姜晓婧

（华东政法大学，上海 200333）

移动应用（App）作为网络技术支撑的数字化产品已经渗入衣食住行作等社会生活的方方面面，成为网民生活、学习、工作的主要方式。据统计，截至2022 年6 月，我国国内市场上监测到的App 数量为232 万款①乐思：《工信部：国内市场上监测到的APP 数量为232 万款》，http：//finance.sina.com.cn/tech/roll/2022-07-28/doc-imizmscv3851599.shtml，访问日期：2022 年11 月4 日。。在其给人们带来便利的同时，移动应用侵害个人信息的侵权事件和安全风险逐日攀升，超范围搜集个人信息，强制索要无关权限用于服务无关用途等成为用户投诉的焦点。在《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）、《中华人民共和国网络安全法》（以下简称《网络安全法》）之外，企业构建个人信息处理的合规机制对于规避移动应用中个人信息安全风险意义重大。无论是宏观层面接轨国际、争夺数据保护话语权，还是中观层面营造良好的数据产业发展氛围，抑或微观层面为用户提供网络安全保障，移动应用中个人信息处理的合规机制构建都不可或缺[1]。个人信息处理的合规机制构建应当扎实立足于理论依据与规范依据，剖析个人信息处理应当遵守的实体规则，将这些规则内化为企业内部管理机制中的具体制度，并建立外部评价机制，随时检视合规机制的效果、提出反馈及进一步调整合规机制，用闭合的企业合规机制将数据处理活动中的个人信息保护责任落到实处。

一、个人信息处理合规的理论依据与规范依据

（一）理论依据

企业合规缘起于美国，经过多年的发展现已成为一项被世界各国广泛接受并开展研究的公私合作治理制度[2]。从企业合规的性质与功能来看，合规之“合乎规定”的字面意思得到了一定的限缩，目前通行的理论将合规风险与经营风险、财务风险相并列共同作为公司三大治理风险，也即将合规问题基本限定在符合法律法规的要求[3]。

设置企业合规制度的根据主要是激励理论，例如，企业设置刑事合规制度可以降低其预防必要性，从而对其减轻处罚甚至免予处罚[4]。除刑事犯罪外，在法律监管的其他领域激励理论也同样有效[5]。从理论上分析企业设置提前，设置合规机制有助于企业增强法治意识，并将合法合规落实到实际的经营活动中，既降低了企业的违规风险，又节约了相关机构的监管成本，在依法经营越来越成为企业经营的基本要求时，企业合规的推行是既有理论依据又能满足现实需求的监管革命[6]。

虽然企业合规的价值基础理论众多，也面临诸多本土化调适的问题，企业数据合规的正当性与必要性已经在理论界与实务界达成了共识[7]。对于我国而言，企业合规最初是为了应对中国企业被国外监管机关或者国际组织处罚而迫不得已开展的企业管理工作，发展至今监管部门已经在食品药品安全、出口管制、数据合规等领域大力推进企业合规制度，企业合规对于公司内部经营与监督部门外部监管的价值已经得到初步证明[8]。如何引导不同企业开展不同领域的合规工作，是监管部门与企业本身亟待解决的问题。

随着数据经济时代的到来，数据保护合规已经发展成为企业合规管理体系当中的关键核心之一。欧美等地区或国家持续推进数据保护的立法进程，为企业设立了严苛的合规义务，强化了企业数据活动的守法意识；同时，执法机构对违反合规义务企业的处罚也日趋严厉，以求营造良好的企业经营环境，争夺国际大数据话语权[9]。这为我国企业带来了巨大的发展压力。在此情况下，加强我国企业数据处理合规成为企业合规治理中的紧迫任务。

个人信息作为数据类型中最具价值的数据，是商业活动争夺的重要数据资源，这决定了个人信息会面临广泛的传播与深度的处理，也意味着用户个人信息安全问题的严峻。移动应用作为个人信息收集的第一站与用户数据生成的最活跃场所，对其中个人信息处理的合规机制构建具有时代意义。

