ISO 37301:2021《合规管理体系 要求及使用指南》国际标准解读及相关标准

2021年4月13日，ISO 37301: 2021《合规管理体系 要求及使用指南》（Compliance management systems — Requirements with guidance for use）国际标准正式发布实施。

制定背景和意义

近年来，全球贸易关系愈加复杂，全球产业链进入深度调整与重构时期。在国家层面，各国建立了严格的合规监管制度，监管机构加强了立法深度和执法力度，引导和督促企业实施更加主动的合规经营。在国际层面，联合国、经济合作与发展组织、世界银行集团、非洲开发银行集团、亚洲太平洋经济合作组织、国际商会等国际性组织相继制定全球性契约、指南和指引等，对合规管理核心问题形成国际共识，在相关贸易活动中对不合规行为实施联合惩戒。合规已经成为各类组织成功和可持续发展的基础。为了满足全球化合规的快速发展和迫切需求，提升各类组织合规管理能力，促进国际贸易、交流与合作，ISO于2018年11月启动了ISO 37301的制定工作，基于最新的合规管理实践，修订并代替ISO 19600:2014《合规管理体系 指南》。ISO 37301的制定对于各类组织的合规管理能力建设、政府监管活动、国际贸易交流、沟通合作改善等具有重要的意义。一是为各类组织提高自身的合规管理能力提供系统化方法，它采用PDCA理念完整覆盖了合规管理体系建设、运行、维护和改进的全流程，基于合规治理原则为组织建立并运行合规管理体系、传播积极的合规文化提供了整套解决方案。二是为监管机构和司法机构采信组织的合规整改计划、合规管理体系实践提供参考依据，监管机构和司法机构在对组织违反相关法律的行为作出处罚时，可以将组织的合规管理体系运行情况作为衡量处罚力度的一个考量因素。三是为便利全球范围内相关方之间的贸易、交流与合作提供了通用规则，各类组织可以通过声明符合ISO 37301或者获得依据ISO 37301所进行的认证，在相关方之间传递信任，进而为贸易、交流与合作提供便利。二标准主要内容
ISO 37301规定了组织建立、运行、维护和改进合规管理体系的要求，并提供了使用指南，适用于全球任何类型、规模、性质和行业的组织。合规管理体系通用要素的框架如图1所示。 　　 　　图1 合规管理体系通用要素
（一）组织环境
组织所处的环境构成了组织赖以生存的基础。这些环境既涉及法律法规、监管要求、行业准则、良好实践、道德标准，又涉及组织自行制定或公开声明遵守的各类规则。因此，建立合规管理体系首先要对组织所处的环境予以识别和分析。ISO 37301从以下方面规定了识别和分析组织环境的要求：

• 确定影响组织合规管理体系预期结果能力的内部和外部因素；
• 确定并理解相关方及其需求；
• 识别与组织的产品、服务或活动有关的合规义务、评估合规风险；
• 确定反映组织价值、战略的合规管理体系及其边界和适用范围。

（二）领导作用领导是合规管理的根本
对于整个组织树立合规意识、建立高效的合规管理体系具有至关重要的作用。ISO 37301对组织的治理机构、最高管理者等如何发挥领导作用作出了规定：

• 治理机构和最高管理者要展现对合规管理体系的领导作用和积极承诺；
• 遵守合规治理原则；
• 培育、制定并在组织各个层面宣传合规文化；
• 制定合规方针；
• 确定治理机构和最高管理者、合规团队、管理层及员工相应的职责和权限。

（三）策划策划是预测潜在的情形和后果，对于确保合规管理体系能实现预期效果，防范并减少不希望的影响，实现持续改进具有重要作用。ISO 37301从以下方面规定了策划合规管理体系的要求：

• 在各部门和层级上建立适宜的合规目标，策划实现合规目标需建立的过程；
• 综合考虑组织内外部环境问题、合规义务和合规目标，策划应对风险和机会的措施，并将这些措施纳入合规管理体系；
• 有计划地对合规管理体系进行修改。

（四）支持支持是合规管理的重要保障，对于合规管理体系在各个层面得到认可并保障合规行为实施具有重要的支持作用。ISO 37301从以下方面规定了支持措施：

• 确定并提供所需的资源，例如财务资源、工作环境与基础设施等；
• 招聘能胜任且能遵守合规要求的员工，对违反合规要求的员工采取纪律处分等管理措施；
• 提供培训，提升员工合规意识；
• 开展内部和外部沟通与宣传；
• 创建、控制和维护文件化信息。

（五）运行运行是立足于执行层面，策划、实施和控制满足合规义务和战略层面规划的措施相关的流程，以确保组织运行合规管理体系。ISO 37301从以下方面对运行作出了规定：

• 实施为满足合规义务、实施合规目标所需的过程以及所需采取的措施；
• 建立并实施过程的准则、控制措施，定期检查和测试这些控制措施，并保留记录；
• 建立举报程序，鼓励员工善意报告疑似和已发生的不合规；
• 建立调查程序，对可疑和已发生的违反合规义务的情况进行评估、调查和了结。

