适用场景
面向所有通过移动应用程序(App)或小程序向用户(特别是消费端用户)提供服务的中国出海企业,在产品设计、开发、上线及运营全阶段均需关注。
核心要点
1. 核心原则:最小必要
收集个人信息必须遵循“最小必要”原则,即所收集的信息类型应与实现产品基本功能服务直接相关,且是实现该功能所必需的最低频率和最少数量。这是中国网络安全法确立的基本原则,也是全球数据合规的通用准则。
2. 适用范围:App与小程序
合规要求不仅适用于下载或预装在移动智能终端上的App,同样适用于基于App开放平台接口开发、无需安装即可使用的小程序。这意味着出海企业的小程序业务也必须纳入合规管理范围。
3. 用户权利保障:拒绝非必要信息仍可使用基本功能
App或小程序不得因用户拒绝提供非必要个人信息,而拒绝提供其基本功能服务。企业必须确保用户有权选择拒绝非必要信息的收集,同时仍能正常使用核心服务。
4. 必要信息范围:按功能类型明确界定
法规对39类常见App(如即时通讯、在线购物、地图导航、酒店服务等)的基本功能服务及对应的必要个人信息范围进行了列举式规定。企业需对照自身业务类型,准确界定“必要信息”的边界。
5. 合规设计挑战:复杂商业模式下的实施路径
对于业务模式复杂、数据利用深入的企业,如何在不影响商业模式的前提下,设计出符合要求的用户同意机制、隐私政策和服务模式(如区分基础功能与增值功能),是实践中的主要挑战。
实务建议
- 立即对照《常见类型移动互联网应用程序必要个人信息范围规定》,评估并确认自身App或小程序的基本功能及对应的“必要个人信息”范围。
- 审查并修订隐私政策,考虑将“必要个人信息”与“非必要个人信息”的收集、使用条款进行区分说明。
- 在产品界面设计中,为用户提供清晰、便捷的选项,使其能够拒绝非必要个人信息的收集,并确保拒绝后仍可访问基本功能。
- 针对小程序业务,评估并调整现有的信息获取方式,确保其合规标准与独立App保持一致。
- 对于复杂业务,探索设计“基础功能模式”与“增强功能模式”,并为不同模式配置差异化的隐私政策和用户同意流程。
风险提示
- 误区:认为“必要信息”无需用户同意即可收集。正确做法:即使是必要信息,其收集通常也需获得用户同意,具体形式需结合其他法规(如《个人信息保护法》)判断。
- 误区:仅关注独立App,忽视小程序合规。注意事项:小程序已被明确纳入监管范围,执法将趋严,必须同等重视。
- 注意事项:避免“一揽子”同意。对于非必要信息的收集,应通过单独弹窗、显著提示等方式获取用户明示同意,而非隐藏在冗长的隐私政策中。
- 常见风险:业务模式过度依赖非必要信息收集。若调整不当,可能直接影响现有商业模式和用户体验,需提前进行业务影响评估。