（二）规范依据

我国个人信息保护制度源于《中华人民共和国宪法》对公民人格尊重和通信自由保护的规定，总体保护思路和框架体现于《网络安全法》，系统形成于《个人信息保护法》，依托“四部门一行三会”施行行政监管，统筹协调于App 专项治理工作组。与此体制机制相适应的规范依据形成了“三层次五标准”的个人信息保护法规范依据。

第一层次是以《网络安全法》《个人信息保护法》《中华人民共和国数据安全法》（以下简称《数据安全法》）为核心的国家立法层面的信息与数据保护立法。其中《网络安全法》将个人信息界定为识别自然人个人身份的各种信息，实质上的识别性和形式上的记录性是其两个基本要素[10]。就个人信息的安全保护义务而言，该法要求网络的运营者负担用户信息保护的主体责任，收集和使用个人信息时应当以必要、明示和同意为原则，不得泄露、篡改、损毁其收集的个人信息，且不得转作他用和超越原范围使用，应当采取技术措施确保个人信息的安全。应当说这些规定为数据型企业的个人信息保护合规施加了强制性要求，为相关企业从事个人信息经营活动划定了红线。如果依照《数据安全法》的界定，被记录下来的个人信息构成数据，对个人信息的收集、存储、使用、加工、传输、提供、公开等行为构成数据处理，企业在开展数据活动时应当保障数据的安全，遵从《数据安全法》的相关规定，在有效利用个人信息形成的匿名数据时，应当遵从数据安全相关标准，建构数据企业的内部安全体系，建立全流程安全管理制度，设立数据安全负责人（安全官），落实数据安全保护责任[11]。专门针对个人信息处理和保护活动的具体规范，主要以《个人信息保护法》为典型，其就各种信息的处理、流通和使用，以及个人信息权人享有的相关权益，尤其是就个人的知情同意作出了详细的规定，为企业合规提供了可操作的规范指引，以类型化列举的方式规定了个人信息处理者的义务，如第五十一条规定分类管理、安全措施、应急预案等安全管理义务[12]。这些信息与数据立法虽然较为宏观，但却是移动应用中个人信息处理环节中不可违背的规范红线。

第二层次是以行政法规和部门规章为主的规范依据。以《互联网信息服务管理办法》《关键信息基础设施安全保护条例》等为代表的部分行政法规强调运营者应当申领互联网信息服务牌照，具备相关的设立条件，在运营企业内部设置专门的管理机构，履行个人信息和数据安全保护责任，建立健全个人信息和数据安全保护制度。如《网络安全审查办法》《数据出境安全评估办法》等部门规章则明确了具体领域内的操作规程和运行规则，要求掌握超过100 万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查，向境外提供数据的，应当向国家网信部门申报数据出境安全评估①杨振：《企业应如何应对〈网络安全审查办法〉监管下的合规风险》，https：//www.pkulaw.com/lawfirmarticles/cabf9dc2c0898f0 699075f83c5589c0ebdfb.html?articleFbm=CLI.A.252759，访问日期：2022 年11 月14 日。。

第三层次是以《互联网个人信息安全保护指南》《App 违法违规收集使用个人信息行为认定方法》等为代表的规范性文件。这些具体的规范性文件聚焦于具体的移动应用个人信息处理场景，为行政监督管理架构的设置提供了规范依据，形成了围绕App个人信息保护展开的“四部门+工作组”的执法体制。其中网信办根据《网信部门行政执法程序规定》，采用约谈、责任改正、停业整顿、关闭下架等措施，依法打击危害网络安全、数据安全、侵害公民个人信息等违法行为。电信、公安和市场监督管理部门在各自的职责范围内履行监管职责。根据行政监管的规范性文件的要求，数据性企业应当将个人信息保护的标准工作纳入合规化标准化的一环，以《信息安全技术公共及商用服务信息系统个人信息保护指南》《网络安全标准实践指南——移动互联网应用程序（App）收集使用个人信息自评估指南》《信息安全技术 个人信息安全规范》《网络安全标准实践指南——移动互联网应用程序（App）个人信息保护常见问题及处置指南》等标准为企业内部个人信息数据合规的流程标准化指引。

