1.授权同意

收集的内容、使用的目的，就是通常的隐私政策协议文档，由个人在充分知情的前提下自愿、明确作出同意或者勾选的动作，不能默认勾选和同意。

在用户同意之前，任何涉及个人信息的内容都不能运行，SDK初始化全都要在用户同意之后，不然就是私自收集，检测到就是违法违规行为。

【SDK这一点很容易踩坑，大家需要注意】。

2.收集范围

《规定》已经有了明确的指引，但是像金融行业因为要履行《反洗钱法》义务，以及投资者适当性管理要求案例化解析医疗机构场景下的数据合规和个人信息保护要点，所以收集的信息超过《规定》也是合法必要的。

一定要注意的是，App收集使用《规定》外的信息，需要有其他法律法规的支撑才行。

补充说一下，对于安全风控这一类信息收集，比如设备指纹采集，如果所处行业没有法律法规等正式文件支撑，这些就都不属于必要信息。强制用户同意才能使用的话，是存在违法违规风险的。

3.信息公示

需要公开收集使用规则，其实就是照着隐私政策模板写一个适合自己的隐私政策。

需要明示目的、方式和范围，这个除了需要在隐私政策里写明，还需要在具体的收集个人信息的业务场景里，就是具体的页面中，写明这些内容。

以上的三点，对应的都是《个人信息保护法》中个人的知情权，这是法律赋予的法定权益，从历次通报的情况来看，企业在这一方面还是需要加强重视。

互联网类App，目前潜在风险较大的是大数据杀熟这一部分，这个比较明显损害人民群众权益，第二十四条也明确写了，“不得对个人在交易价格等交易条件上实行不合理的差别待遇”，并且个人有权拒绝。

有自动化决策、依据用户画像定价这类功能的App，还不让用户拒绝的，最好只在中午这么做，因为早晚会出事。

四、解决之道-方法与认证介绍

App合规问题解决的核心思路，我认为就是要保护用户合法权益。

抓手是两处，一是要站在一个小白用户角度去体验App，二是在专业的角度去测评和整改App。

小白用户的体验其一，就是隐私政策要通俗易懂。专业术语要尽量的没有或者少用；收集的信息依据要列明，比如金融行业很多要求存储时间不少于5年、20年，那就把相关的要求文件名称和条款写上去。隐私政策虽然用户不太看，但是现在监管方、应用市场对这部分已经开始关注了，像应用宝、华为应用市场。

隐私政策写完了，UI设计完了，买个某茶，请公司职能部门的同事抽个一小时，帮你看一遍，职能同事能看明白的，能理解的，这八成没啥问题了。

隐私政策可以学习参考银联云闪付App，内容涵盖很全，也包括境外，作者也极其资深，墙裂推荐。

小白用户还有个体验就是以前App容易行坑蒙拐骗之事，之后是肯定不可以这样，以前很常见的欺骗、诱导、虚假的一些内容或手段，今后肯定也是重点打击的对象。

专业角度的测评和整改，需要借助专业的检测工具，或者服务公司开展检测，依据工具或者专家的经验和建议，找出问题项，然后整改。

这里也分享一些经验和踩过的一些坑。

服务公司这里就不说了，说一说发现问题后的事情。

一般看到问题，少不了和产品及开发一通。但是要记住一个原则，就是这方面的要求，只能比外面严，不能比外面松。因为检查到问题再通报，监管其实不会听你解释，必须限期内整改。这类问题在内部消化掉，远比被监管通报了再解决，给企业、部门、个人带来的负面影响小。这一点，最好不要妥协。

至于解决具体途径和方法，可以大家好好商议。一个小技巧就是如果公司有比较高层级的合规或者法务部门的话，最好拉上他们一起，他们是你的盟友，要团结一切可以团结的力量。

再说一说常见容易出现问题的点。

首先，是敏感个人信息的收集，需要单独同意，和同意隐私政策一样，需要用户手动去勾选然后才能收集。例如，在涉及银行卡的App业务场景中，收集的银行卡号码，金融账户信息，是需要说明目的并让用户单独同意的。

另外就是工信部第17批次通报的位置信息获取，这也是监管后续关注的趋势之一，这个敏感个人信息的获取，也需要单独的授权同意。从业务必要性来看，非必须位置信息的，还是乖乖关掉比较稳妥。业务需要的，更要注意获取频度，不能随时随地，获取位置信息。

再一个就是SDK的行为检测。

企业的App在开发的时候，大多数时候会需要融合三方的SDK，关注的重点一般都在SDK是否给我提供了需要的功能,而忽略SDK是否超范围收集了信息或者夹带了私货。在这一点上，必须立场坚定态度鲜明，超过我们需要的，不必要的信息收集，必须关闭，不使用。一旦松动，后患无穷。