（六）绩效评价绩效评价是对合规管理体系建立并运行后的绩效、体系有效性评价，对于查找可能存在的问题、后续改进合规管理体系等具有重要意义。ISO 37301对如何开展合规管理体系绩效评价作出了规定：

• 监视、测量、分析和评价合规管理体系的绩效和有效性；
• 有计划地开展内部审核；
• 定期开展管理评审。

（七）改进改进是对合规管理体系运行中发生不合格/不合规情况做出反应、评价是否需要采取措施，消除不合格/不合规的根本原因，以避免再次发生或在其他地方发生，并持续改进，以确保合规管理体系的动态持续有效。ISO 37301从以下方面对改进作出了规定：

• 持续改进合规管理体系的适用性、充分性和有效性；
• 对发生的不合格、不合规采取控制或纠正措施。
• 标准的应用

作为A类管理体系标准，ISO 37301至少有四种应用方式：

1. 作为各类组织自我声明符合的依据。各类组织通过实施ISO 37301，建立并运行合规管理体系，一方面使得组织的行为以及行为结果合规，另一方面在需要时还能够据此标准追溯组织是否符合了合规管理体系规定的内容或证实是否达到了合规要求。
2. 作为认证机构开展认证的依据。ISO 37301规定了合规管理体系的要求，并提供了建议做法和指南，认证机构在认证活动中，可以直接应用或者在其认证技术规范中明确ISO 37301作为组织符合合规管理体系要求的认证依据。
3. 作为政府机构监管的依据。政府机构可以将ISO 37301确立的合规管理理念应用于行政监管活动，通过对组织的合规管理体系运行情况评价结果来匹配相应的监管手段和措施，实施精准监管。
4. 作为司法机关对违规企业量刑与监管验收的依据。可以将ISO 37301确立的合规管理体系要求作为司法机关对涉及违规企业量刑的考量依据，可以作为落实依法不捕不诉不提出判实刑建议等司法意见、制定合规指引、督促企业合规整改和第三方监管验收的依据。

合规标准

• ISO 37301：2021 Compliance management systems — Requirements with guidance for use （合规管理制度–要求与使用指南）
• ISO 37301：2021 合规管理制度 - 要求与使用指南 - 最新完整中文翻译版（33页）
• BS ISO 37301：2021 （TC -Tracked Changes）Compliance management systems - Requirements with guidance for use - （TC - 变更记录）合规管理系统 - 要求和使用指南
• ISO 37301：2021 合规管理体系 - 内审员培训教材 [第3部分-术语和定义] - 完整中文版（20页）
• GB/T 35770-2017 合规管理体系指南 - 完整中文版（26页)
• ISO 19600：2014 合规管理制度–准则 - 完整中文/英文版（59页）
• CSA标准 - 欧洲通用数据保护规范（GDPR）合规行为准则（COC）- 完整中文电子版（75页）
• A Guide to United States Apparel and Household Textiles Compliance Requirements（美国服装和家用纺织品合规要求指南 ）
• A Guide to United States Cosmetic Products Compliance Requirements（美国化妆品产品合规要求指南）

参考标准

• ISO 9000：2015 Quality management systems — Fundamentals and vocabulary（质量管理系统–基本原理和词汇 ）
• ISO 9001：2015-质量管理体系 要求+2016年国标 - 最新完整中文版
• ISO 14001：2015 Environmental management systems — Requirements with guidance for use（环境管理系统–要求与使用指南）
• ISO 14000系列中文标准（80页）.doc
• ISO 14001-2015 实用的公司环境管理体系文件 - 中文Word文档（176页）.docx
• ISO 19011：2018 Guidelines for auditing management systems（管理体系审核指南)
• ISO 19011：2018 管理体系审核指南- 中文翻译版
• ISO 22000：2018 Food safety management systems – Requirements for any organization in the food chain(食品安全管理体系——对食品链中任何组织的要求)
• ISO 22000：2018 食品安全管理体系-食品链中各类组织的要求-SGS内部中文翻译电子稿（31页）
• ISO 22000：2018 食品安全管理体系标准 - 中英对照电子版（58页)
• ISO 26000：2010 Guidance on social responsibility（社会责任指南）
• ISO 26000：2010 社会责任指南 - 完整中文版（58页 每页两张)
• ISO/IEC 27001：2013 Information technology — Security techniques — Information security management systems — Requirements(信息技术 - 安全技术 - 信息安全管理系统 - 要求)
• ISO/IEC 27001：2013 信息技术 - 安全技术 - 信息安全管理体系 - 要求 - 完整中文翻译版
• BS ISO 31000：2018 Risk management - Guidelines（风险管理-准则）
• ISO 31000 ：2018 风险管理指南 - 完整中文翻译版（13页)
• IEC 31010：2019 Risk management - Risk assessment techniques （风险管理 - 风险评估技术）
• ISO 37001：2016 Anti-bribery management systems - Requirements with guidance for use（反贿赂管理系统 - 要求和使用指南）
• ISO GUIDE 73：2009 Risk management - Vocabulary(风险管理-词汇)