二、个人信息处理企业合规的实体规则

从网信办、工信部对App 发布的违规通报情况看，移动应用在个人信息处理中主要涉及九大类违规行为：未公开收集使用规则，未明确告知收集个人信息的目的、方式和范围，未经用户同意收集个人信息，超越范围收集个人信息，欺骗、诱导或者强迫用户同意收集个人信息，违规使用个人信息，设置障碍、频繁骚扰用户，未向用户提供主张权利的途径，应用分发功能违规②参见国家计算机网络应急技术处理协调中心、中国网络空间安全协会《App 违法违规收集使用个人信息监测分析报告》（2021 年12 月）。。这九大类违规行为从本质上看主要是侵害用户的知情同意权，通过不正当手段擅自变更个人信息允许使用的范围，以及滥用经营者的私权利。这九大类典型的违规行为从反面鲜活生动地揭示了移动应用中个人信息处理合规应当遵循的实体规则究竟为何，为相关企业合规提供了精准的执法标准和尺度，应当作为企业合规实体规则建构的重点。移动应用中个人信息处理合规的内核应当是对实体规则的遵守，可以将其概括总结为：严格遵循“知情同意”规则，固守原有授权范围，规范行使私权利。

（一）严格遵循“知情同意”规则

根据《个人信息保护法》的规定，处理个人信息应当及时向个人披露，并获得个人自愿、明确同意。这包含了知情同意规则的两项义务：一是知悉具体的使用场景、使用规则、处理的范围等；二是以条款或单独协议的形式明确表示同意。鉴于不同个人信息处理场景对个人信息人格利益影响的差异性，如第二十四条对个人信息处理者作出“通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式”的规定，要求个人信息处理者针对利用个人信息进行自动化决策的特殊场景，给予个人信息额外的保护。

应当说知情同意规则贯穿整个《个人信息保护法》，全链条、全方位式同意，俨然将所有基于个人信息的行为和衍生性商业使用都建立在同意基础之上，没有征得用户同意的数据收集、加工、传输、提供等行为就丧失了合法性基础[13]，可能引发侵害个人信息的民事和刑事风险。但是，又受制于用户技术性知识的欠缺和部分用户对同意后产生后果的无法预计，形式上的同意并不能消除用户实际上不具备同意能力的现实障碍，这就引发了基于个人信息所开发产品的侵权风险，因而在企业合规的规范设计中务必要提供切实可行的措施保障用户的同意能力，固定用户合法的同意形式。

（二）固守原有授权范围

由于数据主体对于数据处理活动以及后续应用复杂程度的理解有限，出现了许多“挂羊头卖狗肉”的企业，超出个人信息授权范围将数据用于完全不同的场景甚至从事隐秘的违法活动，极大地增加了用户的个人信息安全风险，故网络经营者在用户原有授权范围内规范使用个人信息是企业合规应当遵守的重要实体规范。根据重庆市2022 年3 月通过的《重庆市数据条例》规定，超出约定范围使用公共数据最多可能面临十万元的罚款①《重庆市数据条例》第五十七条规定：“自然人、法人和非法人组织违反本条例第二十九条规定，有下列行为之一的，由市数据主管部门责令限期改正；逾期未改正的或者造成严重后果的，处一万元以上十万元以下的罚款：（一）未向市数据主管部门反馈数据使用情况的；（二）超出约定使用范围使用公共数据的。”。

在个人信息使用过程中，只要个人信息具备可识别性或能够反映自然人活动情况的，个人信息控制者便应遵循使用授权范围。超出授权范围使用个人信息的，应再次征得个人信息主体的明示同意；如果将所收集的个人信息用于学术研究或得出对自然、科学、社会、经济等现象总体状态的描述，属于与收集目的合理关联的范围内，延伸视为已经同意，无须再次征得用户授权。

