個人資訊保護合規漫談：用戶同意前不得收集資訊或打開收集許可權

自中央網信辦、工業和資訊化部、公安部、市場監管總局于2019年1月25日發佈《關於開展App違法違規收集使用個人資訊專項治理的公告》，以及監管部門在全國範圍組織開展App違法違規收集使用個人資訊專項治理以來，截至2024年3月，工信部已累計通報了涉及各類App（SDK）的36批侵害用戶權益行為，各地通信管理局、網信辦、公安、人民銀行各地分行等監管部門也各自有相關通報發佈，對侵害用戶權益的App進行通報和下架處理。這些行動彰顯了監管部門對個人資訊保護工作的高度重視。

為幫助App開發者更好理解個人資訊保護合規要求，我們將陸續推出個人資訊保護合規系列文章。本文為該系列第三篇，對某App被通報問題及其解決方法進行説明，旨在幫助開發者在開發階段避免出現同類問題。

問題描述：徵得用戶同意前存在收集個人資訊或打開“可收集個人資訊”許可權的行為

常見場景：

1. 用戶首次打開App時，未同意隱私政策，App就收集設備資訊或彈窗申請許可權（圖1）；

2. 註冊/登錄時，在用戶沒有主動勾選同意隱私政策前，允許用戶發送短信驗證碼等可採集用戶資訊的行為。

圖1用戶未同意隱私協議前收集設備資訊

解決方法：

•App首次打開時，在用戶同意隱私政策前不進行收集設備資訊收集行為及不申請“可收集個人資訊”的許可權。

1.對於App自身代碼，此時需要開發者排查相關收集設備資訊或申請“可收集個人資訊”的許可權行為是否在用戶點擊同意隱私政策後觸發，否則應將相關方法調整至用戶點擊同意隱私政策後；

2.  對於第三方SDK的相關行為，解決這種問題的常用做法是可以通過設置一個標誌值，當用戶同意隱私政策標誌值發生改變後再初始化SDK。隨著監管力度的加強，部分SDK也逐漸提供了相應的解決方案，圖2某線上地圖SDK提供了隱私合規介面。所以在針對第三方SDK同意隱私政策前的收集行為時，開發者可以查閱一下SDK供應商是否提供了解決方案，如果沒有，則可以用上述方案進行合規化整改。

圖2某線上地圖SDK隱私合規方案

•App註冊/登錄時，用戶未勾選同意隱私政策前不允許用戶進行發送短信驗證碼等能採集用戶資訊的行為。如圖3:

圖3用戶發送短信驗證碼前需同意隱私協議

CFCA個人資訊保護合規檢測服務

中國金融認證中心（CFCA）是由中國人民銀行于1998年牽頭組建，經國家資訊安全管理機構批准成立的權威電子認證機構，歷經20餘年積澱，發展成為以網路安全綜合服務為核心的科技企業。

針對企業個人資訊保護合規痛點，CFCA推出個人資訊保護合規檢測，幫助企業進行合規改造、減少通報情況、維護企業形象。CFCA依託自身對個人資訊保護合規標準的理解和把控，和對數百家客戶App檢測情況的了解，綜合提煉標準要求，分析標準要求的具體落地場景，為企業客戶提供全方位的合規檢測服務。

檢測內容覆蓋個人資訊收集、傳輸、存儲、使用、銷毀全生命週期，配合CFCA自主研發的個人資訊檢測輔助系統，以專家檢測+自動化工具檢測的形式多維度開展檢測工作，助力企業客戶合規展業。

部分依據標準：

• 《App違法違規收集使用個人資訊行為認定方法》【國信辦秘字〔2019〕191號】

• 《工業和資訊化部關於開展縱深推進APP侵害用戶權益專項整治行動的通知》【工信部信管函〔2020〕164號】

• 《資訊安全技術個人資訊安全規範》【GB/T 35273-2020】

• 《個人金融資訊保護技術規範》【JR/T 0171-2020】

• 《常見類型移動網際網路應用程式必要個人資訊範圍規定》【國信辦秘字〔2021〕14號】

CFCA檢測服務優勢

目前，CFCA具有超過1000款金融App的檢測經驗，檢測服務受眾涵蓋包括國有大行、全國性股份行等在內的各類銀行客戶。CFCA檢測團隊曾獲得多項國家、省部級安全競賽獎項，2022年在國家認監委組織的移動應用程式個人資訊安全檢測競賽中奪得第一名。

CFCA在網路安全、數據安全、個人資訊保護等領域有著豐富的經驗和深厚的積累，今後也將持續提供相關檢測服務。