---

作者：随亦
本篇介绍：爬虫使用合规
本篇为第8篇/共9篇
上一篇：基于国内法律法规的企业数据合规体系建设经验总结（七）
下一篇：基于国内法律法规的企业数据合规体系建设经验总结（九）

---

引子

在离开前公司之后（2020.06），我来到新的公司担任安全部负责人，负责新公司的安全架构设计与安全体系建设，由于新公司的业务都是面向国内的，因此在建设隐私合规体系时，参照的都是国内的法律法规标准。本系列即以国内法律法规为基准，抛砖引玉，来探讨纯国内业务企业的隐私合规体系建设。

一、爬虫的概念及应用场景

爬虫本质上是一套实现高效率下载的程序，可以通过遍历网络内容，按照指定规则提取所需的网页数据，并下载到本地形成互联网网页镜像备份。

在互联网时代，网络爬虫最大的意义在于高效的获取数据，完善的爬虫技术能够实现自动化的抓取网页数据，并进行网页数据的解析、存储等操作。基于此特性，爬虫最常见的应用场景为搜索引擎，如百度、谷歌等。

而我们今天所说的，是指未经消费者同意，通过爬虫恶意爬取个人信息的行为，此举如果被非法利用，会涉嫌违法违规收集个人信息，或窃取、滥用、买卖、泄露个人信息，侵害消费者的个人信息，造成不良社会影响。

二、爬虫法律责任之刑事责任

非法获取计算机信息系统数据罪

《刑法》规定：行为人违反国家规定，侵入除国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或采用其他技术手段，获取该计算机信息系统中存储、处理或传输的数据，达到情节严重的，即构成非法获取计算机信息系统数据罪。

在实践中，如果行为人通过爬虫技术，绕开网站设置的身份验证、访问频率限制等防爬措施，接入被爬网站的计算机信息系统，抓取被爬网站服务器中存储的非公开数据，即可构成本罪。

而对于情节严重的定义，主要包含以下五点：

1、获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的；
2、获取其他身份认证信息五百组以上的；
3、非法控制计算机信息系统二十台以上的；
4、违法所得五千元以上或造成经济损失一万元以上的；
5、其他情节严重的情形。

非法侵入计算机信息系统罪

《刑法》规定，非法侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，构成非法侵入计算机信息系统罪。

在实践中，行为人通过爬虫技术获取如“国家企业信用信息公示系统”等政府网站数据的，因为该等网站属于国家事务类网站，如果使用爬虫侵入该等网站获取了非网站公开或授权的信息，又或者对该等网站的正常运行造成了不利影响，均可能构成本罪。

提供侵入、非法控制计算机信息系统的程序、工具罪

在实践中，行为人往往通过爬虫恶意绕开被爬网站设置的身份验证、频率限制等保护措施，非法获取被爬网站的数据信息。基于此，除直接使用爬虫的行为人之外，其他特定的行为人如果提供该等用来侵入计算机信息系统的爬虫程序，造成相应危害后果的，即可构成本罪。

刑法的其他规定

1、向他人出售或提供公民个人信息、窃取或以其他方法非法获取公民个人信息，并达到情节严重的，可构成侵犯公民个人信息罪。

2、如果行为人通过爬虫非法获取他人享有著作权的文字作品、音乐、电影、电视、录像、计算机软件几其他作品，并实施了通过信息网络向公众传播该等作品的行为，可构成侵犯著作权罪。

3、如果通过爬虫对计算机信息系统实施了非法控制的，可构成非法控制计算机信息系统罪。

4、如果对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，可构成破坏计算机信息系统罪。

5、如果爬取的数据信息属于被爬网站经营者的商业秘密，可构成侵犯商业秘密罪。

三、爬虫法律责任之不正当竞争

爬虫的价值在于更便利的获取数据，而如果行为人恶意使用爬虫抓取他人投入大量时间、精力收集、开发的数据并加以利用，换言之，也就是实施了我们常说的“搭便车”、“不劳而获”等行为，会对经营者依赖数据所形成的竞争力造成损害。

《反不正当竞争法》规定：经营者在生产经营活动中，应当遵循自愿、平等、公平、诚信的原则，遵守法律和商业道德。本法所称的不正当竞争行为，是指经营者在生产经营活动中，违反本法规定，扰乱市场竞争秩序，损害其他经营者或消费者的合法权益的行为。本法所称的经营者，是指从事商品生产、经营或提供服务的自然人、法人和非法人组织。