（三）规范行使私权利

依照《网络安全法》的规定，网络运营者应当对网络空间传播的个人信息负担行政法层面上的审查和保护责任。然而，现实中网络运营者可能利用用户同意和用户协议剥夺、骗取用户的个人信息。用户协议固然是运营者与用户之间签订的平等协议，但是鉴于用户在技术和地位上无法与网络运营者比拟，所以在合同的条款上其并无平等协商的能力和机会，只能同意网络运营者拟订的条款，如App 以弹窗的形式向用户明示共享给第三方的行为，在用户点击同意的情况下，将联系人、位置、短信、本机号码等个人信息发送给第三方SDK 等产品或服务。用户基于格式条款无效之理论主张平台规则不合理，或以违约责任过重为由主张平台制裁不合理的诉求，基本难以获得法律支持[14]。

如果说平台与用户之间的协议尚有平等协商的外衣，那么平台单方制定的管理规则和公约，则使其获得了实质意义上的准立法权，对平台管理处于绝对的支配地位②《网络信息内容生态治理规定》第十五条规定：“网络信息内容服务平台应当制定并公开管理规则和平台公约，完善用户协议，明确用户相关权利义务，并依法依约履行相应管理职责。网络信息内容服务平台应当建立用户账号信用管理制度，根据用户账号的信用情况提供相应服务。”。从经营效益层面而论，平台内用户和流量越多，为平台赚取的收益也越大，因而平台容易受到放任市场化选择信息的激励。从平台营利性的目的与平台拥有的实质管理权两方面综合来看，平台有理由左右摇摆，其管理的预见性和透明性降低。如果不在企业内部合规环节中严格审查平台自己私权利的行使，就无法杜绝平台管理沦为掩盖法律制裁而攫取私人商业利益的手段，尤其是网络平台利用其丰富的数据资源，在技术架构内驱动智能算法，剥夺了用户的知情权，算法权力甚至取代了公权力决策[15]，形成对政府、组织和公民的影响力，而技术架构的嵌入优势，隔离了法律的规定[16]。因此，对于涉及个人信息的产品和流程，应当严格依照相关的管理规定设计用户协议、平台规约等自治性的规则。比如，汽车企业涉及通过车载处理器获取个人行程轨迹、用车习惯等信息的，必须依照《汽车数据安全管理若干规定（试行）》的要求严格收集、加工、传输等行为，不可通过弹窗式同意方式等规则设定自身的管理规范。

三、个人信息处理企业合规的内部管理机制

个人信息合规的规范体系建设要明确数据处理合规管理的政策和制度，将个保法、网安法、数据保护总则、企业个人信息数据安全管理政策、分级分类制度、个人信息权生命管理制度、访问与管控制度等按照等级层次落实分类协同。一些典型的、必要的内部管理机制主要是对个人信息保护的影响评估、信息的分级分类管理等常态化合规机制，以及应对突发状况的安全事件应急关机机制。在此基础上，避免企业合规机制形同虚设的关键在于将合规管控要求和具体节点的文件嵌入到具体的业务流程中，使合规机制与企业的具体经营业务紧密关联，如此才能切实发挥企业合规机制的作用。

（一）个人信息保护影响评估

个人信息活动之前的个人信息保护影响评估是数据活动顺利合法合规进行的重要环节。个人信息保护影响评估是《个人信息保护法》第五十五条明确规定的强制性义务，是预防和识别个人信息合规风险的关键一环。特别是尚未开展的个人信息处理活动，影响评估能够大幅降低违法风险，同时提高产品信任度及竞争力，且面对监管审查时，清晰、完整、及时的个人信息保护影响评估能够作为有力的合规证明文件用于抗辩。

