下面有请北京德和衡律师事务所 网络安全和数据合规团队的合伙人 辛小天律师，对APP治理监管重点盘点的提问进行解答：

请问辛律师，APP治理监管重点盘点所涉及的监管依据有哪些？

你好享小辫儿， 2019-2020年度APP治理监管主要涉及的监管依据有：《网络安全法》、《电子商务法》、《电信条例》、《规范互联网信息服务市场秩序若干规定》（工业和信息化部令第20号）、《电信和互联网用户个人信息保护规定》（工业和信息化部令第24号）、《移动智能终端应用软件预置和分发管理暂行规定》（工信部信管〔2016〕407号）、《公共互联网网络安全威胁监测与处置办法》（工信部网安〔2017〕202号）、《计算机信息国际联网安全保护管理办法》（公安部令第33号）、以及App违法违规收集使用个人信息行为认定方法》。

那么APP治理的主管部门与地区有哪些？

主管部门主要有：中央网信办、工业和信息化部、公安部、市场监管总局、App专项治理工作组以及北京、上海、浙江、广东等地区的主管部门。

那么 APP治理的监管重点有哪些？

隐私政策的独立性及公开发布的监管重点有哪些内容？

目前隐私政策的独立性及公开发布大概有以下几点内容，比如：

1)未在APP首次运行时通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；

2)未明确告知用户收集、使用信息的目的、方式和范围（例如完全照搬其他应用的隐私政策等）；

3)未逐一列出委托的第三方或嵌入的第三方代码、插件（SDK）收集使用个人信息的目的、方式、类型等；（目前的监管重点，同时建议披露第三方的数据安全能力）

4)隐私条款中声明收集的个人信息和实际收集的个人信息不一致；

5)未显著标识个人敏感信息类型；

6)未明确说明个人信息存储期限和超期处理方式；

7)未说明业务逻辑与权限的关系和/或获取个人隐私信息的用途；

8)不易于访问和/或阅读（不能通过4次以内的点击访问到隐私政策）；

9)隐私协议包含获取“用户的手机通讯运营商的服务密码、验证码”，甚至“学历信息、学信网账户名及密码等”等不符合“合法、正当、必要”的原则的条款；

10)存在不合理免责条款；

11)收集使用个人信息的目的、方式、范围发生变化时，未以适当方式通知用户（适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等）。

个人信息收集和使用过程中哪些行为属于没有合法的授权呢？

没有合法的授权的情形常见的有以下几种：

1）未经用户同意，收集、使用用户个人信息； 未经用户同意也未做匿名化处理，通过嵌入的第三方SDK、插件等向第三方共享用户个人信息；

2）收集如身份证号、护照、支付宝账号、银行账号等个人敏感信息时，未同步告知用户其目的；

3）APP频繁自启动和关联启动。重点整治APP未向用户告知且未经用户同意，或无合理的使用场景，频繁自启动或关联启动第三方APP的行为。

4）在申请打开（例如：电话、存储、短信、位置等）可收集个人信息的权限时，未同步告知用户其目的；

5）欺骗或误导用户同意收集、使用个人信息或打开可收集个人信息的权限；、

6）仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，强制要求用户同意收集个人信息；

7）用户明确表示不同意开启权限后，仍频繁（48小时内）征求用户同意，干扰用户正常使用；

8）用户撤回授权，明确表示不同意收集个人信息后，仍收集或通过其他途径收集用户信息；

9）用户注册时，未让用户主动勾选隐私保护协议或用户协议（即以默认选择同意隐私政策的非明示方式征求用户同意）；

10）超范围收集用户信息或索取应用权限（包括采取一揽子授权模式；强制要求输入非必要个人信息；无实际功能与应用权限申请对应；未在隐私政策中说明业务逻辑与权限的关系和/或获取个人隐私信息或权限的用途；用户拒绝提供非必要的个人信息时，拒绝提供所有业务功能/不给非运行必要权限自动退出应用；频繁索取权限或不给权限不让使用、超出业务功能实际需要的频度收集用户个人信息等情形）。

随着杭州野生动物园人脸识别“第一案”的兴起，越来越多的焦点关注在了人脸识别信息合法合规收集使用领域，那么APP使用人脸识别技术存在哪些合规风险呢？

问题3：人脸信息明文传输，且每次刷脸解锁均会反复上传且明文访问。

问题5：数据传输接口缺乏安全措施，可以从互联网批量下载用户人脸等信息。

问题6 ：实名认证过程，身份证照片（含人脸）被传输到多个不同的服务器中，且身份证照片（含人脸）上传服务器后，可被互联网直接访问。

个人信息主体权益未得到合理保障的情况有哪些？

这类情况主要有：

1）未告知/提供有效的查询、更正、删除信息、撤回授权同意收集个人信息的渠道或设置不必要/不合理条件；

2） 未提供有效的账号注销服务/部分用户无法完成账号注销/对账户注销设置不合理条件或未及时响应用户；

网络安全保护技术措施与备案方面存在的问题主要是哪些？

主要包括：

1）未落实公民个人信息保护安全技术措施；

2）未向公安机关履行备案义务；

3）未建立网络安全保护管理制度；

4）未落实网络安全保护技术措施：JAVA 代码反编译风险、组件风险、数据明文传输风险、键盘、界面劫持风险、内存未加密敏感信息泄漏风险、敏感代码未混淆风险；

5）未履行其他网络安全管理义务等。

那么目前应用分发平台还做的不到位的地方有哪些？

2020年7月24日，工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知提出要重点整治应用分发平台责任问题，根据监管要求，目前应用分发平台有以下两点需要注意：

（1） 应用分发平台上的App信息明示不到位。包括应用分发平台上未明示APP运行所需权限列表及用途，未明示APP收集、使用用户个人信息的内容、目的、方式和范围等行为；

（2）应用分发平台管理责任落实不到位。重点整治APP上架审核不严格、违法违规软件处理不及时和APP提供者、运营者、开发者身份信息不真实、联系方式虚假失效等问题。

辛苦辛律师了，最后还有一个问题，其他APP还面临哪些常见的违规问题？

感谢享小辫儿的提问，目前其他APP还有未落实用户实名制要求和强行捆绑推广其他应用软件的现象存在，需要企业多加防范。

本周回顾

周一

全球数据保护资讯 |最高法制定民法典人格权编司法解释：增加个人信息保护等案由

我们为您保驾护航

邮箱：shilei@deheng.com返回搜狐，查看更多