吳鷹律師：APP拉新中如何避免侵公犯罪

在APP拉新活動中，為避免非法收集他人公民個人信息，可從以下幾個方面著手：

一、遵循合法、正當、必要原則

明確收集目的、方式和范圍：網(wǎng)絡運營者收集、使用公民個人信息，應當明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。例如，若APP拉新活動旨在獲取新用戶注冊，那么僅收集必要的手機號碼、驗證碼等信息即可，且要在活動頁面顯著位置告知用戶收集這些信息是用于注冊賬號，收集方式是通過用戶手動輸入，收集范圍僅限于手機號碼和驗證碼。確保信息與服務相關：不得收集與其提供的服務無關的公民個人信息。比如一款美食類APP拉新，就不應收集用戶的房產(chǎn)信息等與服務無關的內(nèi)容。

二、獲得用戶明確同意

征得同意前不收集信息：不得在征得用戶同意前就開始收集個人信息或打開可收集個人信息的權限。例如APP運行時，不能缺乏向用戶明示且征求用戶同意的環(huán)節(jié)就收集IMEI、設備MAC地址、通訊錄等個人信息?？梢酝ㄟ^抓包測試來檢測在征得用戶同意前是否向服務端發(fā)送了個人信息，對于不合規(guī)的地方及時修復改進。采用非默認勾選方式：應當采取非默認勾選的方式征得用戶同意。比如在隱私政策彈窗中，同意按鈕可設置為“同意、愿意、允許、接受、可以”，拒絕按鈕可設置為“拒絕、不同意、暫不同意、暫不使用、退出、取消、僅瀏覽”，且注冊/登錄界面默認不勾選“我已閱讀隱私政策”勾選框，必須要求用戶閱讀隱私政策后自行勾選。尊重用戶選擇權：在取得用戶同意前或者用戶明確表示拒絕后，不得處理個人信息；個人信息處理規(guī)則發(fā)生變更的，應當重新取得用戶同意。例如用戶拒絕了某項權限申請，APP不應再通過其他方式變相獲取該權限，且在隱私政策更新時，若涉及信息收集范圍變化，需重新獲得用戶同意。

三、確保信息收集的必要性

收集類型和權限與業(yè)務功能匹配：收集的個人信息類型或打開的可收集個人信息權限應為現(xiàn)有業(yè)務功能所必需或有合理的應用場景，不得過度收集或過度索權。例如，社交類APP拉新時，收集用戶的頭像、昵稱等信息是必要的，但收集用戶的醫(yī)療健康信息則超出了必要范圍。不強制用戶提供非必要信息：不得因用戶不同意收集非必要個人信息或打開非必要權限，而拒絕提供業(yè)務功能。比如APP不能因為用戶不同意提供家庭住址信息就阻止用戶注冊使用。新增功能合理申請權限：當新增業(yè)務功能申請收集的個人信息超出用戶原有同意范圍，若用戶不同意，不得拒絕提供原有業(yè)務功能（新增業(yè)務功能取代原有業(yè)務功能的除外）。例如APP更新增加了新的游戲功能，需要收集用戶的游戲時長信息，若用戶不同意，不能因此讓用戶無法使用APP原有的聊天功能。

四、保障信息安全

建立健全用戶信息保護制度：網(wǎng)絡運營者應當建立健全用戶信息保護制度，加強對用戶個人信息、隱私和商業(yè)秘密的保護。例如制定完善的內(nèi)部信息安全管理制度，明確員工在處理用戶信息時的職責和權限。采取技術和管理措施：采取技術措施和其他必要措施，確保公民個人信息安全，防止其收集的公民個人信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生信息泄露、毀損、丟失的情況時，應當立即采取補救措施，告知可能受到影響的用戶，并按照規(guī)定向有關主管部門報告。例如對用戶信息進行加密存儲，定期進行信息安全檢查和評估，及時發(fā)現(xiàn)和解決安全隱患。

五、規(guī)范第三方合作

對合作方進行盡調(diào)：對于共享或授權個人信息數(shù)據(jù)給合作方，應對其數(shù)據(jù)來源、是否獲得用戶授權以及授權的范圍進行必要的盡調(diào)，以防止產(chǎn)生連帶法律責任。比如APP與第三方廣告公司合作推廣拉新活動時，要確保第三方公司合法合規(guī)收集和使用用戶信息。簽訂協(xié)議明確責任：與合作方簽訂個人信息處理協(xié)議，明確雙方相關權利義務，并對第三方服務提供者的個人信息處理活動和信息安全風險進行管理監(jiān)督。若第三方服務提供者未盡到監(jiān)督義務，APP開發(fā)運營者應依法與其承擔連帶責任。

六、完善隱私政策

詳細說明信息處理規(guī)則：制定詳細的隱私政策，明確用戶數(shù)據(jù)的收集、使用和保護措施。隱私政策中需對個人信息收集的目的、方式、范圍做準確與詳盡的闡述，且在用戶主動同意后才進行權限申請與用戶信息收集。例如在隱私政策中清晰說明收集的用戶手機號碼僅用于注冊和接收驗證碼，不會用于其他用途。確保隱私政策易獲取和理解：進入App主功能界面后，通過4次以內(nèi)的點擊，能夠訪問到隱私政策，且隱私政策鏈接位置突出、無遮擋。隱私政策、APP收集個人信息列表、共享信息列表、APP使用權限列表需要放在二級菜單，同時隱私政策文本內(nèi)容要規(guī)范，避免使用模糊、歧義的語言。