根据《个人信息保护法》第五十五条的规定，在处理敏感个人信息，利用个人信息进行自动化决策，委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息，向境外提供个人信息，其他对个人权益有重大影响的个人信息处理活动前，个人信息处理者应从个人信息的处理目的、处理方式等是否合法、正当、必要，对个人权益的影响及安全风险，所采取的保护措施是否合法、有效并与风险程度相适应等方面，开展个人信息保护影响评估①《个人信息保护法》第五十五条规定：“有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：（一）处理敏感个人信息；（二）利用个人信息进行自动化决策；（三）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；（四）向境外提供个人信息；（五）其他对个人权益有重大影响的个人信息处理活动。”企业处理个人信息如果存在其中任何一种情形，个人信息保护影响评估都将成为企业必须进行的合规项目。。

个人信息保护影响评估大致包括三个环节：预备环节—评估环节—报告及整改环节。在预备环节，首先，应当集合技术部门、法律部门、相关业务部门等代表组成评估团队；其次，制定切实可行的评估计划，如多方人员访谈、管理制度及规范检查或者技术测试等方式；再次，明确评估对象与范围，包括即将开展的个人信息处理活动之基本信息、系统设计、处理流程等。在评估阶段，应当先行覆盖数据全生命周期的个人信息处理映射表，结合处理的具体场景分类统计个人信息处理活动，记录每类个人信息处理中的个人信息类型、信息主体、控制者、收集处理目的、合法事由等具体情形，在此基础上结合《信息安全技术 个人信息安全规范》（GB/T35273—2020）、《信息安全技术网络安全等级保护安全管理中心技术要求》（GB/T 36958—2018）等国标来识别个人信息处理中的风险源，从个人自主决定、差别待遇影响、个人名誉、精神压力、人身财产等角度对个人权益的影响进行分析，并最终统合风险因素识别与个人权益影响这两步的结果，得出评估结果。评估结束之后，还应当依照结果进行针对性的整改才能完成评估工作的闭环，依据不同的风险等级排除个人信息处理的风险，并继续追踪风险排除情况，掌握剩余风险的发展变化。

（二）信息分类分级管理

个人信息分级分类管理制度是通过“定性+定量”的方式确定个人信息保护优先顺序的制度，是精准合规的体现，精确的个人信息分类保护能够合理化配置个人信息安保资源，实现个人信息合规与保护的最佳效果。在目前尚无权威的分级分类标准之时，可以依据《网络安全标准实践指南——网络数据分类分级指引》《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》进行制定，也可参考借鉴域外《通用数据保护条例》一般个人信息与特殊类型信息的分类标准。

对个人信息的分类旨在将具有相同数据特征的数据统一归类。从企业管理的角度，可以将个人信息初步分为一般个人信息、敏感个人信息、匿名化个人信息、出境个人信息与重要数据这五类。匿名化个人信息已经丧失了个人的可识别性，因而属于五类中合规条件较宽的信息类别。出境个人信息不仅可能受到来自境内的风险，同时还要面临境外安全因素的考验，需要按照《网络安全法》《数据安全法》以及《数据出境安全评估办法》等法律法规进行合规[17]。敏感个人信息是指一旦泄露就会危害人格尊严或者财产安全的个人信息或者未满14 周岁的未成年人的个人信息，而重要数据是指国家秘密之外有关涉及国家安全与我国公共利益的数据。敏感个人信息与重要数据与个人与国家利益攸关，是合规的重点。排除四类信息之后剩余的数据构成一般个人信息，主要包括通用信息与基本信息。

个人信息的分级保护旨在对个人信息分类的基础上，依据具体个人信息的敏感程度、易受侵害性等因素进行的分等级保护，在个人信息处理技术的支持下，可以通过多重方式来实现个人信息分级，将个人信息从非敏感到极敏感划分为S1 至S5 五个等级。具体的划分方法如依据主体难易程度以及数据敏感程度的划分或者通过个人信息微数据的每条记录、其记录中的每个字段以及微数据组合而成个人信息数据表进行分级保护等。