经营者之间是否存在竞争关系

使用爬虫的经营者与被爬的经营者之间是否存在竞争关系，是认定爬虫行为是否构成不正当竞争的前提。

在互联网环境下，经营者之间竞争的本质在于对网络用户的争夺，而不仅限于在同行业或相同业务领域之间的竞争，即使是不同行业、不同业务领域的经营者，只要双方之间存在对于相同网络用户的争夺，即可构成竞争关系。

是否存在不正当竞争行为

《反不正当竞争法》规定：不正当竞争行为是指经营者在生产经营活动中，违反本法规定，扰乱市场竞争秩序，损害其他经营者或消费者的合法权益的行为。

在实践中，若他人通过投入大量的时间精力获取数据并生产相关产品或提供相关服务，而其他经营者未付出自己的劳动创造，直接通过爬虫抓取他人数据并加以商业化利用，从而取得本不属于其的商业利益与竞争优势，同时又削弱被爬企业产品对用户的吸引力，即构成不正当性。

总结

经营者之间是否具备竞争关系、是否实施了基于爬虫的不正当竞争行为、是否因此对被爬企业的合法权益造成了损害，这三个维度共同构成了认定爬虫行为是否构成不正当竞争、是否应该承担法律责任的要素。而根据《反不正当竞争法》规定，行为人实施了不正当竞争行为，给他人造成损害的，应当依法承担民事责任，包括对收到损害的经营者的赔偿责任。同时，实施不正当竞争行为，还可能受到监管部门罚款等行政处罚。

四、爬虫法律责任之网络数据安全

恶意爬虫对于网络与数据安全产生严重的威胁，行为人通过恶意爬虫绕开或破坏网站的防护措施，实施非法侵入网站系统的行为，大量爬取网站系统存储的数据，严重干扰网站的的正常运行，因此，恶意爬虫的行为整治就被提上日程。

《网络安全法》第27条规定：任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具；明知他人从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。

同时，第63条也规定：违反本法第二十七条规定，尚不构成犯罪的，由公安机关没收违法所得，处五日以下拘留，可以并处五万元以上五十万元以下罚款。违反本法第二十七条规定，受到治安管理处罚的人员，五年内不得从事网络安全管理和网络运营关键岗位的工作；受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。

五、爬虫使用合规

基础合规要求

爬取数据前：首先识别数据的性质，严格禁止侵入内部系统数据；
爬取数据时：避免获取个人信息、明确的著作权作品、商业秘密等；
爬取数据后：严格限定数据应用场景，切忌不劳而获、搭便车的利用他人数据，侵害他人的商业利益。

从合规使用爬虫，规避法律风险角度，应当注意严格规范数据爬取行为，控制数据爬取的数量和频率，避免破坏、干扰被爬网站的正常运行。具体而言，又可分为：

1、审查被爬网站是否具备Robots协议。遵守被爬网站中Robots协议的要求。对于爬虫使用而言，在被爬网站已经通过Robots协议明确告知爬虫的范围、方式、频率等限制时，应当避免绕开或违反被爬网站的Robots协议爬取数据；

2、避免突破、破坏网站的防护措施进行数据爬取。恶意爬虫可能会采取破解网站加密规则、伪造身份认证信息、非法获取权限等方式破坏网站设置的一系列防护措施。该等行为可被认定为非法侵入、破坏计算机信息系统、非法获取数据等违法犯罪行为。因此，爬虫行为应当以不破坏被爬网站的信息系统安全为前提；

3、合理控制爬虫频率，避免给被爬网站的运行造成过度负担。应当尽可能避免使用爬虫频繁、大量抓取网站数据，妨碍被爬网站的正常运营。

爬取个人信息的额外要求

对于爬取的数据，应当考察数据类别是否为公民个人信息。对于公民个人信息，应当避免未经用户事先授权同意直接爬取。值得注意的是，即便是爬取网站中公开的信息，如果其属于公民个人信息的，同样应当取得用户的授权同意，而不能以爬取的是已经公开的信息为由，未经用户同意直接爬取。

数据接收方如果间接获取他人通过爬虫取得的个人信息时，同样应当对他人通过爬虫获取个人信息的合法性进行一定的审查。如要求个人信息的提供方说明个人信息来源，并对个人信息来源的合法性进行确认，了解个人信息主体是否授权同意转让、共享等。数据接收方在获取个人信息后，如果在业务开展过程中所需进行的个人信息处理活动超出已获得的授权同意范围，应当重新征得个人信息主体的同意。

爬取商业数据的额外要求

如果爬虫抓取的数据类别属于网站运营者的商业经营数据，在对该等数据的获取、利用上应当着重考察是否存在搭便车等不当行为，避免被认定为构成不正当竞争。在具体应用场景下，可以首先考虑与被爬网站之间是否存在竞争关系，获取利用被爬网站数据的行为是否存在分流被爬网站用户、降低被爬网站竞争优势的可能。如果存在该可能的，应当谨慎使用爬虫获取被爬网站的数据。

