APP被通报批评、暂停新用户注册、应用商城下架，这显然已是连续一个月以来的热门话题，并在整个行业刮起了正本清源的一阵“龙卷风”，7月10日工信部公布的《网络安全审查办法》（修订草案征求意见稿）更有在现有局势上“烈火烹油”之意。

　　一、 情况回溯

　　很显然，数据安全时代全面到来，此前“野蛮生长”的App们是否做好了数据合规的准备呢？

　　二、 存在哪些数据安全问题

　　众所周知这是大数据的时代，而所谓的数据安全指的就是我们被收集的数据是否在收集、使用的全阶段达到了审慎标准，即，相关主体在数据收集、存储、传输、处理、使用等活动中是否尽到了安全审慎义务。从实践中看，为了能够提供更精准化服务、增强用户粘合度，部分企业往往会违反必要原则，大肆要求用户开放不必要的权限，或者私自收集用户信息，比如众所周知的，几乎所有的售楼部都擅自安装了人脸识别系统。这也是为什么大家总是疑惑：感觉XX监视了我的脑子，事实上他们确实掌握了你的数据。

　　以下笔者综合“Keep、珍爱网等129款App违法违规收集使用个人信息情况”、“浙江省App违法违规收集使用个人信息专项治理工作组公布的57个APP的违规收集个人信息行为”、“国家计算机病毒应急处理中心发现“开心学汉字”、“居理买房”等18款移动应用存在隐私不合规行为”，以及“工业与信息化部通报对未完成整改的“极速体育”“蘑菇租房”等48款侵害用户权益的App”四起集中整治事件为依托，对App中普遍存在的问题进行分析，具体见下图：

图1：公示通报批评的App中存在的数据安全问题

图2：公示通报批评的App中存在的数据安全问题情况分类表

　　从上图可看出，存在的问题主要集中在对用户信息的收集、使用、存储过程中，其中“存在引起个人信息泄漏的安全漏洞”、“未经用户同意收集使用个人信息”、“未公开收集使用规则”为最主要的三个问题。以下详细解读。

　　1、违规收集用户信息

　　违规收集用户信息主要表现在违规私自收集、过度收集、强制授权、不合理索取用户权限、私自开启人脸识别等行为，在浙江省的这份通报批评表中，关涉收集用户信息的违规行为占据了半壁江山，说明了违规收集用户信息情形在实践或多或少都存在。2021年4月29日央行等金融监管部门约谈了13家互联网金融平台并要求整改，7月9日，360数科旗下核心产品360借条APP就因违规收集个人信息整改未达标，已经从应用市场下架。

　　2、泄漏用户信息

　　泄漏用户信息是指相关企业在收集、使用、存储用户数据的过程中，因故意或过失，导致发生用户数据泄漏问题，实践中主要包括两种情况，一是公司的数据安全系统存在漏洞，遭到黑客或流氓软件攻击导致用户数据被盗窃，如2018年最高法公布的第一批涉互联网典型案例中提到的“庞理诉东方航空、去哪儿网泄漏个人隐私案”；二是公司或公司员工为谋取私利主动将用户信息打包出卖，如2018年公布的，顺丰快递11名工作人员打包出卖用户信息，最终查实泄漏个人信息包括个人身份证号码、电话、住址、姓名等，达上千万条。

　　3、违规使用用户信息

　　通过合法的收集程序，企业当然可以对数据进行进一步加工分析，从而提升产品体验，但是这种加工分析具有一定的限度，例如收集的企业只能用于自己使用，而不能在未经用户同意的情况下将数据共享至第三方。2020年挪威消费者委员会就曾发布公开报告，称包括Facebook在内的大多数APP都存在向第三方共享用户数据的问题。

　　三、 处理路径及方式

　　针对App存在的问题，目前采取的是分级、分类治理方案：

　　1、对一般侵害用户权益行为

　　相关部门主要依据《网络安全法》、《App违法违规收集使用个人信息行为认定方法》等法律法规来判定相关App是否存在违法违规行为，并遵照《移动智能终端应用软件预置和分发管理暂行规定》第九条的规定作出处理，已有较为明确且清晰的处理路径，即：“检测预警?公告通报?整改通知?平台下架”制度，具体见图3：

图3：网信办等相关机关处理一般侵害用户权益行为的流程图

　　2、对侵害网络安全行为

　　对于涉嫌侵害网络安全、甚至国家安全的行为，往往会由网络安全审查办公室牵头对相关App直接进行网络安全审查，其法律依据主要为《网络安全审查办法》、《国家安全法》、《数据安全法》等法律规定，尽管此前并无任何一款App进行了完整的网络安全审查以作示范，但前述法律法规中进行了非常细致的规定，足以让我们窥见其制度全貌；

　　（1）接受网络安全审查的对象：关键信息基础设施运营者

　　根据目前公布的《网络安全审查办法》（修订草案征求意见稿）第二条：“关键信息基础设施运营者（以下简称运营者）采购网络产品和服务，数据处理者（以下称运营者）开展数据处理活动，影响或可能影响国家安全的，应当按照本办法进行网络安全审查”，关键信息基础设施运营者是履行网络安全审查义务的主体，但与此同时，向运营者提供网络产品和服务的供应方也有可能因运营者的网络安全审查义务而负有配合调查义务。