个人信息分级分类管理之后还需做好数据资产清单梳理，对业务经营和管理中收集使用的个人信息进行识别归类。完成个人信息分类定级后，应当按照有关技术标准对个人信息进行加密和去标识化，同时依照最小必要原则，设置内部管理与访问操作的权限。

（三）安全事件应急管理

《个人信息保护法》第五十一条明确提出要求个人信息处理者制定并组织实施个人信息安全事件应急预案。安全事件应急管理制度对安保人员素质提出了较高的要求，有必要建立专业的组织指挥机构并明确其职责。除人员保障外，还应做好设备、资金、系统等硬件保障，如网络硬件、救援设备等硬件物资储备和用于紧急恢复重要数据的容灾备份系统等软件设施。

根据安全事件发展过程来看，应急管理应当涵盖事件发生的即时监测预警、先期处置，现场应急处置与后期处置追踪全流程。前期环节应当侧重对个人信息安全突发事件的监测，定期汇报，防患于未然，通过密切监控个人信息运行各环节的指标，及早发现个人信息安全事件指征并及早处理。为了确保个人信息安全事件处理的及时性，应当设置多名即时联络人员并严格设置初次报告最迟时间。现场应急处置环节应当全面分析导致个人信息安全事件的原因，准确定位事故来源，从而缩短响应时间。在排查个人信息威胁来源的基础上应当及时采取关闭服务、修改防火墙或断开连接、封锁登录账号等方式防止事件影响的进一步扩大。在根除事件风险后还应当注意将相关数据、程度、服务、系统等予以补充恢复，特别要注意机密系统与机密数据恢复的合法性。后期处置环节应当认真评估安全事件对移动应用造成的损失，吸取事件经验，形成评估调查报告，同时制定恢复重建计划，实现个人信息安全事件应急管理制度的闭环。

另外，应注意应急管理制度不仅仅局限于安全事件发生之时，更在于平时的防范与演练。为保证安全事件应急管理制度的有效实施，首先，应当定期组织内部相关人员进行应急响应培训，使其掌握岗位职责和应急处置策略及规程；制定个人信息安全事件应急预案，并根据法律法规及业界甚至自身案件的处置情况，及时更新应急预案，将事件发生概率或影响降至最低，尽可能保障企业合法权益。其次，应建立个人信息安全事件应急管理定期实操演练制度，确保个人信息安全保障机制处于激活状态。同时，由于应急管理制度较少启用，实际应急能力难以检验等原因考虑，应当设置鲜明的奖惩机制，明确管理职责，提高优化个人信息安全事件应急管理制度的积极性。

（四）业务流程嵌入式合规

流程化的个人信息合规管理是现代数据合规规范化的要求所在[18]。数据合规的每个结点应当清晰明了地反映在个人信息处理合规流程之中。然而，同样是关涉个人信息处理的不同产品或服务，所配适的个人信息处理合规千差万别，确保个人信息全流程合规的核心在于依托业务全流程构建个人信息处理合规体系，通过将个人信息处理合规制度拆解并嵌入研发、运维、人力资源等日常的业务流程，确定不同流程中相关人员的操作权限，才能持续通过业务流程运行贯彻个人信息保护合规要求，尽可能地减少流程中人员主观因素的影响，使个人信息合规的可控性进一步增强。

个人信息处理全生命周期的合规应当与具体的移动应用软件业务紧密结合，并且个人信息合规的流程应当做到依据业务板块、功能等的变化而及时调整更新，与经营者实时业务、具体产业线时刻同步。例如，移动应用在进入应用商店之前，除了应当提交运营者信息、移动应用基本信息，还应当提交个人信息保护政策、所收集的个人信息范围、申请的敏感系统权限以及第三方SDK 信息等相关内容配合进行合规审查。移动应用的技术升级版本更新时也要随流程同步接受重新审核，确保个人信息处理全程合规。又如，移动应用处理商在委托处理用户信息或者作出委托行为时，委托方应当明确所征得的用户授权范围，及时开展用户信息安全影响评估，积极监管受委托方的个人信息处理行为，如通过签订合同等方式介入受委托方个人信息处理合规的流程并严格履行监管、审计的职责；而受委托方也应严格按照委托方的要求处理个人信息，出现特殊情况及时反馈处理信息，再次转委托时事先征得原委托方的明确同意获取授权，且在委托关系解除时做好及时删除个人信息等善后措施。