---

本篇介绍：爬虫使用合规
本篇为第8篇/共9篇
上一篇：基于国内法律法规的企业数据合规体系建设经验总结（七）
下一篇：基于国内法律法规的企业数据合规体系建设经验总结（九）

---

---

作者：随亦
本篇介绍：个人信息收集
本篇为第1篇/共9篇
下一篇：基于国内法律法规的企业数据合规体系建设经验总结（二）

---

引子

在离开前公司之后（2020.06），我来到新的公司担任安全部负责人，负责新公司的安全架构设计与安全体系建设，由于新公司的业务都是面向国内的，因此在建设隐私合规体系时，参照的都是国内的法律法规标准。本系列即以国内法律法规为基准，抛砖引玉，来探讨纯国内业务企业的隐私合规体系建设。

前言

数据保护应当遵循“四个全覆盖”的要求：覆盖数据的全生命周期；覆盖业务经营、风险管理和内部控制流程中的全部数据；覆盖内部数据和外部数据；覆盖所有分支机构和附属机构。

具体来说，为确保数据相关运作合法合规，企业应将数据保护体系贯彻数据的全生命周期，配合建立网络安全相关法律法规要求的各项制度，符合法律法规对于个人信息保护的各项规定要求。参照相关国家标准的细化要求，进行个人信息全生命周期的合规安排。

回到本篇主题，那何为个人信息收集？

对于这个问题，《个人信息安全规范》第3.5条、《个人信息告知同意指南》第5.1条、《网络安全法》第41条均对个人信息收集做了说明，我们来看看《个人信息安全规范》第3.5条，其他的相关法规条款请读者自行查阅。

《个人信息安全规范》第3.5条规定：个人信息收集是指获得个人信息的控制权的行为，包括直接收集个人信息和间接收集个人信息两种方式。其中直接收集个人信息是指个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集的行为；间接个人信息收集是指通过共享、转让、搜集公开信息等间接获取个人信息的行为。

接下来，我将从个人信息收集的合法性、必要性、被收集者同意、征得被收集者同意的例外、隐私政策优化、间接获取个人信息的要求等六方面来探讨个人信息收集的合规化。

一、合法性

《个人信息安全规范》第5.1条规定了收集个人信息的合法性要求，我们在实践中可参照它的要求来进行实施：

1、不应以欺诈、诱骗、误导的方式收集个人信息

不能以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限，比如故意欺瞒、掩饰收集个人信息的真实目的。

在实际实施中，可以通过实际的技术测试来判断是否有误导行为。但对于宣称收集信息只用于A功能而实际上却用于B功能的行为，除了通过抓包测试外，也可以与开发面谈问询，例如B功能的实现肯定需要个人信息做为支撑，但它没有明面上收集，那这里的个人信息从何而来？

2、不应隐瞒产品或服务所具有的收集个人信息的功能

首先，《隐私政策》中不能存在“等、例如”字样，这是规定的。也就是说，我们需要全面的梳理业务功能，而不能因为懒惰，在隐私政策中使用“等、例如”字样，进而可避免宣称收集信息只用于A功能而实际上却用于B功能的行为。

在实际监管中，抓包测试就能发现一切端倪。监管机构也是用这种方式做测试，然后对不合规APP进行通报整改的，除了监管机构，合规比较严格的客户也会进行尽调审计。

3、不应从非法渠道获取个人信息

这个行为是指，通过黑市等非法渠道获取来源不明的个人信息。一般的正规公司都不存在这一行为。

需要注意的是，这里除了自身不应从黑市等非法渠道获取个人信息外。对于共享或授权个人信息数据给我们的合作方，也应对其数据来源、是否获得用户授权以及授权的范围进行必要的尽调，以防止产生连带法律责任。

二、必要性

根据《APP违法违规认定方法》第4条和《APP自评估指南》评估项7，我们可以实践满足个人信息收集的必要性要求，必要性的要求包括：

1、收集的个人信息类型或打开的可收集个人信息的权限应为现有业务功能所必需或有合理的应用场景

收集的个人信息类型或打开的可收集个人信息权限不得与现有业务功能的应用场景无关，不得过度收集或过度索权。

实践中典型的问题一般包括：

1）过度收集用户通讯录、短信、通话记录等，或收集身份证号、人脸、指纹等作为应用开启使用的前提条件。
2）通过积分、奖励等方式诱导用户，收集身份证号、人脸、指纹等信息。
3）APP在用户还未使用相关功能或服务时，提前申请开启通讯录、定位、短信、相机等权限。

需要注意的是，“现有业务功能”是指现有的，而非过去或准备开发的新业务功能。

2、不得因用户不同意收集非必要个人信息或打开非必要权限，而拒绝提供业务功能

实践中存在很多通过拒绝提供业务功能，变相强迫用户同意收集非必要个人信息或打开非必要权限的行为。最典型的问题就是APP在运行时向用户索取与当前服务场景无关的权限，用户拒绝后，应用直接退出或关闭。

