2020年3月19日全国信息安全标准化技术委员会秘书处发布了《网络安全标准实践指南——移动互联网应用程序(APP)收集使用个人信息自评估指南(征求意见稿)》(简称征求意见稿)。2020年7月22日，全国信息安全标准化技术委员会秘书处发布了《网络安全标准实践指南——移动互联网应用程序(APP)收集使用个人信息自评估指南》(简称评估指南2.0)一、总体感受《摘要》部分进行了缩减。简化了征求意见稿中对于相关文件出台的历史，重点突出了本次评估工作经验所归纳的六个评估点：从征求意见稿可以看出，评估点三的描述顺序调整了一下：“是否征得用户同意后才收集使用个人信息”；不过和之前的表述意义上并无区别。评估点五的表述改动较大，改动后为“是否经用户同意后才向他人提供个人信息”。总体感受如下：1、增加了较多的备注案例，让评估的事宜更加具有可操作性，更加生动，也更有利于客户的体验，而非片面强调合规。例如“新增了隐私政策显示的方式，例如弹窗以外，还可以突出链接的方式解决”。再如“不属于频繁干扰的进行了详细列举。一个是支持APP正常运行，一个是征求意见稿提到的用户主动选择一些功能，而触发征得同意”。再如，“对于APP更新升级，用户并未同意的情况下，将用户设置的可收集个人信息权限恢复到默认状态，或将用户已关闭的使用通讯录匹配好友等功能重新打开。后者征求意见稿并未列明。属于新增”。还如，“举例APP提示用户打开通讯录权限以参与红包等活动，事实上，通讯录权限与上述活动之间毫无关联。APP只是为了上传用户通讯录信息，用于发送商业广告或者其他目的”。2、相关内容更加完备，用词更加严谨。例如增加了儿童的个人信息保护规则的内容；例如“采用与背景颜色相近的字体”。之前明确是灰色的描述，缺乏灵活性；例如，“或不基于个人信息和个性化推荐算法等推送的模式、选项。这里的个性化推荐算法，替代了征求意见稿的用户画像”。3、充分兼顾了不同企业APP的商业模式和具体运营的界面差异性，相关评估事宜更加通情达理。

例如，“因为展示条件限制，还可以把隐私政策描述放入用户协议，但是要显著标识并连续篇幅呈现”。

4、对于相关概念，不再详细列举，而是直接援引了相关国标的章节序号。例如，必要信息范围可参考《信息安全技术 移动互联网应用程序(APP)收集个人信息基本规范》。5、充分考虑了用户个人信息权的行使和与企业APP运营者的互动，补充了实践中的新做法，与时俱进。例如，“增加了一种可举报渠道，即时通信账号”；再如，“通知的方式进行了具体列举，除了之前征求意见稿提到的推送消息、邮件、弹窗外，还增加了红点提示，提醒用户阅读发生变化的条款”。再如，增加了“不应仅以…研发新产品、增强安全性等为由”。6、补充和回应了目前2020年10月1日即将实施的国标中的几个问题。

例如，“对于第三方应用这块的介入，APP运营者需要进行审核、并有标识义务和提醒用户关注义务”。

具体变化详细如下：二、评估点一的变化之处(是否公开收集使用个人信息的规则)1.1是否公开隐私政策等收集使用规则。新增：如存在涉及收集使用儿童个人信息相关业务功能的，需制定针对儿童的个人信息保护规则。1.2 a) 新增了隐私政策显示的方式，例如弹窗以外，还有突出链接的方式。王艺律师认为，这个比弹窗，客户体验更好。 1.2b)对于不明显方式展示隐私政策链接的，进行了更详细的举例列举。例如“采用与背景颜色相近的字体、刻意缩小字号、弹出键盘遮挡等”。 1.3 b+c，均增加了备注，给予了参考意见例如，在界面的固定路径展示隐私政策，具体举例了我的-设置-关于/隐私，不频繁变更展示隐私政策的路径；说明查找隐私政策的方法、路径。因为展示条件限制，还可以把隐私政策描述放入用户协议，但是要显著标识并连续篇幅呈现。1.4a) 增加了具体举例内容，方便企业理解和操作。例如，对于显示方式造成阅读困难，包括了字号过小、颜色与背景色相近、行间距过密、字迹模糊、列宽大于手机屏幕等造成阅读困难。1.5 原征求意见稿的APP运营者的基本情况合并到这一条。关于b)对于更新日期的理解，需要考虑是否把每次更新日期都要展示，还是展示最新一次的，有待明确。王艺律师认为，只需要展示最新一次更新日期即可。关于c)进行了新增，说明收集使用个人信息的目的、方式、范围，具体见实践指南2.1节。关于e)，新增备注，明确部分业务功能不涉及用户画像，个性化展示，可在规则中明确说明。关于f)，对于不存在个人信息出境情形，可以无需说明。之前征求意见稿要求说明。关于j)，增加了一种可举报渠道，即时通信账号。三、评估点二的变化之处