四、个人信息处理企业合规的外部评价机制

移动应用中个人信息处理的企业合规不仅包括内部管理机制，还包括外部评价机制。后者用于对内部管理机制效果的评估，以便及时反馈、调整、优化，促进个人信息处理合规机制的长期有效运行。外部评价机制应当以个人信息保护法的基本原则、守门人义务、特定场景增强义务以及用户个人信息法定权利为基准。

（一）遵守个人信息保护法基本原则的测评

《个人信息保护法》第五条至第十条对个人信息保护法的基本原则作出了规定，明确了在个人信息处理活动中应当遵循合法、正当、必要、诚信、目的限制、公开透明、质量、安全等八项原则[19]。这是涉个人信息企业合规的原则性要求，自然也应当作为合规效果的基本测评指标。

“合法”要求数据企业在个人信息的收集、存储、使用、加工、传输、提供、公开等全链条、全行为流程中都应当符合法律法规的规定，遵从上文论及的企业合规的规范依据。比如，使用个人信息进行自动化决策的环节，除遵守《个人信息保护法》规定外，还应根据《信息安全技术 个人信息安全影响评估指南》及《个人信息保护法》要求开展评估并全程留痕，把算法管理作为一项工作内容纳入企业合规管理体系，基于个人信息处理及业务全流程进行部署。

“必要”要求个人信息的收集和处理遵从比例原则，非达致数据产品之外的服务目的，不应过度采集，非充分必要性不得处理敏感性个人信息。比如，将App 切换至后台后，该程序在静默状态下读取用户的多媒体信息、通讯录信息。又如，不涉及与地理位置、定位有关的服务功能，App 却收集用户的位置信息等。

“公开透明”是指个人信息处理者在处理个人信息时应当采取公开、透明的方式，公开个人信息处理的规则，向信息主体明示个人信息处理的目的、处理的方式和处理的范围。公开透明原则的目的在于保证信息主体全过程的知情权和监督权，对于自动化决策影响其重要决定的，可以拒绝。未经允许设置设备自动采集其生物性信息的，违背了公开透明原则。在合规测评时，如果发现未经用户同意处分个人信息，尤其是敏感性信息的，可归入合规重大缺陷的结果档。

（二）“守门人”义务的遵守情况

根据《个人信息保护法》第五十八条规定，对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，还应当履行“守门人”义务。“重要互联网平台服务”蕴含着对平台服务进行分类的要求，“用户数量巨大、业务类型复杂”确立了对提供重要互联网平台服务的企业进行分级和识别的两项主要标准，四项具体要求明确了“守门人”必须履行的特别义务[20]。从目前移动互联网的现实环境来看，“守门人”主要包括以下三类：一是应用程序分发平台，通过提供应用分发服务影响移动App 触达海量用户进而进行个人信息处理活动的能力；二是移动终端操作系统，通过为移动App 提供可调用的系统权限等，影响移动App的个人信息处理能力；三是平台型App，平台型App能够在技术资源、运营环境等两个方面显著便利和提升第三方小程序等移动App的个人信息处理能力[21]。

对照上述标准，如果涉个人信息的合规企业为“守门人”型企业，那么应当履行特别的四项义务，即健全合规制度体系、制定平台内规则、处罚违法者、定期报告发布。“守门人”制度的核心是对“守门人”提供门径服务所涉及的数据处理活动进行监管，防止其利用数据优势阻碍竞争和创新，“守门人”提供门径服务过程中形成、获取的个人信息，当然是数据监管的重点。