产生这种现象的原因，一般是开发人员因为懒惰，采取了一刀切的方式解决合规要求，此时需要安全向产品、开发普及其中的合规要求，从而使产品走向合规。

3、当新增业务功能申请收集的个人信息超出用户原有同意范围，若用户不同意，不得拒绝提供原有业务功能，但新增业务功能取代原有业务功能的除外

在实践中，一个应用更新新的功能非常普遍，此时就要避免出现新功能的索权上继续使用一刀切的模式，使用户不同意新功能的索权导致整个应用都不能使用。而解决这个问题的方法和上个一样，需要安全向产品、开发普及其中的合规要求，从而使产品走向合规。

4、收集个人信息的频繁程度不得超出业务功能的实际需要

在实践中典型的问题是按照一定的频次收集位置信息、IMEI或频繁读取通讯录、短信、图片等。一般情况下，公司存在该方面业务需要的，都没有太大问题，因为如何才算得上频繁并没有考量标准。但需要我们重点关注的，就是业务功能根本不需要这些数据，却进行频繁收集的情况。

5、不得仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，强制要求用户同意收集个人信息

前面我们说了，收集的个人信息必须是要有对应的业务功能的，因此，在实践中，APP可以将改善服务质量、提升用户体验、定向推送信息、研发新产品等目的与其他业务功能相结合，从而确保使用个人信息的类型与具体业务功能相对应。

6、不得要求用户一次性同意打开多个可收集个人信息的权限，用户不同意则无法使用

对于一揽子收集的问题有一个特殊情况，Android 6.0以前，APP在安装前需要先获取所有权限，得到用户同意后才能进行安装，Android 6.0及之后谷歌才开发了即时权限获取功能，即用到这个权限的时候再申请，不再安装前一揽子获取。而目前市面上APP基本都还支持Android 6.0之前的版本，这属于不可抗力因素。

但是对于Android 6.0及之后的系统，仍一揽子收集就是我们自己的责任了，在实践中我们通过简单的测试就能判断它是否合规。同时，在实际测试中，我们应当注意，用户不同意应仅影响与所拒绝提供个人信息相关的业务功能，不能影响其他业务功能的正常使用，不得以不同意一揽子授权为理由不提供任何单一服务。

7、不得在用户明确拒绝后继续频繁索要权限、打扰用户

实践中存在很多用户明确拒绝权限申请后，仍向用户频繁弹窗申请开启与当前服务场景无关的通讯录、定位、短信、相机等权限的问题，严重影响用户体验。工信部和各省监管机构也屡次通报了存在这种问题的APP。

这种问题只需简单的测试就能发现，因此在APP上线前，可以先做好合规测试。

三、被收集者同意

对于被收集者同意，根据《网络安全法》第41条的分析，具体的要求包括：

1、不得在征得用户同意前就开始收集个人信息或打开可收集个人信息的权限

实践中常见的问题包括APP运行时，缺乏向用户明示且征求用户同意的环节，收集IMEI、设备MAC地址、通讯录等个人信息。或APP运行时，虽然有向用户并经用户同意的环节，但个人信息收集发生在用户同意前。

在实际监管中，可以通过抓包测试，检测在征得用户同意前是否向服务端发送了个人信息，对于不合规的地方，可以要求开发进行修复改进。

2、用户明确表示不同意后，不得收集个人信息或打开可收集个人信息的权限

实践中有很多用户明确表示不同意后，仍收集个人信息或打开可收集个人信息权限的情况，网络运营者应当尊重用户意愿，在用户明确拒绝收集个人信息或打开可收集个人信息权限的请求后，不得收集个人信息或打开可收集个人信息的权限。

此外，需要注意的是，用户明确拒绝收集个人信息或打开可收集个人信息权限的请求后，应仅影响与拒绝提供个人信息或打开可收集个人信息权限相关的业务功能，不得影响用户正常使用其他业务功能。

3、实际收集的个人信息或打开的可收集个人信息的权限，应与声明并经用户同意的收集规则保持一致

隐私政策的作用不仅在于告知用户并获得用户的同意，还在于网络运营者自身收集个人信息的约束。用户在悉知并同意隐私政策后，对网络运营者在个人信息收集处理上会形成合理期待。

实践中可以先通过了解实际业务，优化隐私政策让隐私政策合规化，再通过技术测试来判断应用是否合规，对于与隐私政策不相符的地方，可连同产品、开发等人员进行合规化改进。

4、不得以默认选择同意个人信息保护政策等非明示方式征求用户同意

目前市面上常见的不合规现象包括：默认勾选同意、注册即表示同意等。而被监管机构通报的也大多属于这一类。

在实践中，合规的方式应当是用户自主做出肯定性动作，肯定性动作包括主动勾选、主动点击、主动填写或输入、主动开启、主动签名等方式。对于是否合规，通过简单的测试即可得出结论。

