距离滴滴被罚80.26亿元事件刚刚满月，8月26日，工信部又发布了47款侵害用户权益APP和SDK。根据通报显示，本次工信部主要对酒店餐饮类、未成年人应用类等APP进行检查，在存在问题的APP（SDK）名单上，我们注意到一些比较知名企业的APP，例如光明随心订、小杨生煎会员中心、虎扑、神州专车等都赫然在列。本文我们结合上榜APP的常见违规原因再次强调企业、APP经营者在运营时的个人信息保护重点。

1、强制、频繁、过度索取权限/超范围收集个人信息

这是本次榜单中最常见的违规原因，数量近乎一半，而这也是多数问题APP被罚的最大原因。根据相关法律法规的规定，企业在处理个人信息时，应当具有明确、合理的目的，并应当与处理目的直接相关，不得过度收集个人信息。也就是说，个人信息的处理需遵循最小必要原则，采取对个人权益影响最小的方式。

我们回顾滴滴被罚事件，在八个方面的违法事实中包含：过度收集用户剪切板信息、应用列表信息、乘客人脸识别信息、打车地址信息等、在乘客使用顺风车服务时频繁索取无关的“电话权限”——都是违反了必要性原则。

除此之外，超越授权范围收集个人信息也是一大问题。如前所述，企业收集的个人信息不仅应与处理目的直接相关，而且应该仅在用户使用业务功能期间，收集该业务功能所需的个人信息。如果企业利用之前收集的数据对用户进行原收集目的以外的用途分析，就应当再次获取用户的明示同意，并及时更新、提醒用户阅读个人信息收集使用规则。

2、强制用户使用定向推送功能

根据中消协近年开展消费维权工作的数据显示，非法推送商业信息是消费者反映比较突出的个人信息问题之一，而这也一直是相关部门监管的重点。2019年1月，四部门发布的《关于开展App违法违规收集使用个人信息专项治理的公告》，就倡导APP运营者在定向推送时，为用户提供拒绝接收定向推送的选项。而到了同年10月，工信部就将该倡导升级为了强制要求。强制用户使用定向推送功能主要有两种表现形式：一是未提供关闭该功能的选项；二是即便选择了关闭该功能，仍会继续进行推送。

《个保法》第24条第2款规定：“通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。” 可见，几乎所有通过算法推荐技术实现信息推送和商业营销的服务，都在该条款的规制范围内。因此，对于APP经营者而言，通过分析个人行为习惯和兴趣爱好等作出的算法推荐，应当提供不针对个人特征的选项，或者向个人提供便捷的拒绝方式。

3、收集个人信息明示、告知不到位

根据《个保法》第17条的规定，个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言，真实、准确、完整地向个人告知包括处理目的、处理方式等在内的相关事项。

对此，目前大部分企业的做法是：通过《隐私政策》向用户告知处理个人信息的目的、方式、范围等——但这样真的能让企业在遭遇检查时顺利过关吗？答案显然是否定的。即使用户认真阅读了《隐私政策》，但也无法精准发现其中的漏洞，用户可能在不知不觉中就交出了个人信息。

需要明确的是，《隐私政策》的制定不是为了敷衍应对企业的告知义务，其根本是保证用户的知情权，对于企业而言，在文本形式、内容上，避免使用大量专业术语及无实质作用的条款，只是基本操作。如果可以，企业应就“个人信息收集清单”及“第三方信息共享清单”单独成文，并在APP首次运行时，通过弹窗等明显方式提示用户阅读，对于重点部分可以使用加粗或下划线等方式进行强调。

同时，本次上榜的名单中还有东北证券融e通、现在聚合支付SDK这类掌握大量敏感信息的APP（SDK），在对个人信息的保护上应该更加严格。对于敏感个人信息，企业在向个人告知明确具体的收集范围、目的及方式的基础上，还应告知处理敏感个人信息的必要性以及对个人权益的影响。更重要的是，应当获取用户的单独同意，也即单独提示，不得与其他事项进行捆绑，进行一揽子告知同意，并且需要个人信息主体主动点击，以获得对用户的单独同意。

《个保法》的出台实施只是个开始，滴滴被罚80.26亿元已为从业者敲响警钟。科技在不断发展，公民的个人信息保护意识也在不断加强，国家层面的监管措施也日趋缩紧，对于企业、APP经营者而言，利用文字游戏、技术漏洞窃取用户的个人信息获得的红利只是一时的，构建完善的数据获取、存储、使用制度，合规经营才是长久之道。