（三）特定场景的增强义务

对于影响个人利益的重大事项，《个人信息保护法》要求个人信息处理者需要取得该个人的“单独同意”。这些特定场景的增强义务包括向第三方提供个人信息、公开个人信息、公共场所采集图像、生物识别性信息、处理敏感个人信息、个人信息出境，通过“增强式告知”或“即时提示”等方式，单独向个人信息主体告知处理个人信息的目的、方式和范围，以及存储时间、安全措施等规则，并由个人信息主体明示同意（主动作出确认性动作），不应与其他不相关的目的或业务功能相捆绑或混同在其他同意事项中，不应通过“同意个人信息保护政策”等方式一揽子获得同意。具体到企业的业务场景中，可以根据特定的业务功能，采用单独的交互式界面或纸质页面向个人信息主体告知相关信息，并向其提供可分项选择同意的机制，如勾选、点亮等方式。

（四）个人信息处理的法定权利保护情况

《个人信息保护法》是保护个人信息权益的基本法，对个人信息权利进行了定义，全面构建了个人在信息处理活动中享有的法定权利，包括知情权、决定权、限制权、拒绝权、查阅权、复制权、可携带权、更正权、删除权等。在常见的九类侵犯个人信息的场景中，主要侵害的就是信息主体的知情同意权，部分App 无法查阅对个人信息的收集、使用、加工以及匿名化处理情况，还有部分App 以诱导、欺骗的方式获得用户同意，且无法删除，侵害用户的查阅权和删除权。

在个人信息合规的审查中，对照App 处理个人信息的全链条全环节，很容易查询到侵害用户权益的情形。比如，国家互联网信息办公室发布的《App违法违规收集使用个人信息行为认定方法》第五条规定，以下行为可被认定为“未经同意向他人提供个人信息”：1. 既未经用户同意，也未做匿名化处理，App 客户端直接向第三方提供个人信息，……；2.既未经用户同意，也未做匿名化处理，数据传输至App后台服务器后，向第三方提供其收集的个人信息；3.App 接入第三方应用，未经用户同意，向第三方应用提供个人信息。该情形本属于特别增强义务的范畴，需要用户单独同意，但却以侵害用户知情同意权的方式违法收集和使用。

在个人信息处理的重点事项中，需要对应相关标准，重点做好合规事项，该类事项包括隐私政策、人脸识别、自动化决策、第三方合作、SDK 接入、系统索权六个方面，需要重点评测是否满足合规要求。比如，针对SDK 接入，应针对五方面事项予以合规：一是接入前应审查第三方业务资质及安全合规能力，审计第三方SDK 的安全性及合规性（或要求提供审计报告），并持续动态审查。二是与第三方签署数据处理协议，明确双方权责义。三是在隐私政策或双清单中向用户明示SDK 提供者名称、功能、个人信息收集范围方式、系统权限获取目的及范围及个人信息处理规则等。四是应当为用户提供个人信息更正删除、自行关闭相关应用、插件及SDK 的渠道和方式，保障用户拒绝及撤回同意的权利。用户对App、小程序的行为同意，效力不及于SDK。五是高度关注监管合规，尽量规避“不真正连带责任”。

五、结论

面向用户个人的App 移动应用产品作为实现数字经济的便捷工具已经逐步整合了传统的衣食住行作的方方面面，App接触个人信息的直接性和广泛性使其成为侵害个人信息权益的违法违规重地。企业作为保护个人信息的第一责任主体，应当主动负担起合规治理的责任。目前，从法律到法规再到行业规范出台了诸多文件，以求为企业合规提供可行的制度依据，本文据此提炼出了企业合规应当遵守的实体规则，而后以该实体规则为目的构建了内部管理机制，同时配套了外部评价机制，对移动应用中个人信息处理合规进行了初步尝试。个人信息保护是互联网时代无法回避的议题，企业合规任重道远，未来还需将合规实践中的经验反哺于企业合规的理论研究，夯实企业合规的理论基础，将企业合规与法律外部约束有效接轨，以期形成企业合规与法律约束紧密结合、双效并举的移动应用个人信息保护机制。