5、不得未经用户同意更改其设置的可收集个人信息权限状态，如APP更新时自动将用户设置的权限恢复到默认状态

对于利用APP更新等方式在未经用户同意的情况下，隐秘修改用户设置的可收集个人信息权限状态的行为，如果没有专门去查看权限状态，很难发现该变动。实际测试中可通过更新APP来手动验证权限是否有变动。

APP申请调用可收集个人信息权限均应获得用户同意，不得未经用户同意私自更改用户权限设置，不得利用系统更新升级去更改原有的系统权限设置。

6、收集个人生物识别信息的特殊要求

《个人信息安全规范》第5.4条规定：收集个人生物识别信息前，应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围，以及存储实践等规则，并征得个人信息主体的明示同意。

实践中，应当重点关注三个要点：

1）告知方式：单独告知；
2）告知内容：收集、使用个人生物识别信息的目的、方式和范围，以及存储实践等规则；
3）同意方式：明示同意。

四、征得被收集者同意的例外

对于征集被收集者同意的例外情形，我们来看看《个人信息安全规范》第5.6条中是如何规定的：

a）与个人信息控制者履行法律法规规定的义务相关的；

举例：比如国家规定必需要纳税，纳税时收集个人信息的情况，无需征得你同意

b）与国家安全、国防安全直接相关的；

举例：我达不到这个高度，举不出例子

c）与公共安全、公共卫生、重大公共利益直接相关的；

举例：比如新冠肺炎期间要排查人员流动时收集个人信息的情况，无需征得你同意

d）与刑事侦查、起诉、审判和判决执行等直接相关的；

举例：比如当你犯法了公安机关调查你时收集个人信息的情况，无需征得你同意

e）出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又难以得到本人授权同意的；

举例：比如你在昏迷时医生给你上药，需要收集你的生物个人信息的情况，无需征得你同意

f）所涉及的个人信息是个人信息主体自行向社会公众公开的；

举例：你自己发布出去的个人信息

g）根据个人信息主体要求签订和履行合同所必须的；

举例：比如要你履行xx合同的义务时，收集个人信息的情况，无需征得你同意

h）从合法公开披露的信息中收集个人信息的；

举例：比如从合法的新闻报道、政府公开等渠道收集个人信息的

i）维护所提供产品或服务的安全稳定运行所必需的；

举例：比如发现、处置产品或服务的故障

j）个人信息控制者为新闻单位，且其开展合法的新闻报道所必需的；

举例：关于新闻单位的，不举例

k）个人信息控制者为学术研究机构，出于公共利益开展统计或学术研究所必要，且其对外提供学术研究或描述的结果时，对结果中所包含的个人信息进行去标识化处理的。

举例：关于科研院所的，不举例

五、隐私政策优化

先科普个小知识，隐私政策的出现主要来源于当初欧盟的GDPR，在当时国内还没有相关法律，因此为了统一业务合规，大多数跨国公司在国内业务中也使用了隐私政策，而现在，《个人信息安全规范》中将其规定为个人信息保护政策。但由于隐私政策这个名称使用已久，我们今天仍称将其之为隐私政策。

企业设计隐私政策要符合自身的基本情况和所处行业的特征，不能生搬硬套。

首先，要明确告知用户，企业收集、利用及保护个人信息的方式；其次，要使用浅显易懂的表达方式，明确告知用户收集数据的类型、使用目的，并在获得用户明确同意的情况下进行相关的数据操作；再次，要为用户删除数据、注销账户提供渠道，明确对用户数据的共享、发布方式，确保不会侵犯个人隐私；最后，要明确告知用户发生争议时的询问和投诉渠道，以及争议解决机制等。

除此外，企业也要积极探索创新的隐私条款展现方式，例如，隐私条款使用弹窗告知、敏感信息采集进行即时提示等。

隐私政策的作用在于两方面：

1）向个人信息主体说明网络运营者收集处理个人信息的相关规则，保证个人信息知情权的有效实现，同时构成对网络运营者自身行为的约束；

2）网络运营者获取个人信息主体授权的重要依据，在个人信息主体同意后，其可以作为网络运营者配合监督管理的重要机制，用以证明获得授权以减轻或豁免责任的重要凭证。

依据国内法规，隐私政策的具体要求如下：

1、隐私政策应符合独立性、易读性要求

实践中，隐私政策应当以单独成文的形式发布，而不是作为用户协议、用户说明等文件中的一部分存在。

同时，隐私政策应易于访问，在进入APP主界面后，应通过4次以内的点击就能够访问到隐私政策，并且隐私政策的链接位置应当突出、无遮挡，不应该出现隐私政策链接无效、文本无法显示的的情形。