(是否明示收集使用个人信息的目的、方式和范围)

2.1a) 对于业务功能说，强调根据用户使用习惯逐项说明，之前征求意见稿并未提到这一点。 2.1b)需要对于cookie的机制进行说明，删除了方式字样。删除了“委托第三方…直接将个人信息传输至境外的说明等内容”2.2 a) 对于收集使用个人信息的目的、方式、范围发生变化，通知的方式进行了具体列举，更加丰富，除了之前征求意见稿提到的推送消息、邮件、弹窗外，还增加了红点提示，提醒用户阅读发生变化的条款。2.3 a) 对于打开收集个人信息权限时，需要弹框提示、用途描述方式告知用户，之前征求意见稿并无“用途描述”字样。 2.3b)对于相关定义，直接援引相关国标，而不是列举具体的定义内容。如对于个人敏感信息的定义。 2.4 a) 不易于理解的举例，除了大量专业术语、冗长繁琐的篇幅外，增加了晦涩难懂的词语、逻辑结构混乱等。四、评估点三之变化之处(是否征得用户同意后才收集使用个人信息)这是六个评估点中，最重要的一个，也是篇幅最长的一个评估点。3.3 b)备注中，对于不属于频繁干扰的进行了详细列举。一个是支持APP正常运行，一个是征求意见稿提到的用户主动选择一些功能，而触发征得同意。 3.4a) 删除了“调用系统权限函数的行为”。 3.5b) “下一步”、“注册”、“登录即代表同意”，需要与同意隐私政策之间建立逻辑关系。即主动提醒用户主动阅读隐私政策后征求用户同意的效果。新增备注：如APP更新后，隐私政策无变化时，无需再次征求用户同意隐私政策。3.6a) 新增备注，对于APP更新升级，用户并未同意的情况下，将用户设置的可收集个人信息权限恢复到默认状态，或将用户已关闭的使用通讯录匹配好友等功能重新打开。后者征求意见稿并未列明。属于新增。3.7a) 最后一句话，或不基于个人信息和个性化推荐算法等推送的模式、选项。这里的个性化推荐算法，替代了征求意见稿的用户画像。 3.8a) 新增备注，举例APP提示用户打开通讯录权限以参与红包等活动，事实上，通讯录权限与上述活动之间毫无关联。APP只是为了上传用户通讯录信息，用于发送商业广告或者其他目的。3.9 新增备注，如用户需要撤回对同意APP收集使用其所有个人信息的授权，可采取注销账号等方式执行。五、评估点四的变化之处(是否遵循必要原则，仅收集与其提供的服务相关的个人信息)4.2 备注变化，必要信息范围可参考《信息安全技术 移动互联网应用程序(APP)收集个人信息基本规范》，这个之前是征求意见稿，目前已经实施，值得重点关注。 4.3 c) 不仅似乎改为征求意见稿的不应仅更合适。增加了“不应仅以…研发新产品、增强安全性等为由”。 4.4 b) 新增备注，在用户主动关闭APP后，未经用户同意，不采用自启动、关联启动方式收集个人信息。 4.4 c) 新增备注，例如信息查询类APP，在用户向第三方应用提交相关个人信息时，截留用户个人信息并上传至其后端服务器的行为，属于私自截留个人信息。六、评估点五的变化之处(是否经用户同意后才向他人提供个人信息)5.1 c) 新增。强调向第三方传输的个人信息类型、接收数据的第三方身份等发生变更的，需要以适当方式通知用户，并征得用户同意。 5.2 a) 原为5.1c)，将自行同意改为自行以主动填写等方式向第三方直接授权。 5.2 b) 新增。对于第三方应用这块的介入，APP运营者需要进行审核、并有标识义务和提醒用户关注义务。七、评估点六的变化之处(是否提供删除或更正个人信息功能或公布投诉、举报方式等信息)6.1 a) 删除了原法律法规另有规定除外的内容。 6.2 a) 新增备注。明确隐私政策中注明的，经证实无法完成相关操作的，视为无效途径。 6.3 a) 新增在线客服、在线表单、即时通讯账号的受理方式。全时信安及王艺数据合规团队(王艺律师)联合解读发布