? 《信息安全技術個人信息安全規范》【GB/T 35273-2020】

? 《個人金融信息保護技術規范》【JR/T 0171-2020】

? 《常見類型移動互聯網應用程序必要個人信息范圍規定》【國信辦秘字〔2021〕14號】

CFCA檢測服務優勢

目前，CFCA具有超過1000款金融App的檢測經驗，檢測服務受眾涵蓋包括國有大行、全國性股份行等在內的各類銀行客戶。CFCA檢測團隊曾獲得多項國家、省部級安全競賽獎項，2022年在國家認監委組織的移動應用程序個人信息安全檢測競賽中奪得第一名。

CFCA在網絡安全、數據安全、個人信息保護等領域有著豐富的經驗和深厚的積累，今后也將持續提供相關檢測服務。

責任編輯：方杰