另外，隐私政策应易于阅读，不应该是清一色无差别文本，不应有文字过小过密、颜色过淡、模糊不清、冗长繁琐等问题，造成阅读起来一团浆糊。

2、隐私政策应清晰说明各项业务功能及所收集个人信息的类型

1）明示收集个人信息的业务功能和各项业务功能所收集的个人信息类型

隐私政策中应当将收集个人信息的业务功能、各项业务功能所收集的个人信息类型逐项例举，不能因为懒惰梳理或为额外收集留有余地而使用“等、例如”字样。这个就不再多说了。

2）显著标识个人敏感信息类型

隐私政策中应对个人敏感信息类型进行额外的显著标识（如字体加粗、下划线、颜色等），需要注意的是，不能将所有收集的个人信息全部进行显著标识，如果全部进行显著标识，反而导致收集的个人敏感信息没有得到额外的显著标识。

3、隐私政策应清晰说明个人信息处理规则及用户权益保障

1）应说明公司运营主体的基本情况

运营主体的基本情况应至少包含主体身份、联系方式。联系方式可以是隐私邮箱或客服电话等。

2）应说明个人信息存储和超期处理方式

隐私政策中应说明个人信息的如下情况：1）存放地域，如果在境外，应说明境外的哪个国家或地区；2）存储期限，应说明明确的存储期限，或法律规定范围内的最短期限；3）超期处理方式，如删除或匿名化等。

3）应说明个人信息的使用规则

隐私政策应明确说明收集使用个人信息的目的、方式、范围等，如果将个人信息用于用户画像、个性化展示等，应说明其应用场景和可能对用户产生的影响。

4）应说明个人信息的出境情况

如果存在个人信息出境的情况，应将出境的个人信息类型逐项列出并显著标识，显著标识的方式如字体加粗、下划线、颜色等。

5）应说明个人信息安全保护措施和能力

隐私政策中应对网络运营者在个人信息保护方面采取措施和具备能力进行说明，如身份鉴别、数据加密、访问控制、安全审计等。

6）应说明对外共享、转让、公开披露个人信息规则

如果存在个人信息对外共享、转让、公开披露的情况，隐私政策应明确以下内容：1）对外共享、转让、公开披露个人信息的目的；2）涉及的个人信息类型；3）接收方累心或身份；4）各自的安全和法律责任。

应当注意的是，对于第三方的说明，应避免直接使用“提供给第三方”等类似过于宽泛的表述。

7）应说明用户权利保障机制

隐私政策中应对以下用户操作方法提供明确说明：1）个人信息查询；2）个人信息更正；3）个人信息删除；4）用户账户注销；5）撤回已同意的授权。

需要注意的是，这些方法应该是方便用户操作且能切实保障用户该等权利的有效实现，避免出现一纸空文的情况。

8）应说明用户申诉渠道和反馈机制

隐私政策中至少提供以下一种投诉渠道：1）电子邮件；2）电话；3）传真；4）在线客服；5）在线表格。一般情况下，传真和表格是不会用到的。

9）应具备时效性

应明确标识隐私政策发布、生效或更新日期。按照一般实践，该标识一般在隐私政策的文首或文末。

10）隐私政策更新

一般在发生业务功能变更、个人信息出境变更、使用目的变更、联系方式变更等变更时，要进行隐私政策更新。在隐私政策更新后，可以通过弹窗方式提醒用户重新阅读，并通过用户手动点击确认、手动勾选等方式获得用户的再次授权。

4、不应在隐私政策中设置免责等不合理条款

隐私政策中不应存在免除自身责任、加重用户责任、排除用户主要权利条款，例如：隐私政策中列明 “您须对您本人在使用本APP所提供的服务时的一切行为、行动（无论是否故意）负全部责任”。

这里的免除自身责任，是指运营者免除依照法律规定应当负有的强制性法律义务；这里的加重用户责任，是指运营者要求用户在法律规定的义务范围之外承担责任或损失；排除用户主要权利，是指运营者排除用户依照法律规定或依照合同的性质应当享有的主要权利。

六、间接获取个人信息的要求

在间接获取个人信息时，应当做到有限尽调！因为你不知道合作方共享或授权过来的数据是从哪来的。

在实践中，有限尽调包括：

1）要求个人信息提供方书面说明个人信息来源和以获得的个人信息处理的授权同意范围，并提供其隐私政策等个人信息授权文本；

2）要求个人信息提供方签署承诺函或在合作协议中设置专门条款，要求其承诺合法合规且获得用户同意获取并有权对外提供个人信息；

3）对个人信息提供方进行必要的网络检索，检索内容包括个人信息方面的涉诉情况、行政处罚情况、通报情况、新闻报道情况、用户投诉情况等；

4）持续关注个人信息提供方的数据合规情况，如定期抽查其个人信息授权文本等用户授权情况。

如果发现个人信息提供方存在不合规情况，应视违法违规程度要求其限期改正或终止相关合作！

---

本篇介绍：个人信息收集
本篇为第1篇/共9篇
下一篇：基于国内法律法规的企业数据合规体系建设经验总结（二）

---