　　那么，如何界定“关键信息基础设施”呢？

　　根据此前中央网络安全和信息化委员会《关于关键信息基础设施安全保护工作有关事项的通知》精神，电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者在采购网络产品和服务时，应当按照《网络安全审查办法》要求考虑申报网络安全审查，因此实践中前述领域均有可能被认定为“关键信息基础设施”领域。

　　（2）网络安全审查的程序：具体见图4：

图4：网络安全审查流程图

　　四、 互联网企业应对策略

　　2021年7月6日，深圳市已经率先通过了《深圳经济特区数据条例》，其中对于“大数据杀熟”等滥用用户个人信息的行为进行了细致的规定，而工信部对施行时间刚满一年的《网络安全审查办法》推出来修改草案征求意见稿，这都说明不论是国家级还是各个地方都将会以立法、行政手段对数据安全问题予以规制，App野蛮生长时代已经过去，要在本轮审查中“善其身”，甚至领跑于其他互联网公司，数据合规问题不容小觑。

　　1、积极开展数据自查，贯彻必要性原则，落实数据分级分类保护图谱

　　根据《数据安全法》第二十一条的规定，国家建立数据分类分级保护制度。App的发展离不开数据，但并非所有数据都不收集，或者所有数据都需要收集，分类、分级就是数据收集与数据保护的原则。

　　（1）坚守必要性原则。根据《网络安全法》、《信息安全技术个人信息安全规范》、《数据安全法》、《App违法违规收集使用个人信息行为认定办法》等法律的规定，收集用户信息的红线为：必要性原则，即，App只能以公开、合法的方式收集与自己所提供服务相配适的用户个人信息。

　　（2）对所有数据进行分类

　　App所收集的数据中不仅包括与核心功能有关的数据，也包括其他数据，同时数据与数据之间也并不能等量齐观。例如，能够直接识别特定人的身份信息与仅显示临时登录地点的信息就属于非同类信息，但并非所有敏感信息才属于App最关切的信息。笔者建议，在进行数据分类时，可以先对信息进行初步分类，该次分类中以多角度、全方位为基准，可以充分对信息进行碎片化、多维度的切割，例如：

　　是否涉及App核心功能的关键信息;

　　是否具有识别特定身份的敏感信息；

　　是否具有完整功能的全面信息；

　　是否合法合规的危险信息；

　　是否为单位组织的主体信息；

　　是否为科教文卫的基础信息：

　　……

　　（3）针对分类结果进行分级保护

　　在数据分类的基础上，可以参照对比现有的法律行政法规条文规定，根据分级分类保护制度，建立属于自己公司的敏感数据管理体系，通过交叉对比的方式确定敏感信息层级，如：依托《网络安全法》的“个人信息?用户信息?重要数据?关键信息基础设施信息”序列，结合《网络安全审查办法》等相关规定，分别确定其敏感等级，进而制作数据合规管理图谱，根据敏感程度在日常管理工作中对照管理。

　　2、在采购协议及相关协议中注明网络安全审查条款，做好主动进行网络安全报备、审查的准备

　　根据《网络安全审查办法》第五条的规定，关键信息基础设施运营者具有预判其采购的网络产品和服务投入使用后是否可能影响国家安全的预判义务，因此作为关键信息基础设施运营者与为关键信息基础设施运营者提供服务的企业均需事先做好网络安全报备和审查的准备工作。

　　（1）在采购协议要求网络产品和服务提供者配合安全审查，并要求其作出不影响所在国家安全的承诺。

　　运营者应通过采购文件、协议等要求网络产品和服务提供者配合网络安全审查，并要求其在协议中就其提供的产品不存在导致无法通过网络安全审查的承诺，防止在报请或被依职权启动网络安全审查后产生不利于运营者的法律后果。

　　（2）做好材料准备、补充工作。

　　对照《网络安全审查办法》第七条，事先准备好申报网络安全审查的相关材料，即：申报书、关于影响或可能影响国家安全的分析报告、相关采购文件、其他材料等。进入网络安全审查程序后，要积极主动配合相关部分，做好沟通工作，根据要求及时提供补充材料。

　　3、重新评估赴境外上市的选择

　　《网络安全审查办法》（修订草案征求意见稿）中最明显的变化即互联网公司的境外上市事宜，新增第六条规定：“掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公司申报网络安全审查”，并在第十条中增加了评估是否存在网络安全的因素之一“国外上市后关键信息基础设施、核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险”。虽然仅为征求意见稿，但很大概率该条款最终会被保留，那么这就意味着国内几乎有一定体量的互联网企业均可能存在需先行通过网络安全审查才可能赴境外上市，当然这并不意味着所有的企业均无法赴境外上市，但很显然境外上市难度加大，不确定性增强。因此，如果相关企业必须赴境外上市，则必须先行引入专业律师团队，对照网络安全审查法律体系的规定做好数据合规，尽量避免进入长达3个月的特殊审查程序。