2024年已接近尾声，相信大家都被各家APP的年度报告刷屏了，美食的、音乐的、运动的、甚至连小编背单词的App，都争先恐后地为自己用户精心制作了年度报告。不看年终报告，你可能根本不记得自己在APP里面浏览了些什么内容，也不知道自己的钱究竟是花到哪里去了......

各个APP在2024年年尾开卷，其中也不乏一些创意十足的APP年度报告。

美团在今年就以“AI+短剧”的形式，向用户呈现2024美团年度报告。用户可以选择“甜宠”“豪门”“职场”“玄幻”等剧本，自定义扮演的角色性别与称呼。

选择剧本和角色后，美团会在剧情中丝滑融入用户在美团平台的消费金额、节省金额、关注的品牌等。美团也借此对自家的AI产品“Wow”宣传了一波，用户可以在看完报告后与美团的AI助手继续聊天。

“AI+短剧”的模式，也让美团在众多APP年度报告中出圈，但在沉浸式回忆2024的同时，又会有多少用户在查看年度报告前仔细阅读APP的《授权协议》条款呢？

应该没人会看……做数据合规的律师们除外……今天我们就借此机会来探讨APP年度报告的合规问题。

1.APP生成年度报告，是否需要另行获得用户的授权？

（1）超出原授权范围，应取得用户授权：尽管当前大部分APP均具备用户协议和隐私政策，但如果生成APP年度报告的个人信息处理活动，已超出原获得用户授权同意的范围，则应当另行取得用户的授权同意。一般是在生成年度报告页面向用户提供《授权协议》，并让用户主动勾选。

（2）涉及处理用户的敏感个人信息，需获得用户单独同意：APP年度报告往往涉及用户的交易和消费记录、浏览记录、行踪轨迹等信息，很可能被认定为收集敏感个人信息。如APP运营者涉及处理用户个人敏感信息的，则法定应当取得单独同意的情形。

同时，根据《信息安全技术个人信息安全规范》（GB/T35273-2020）的指引，“生成年度报告”作为单独的业务功能，APP除应具备常规的个人信息保护政策外，还应在收集生成APP年度报告所需的个人信息前，向用户明确告知收集、使用个人信息的目的、方式、和范围，以便用户在作出具体的授权同意前，能充分考虑对其的具体影响。

《信息安全技术个人信息安全规范》（GB/T35273-2020，下称《安全规范》）5.4a)：

产品或服务提供多项收集、使用个人信息的业务功能的，除个人信息保护政策外，个人信息控制者宜在实际开始收集特定个人信息时，向个人信息主体提供收集、使用该个人信息的目的、方式和范围，以便个人信息主体在作出具体的授权同意前，能充分考虑对其的具体影响。

2.APP生成年度报告，收集个人信息需要注意些什么？

（1）逐项列举收集的个人信息，避免使用“等、例如”等不完整列举：一般来说，生成APP年度报告最少需要处理用户的账号信息和用户使用APP的行为数据。依据《移动互联网应用程序（App）收集使用个人信息自评估指南》，APP应完整、清晰、区分说明各业务功能所收集的个人信息。宜根据用户使用习惯逐项说明各业务功能收集个人信息的目的、类型、方式，避免使用“等、例如”等方式不完整列举。

不同类别的APP年度报告也涉及不同类别的个人信息：内容类平台通常需使用用户的浏览、搜索、点赞、评论等记录；消费电商类平台则通常需获取用户的订单信息、支付记录、消费偏好等。以下列举部分APP年度报告授权协议的收集数据条款：

（2）明确数据收集口径：对同一个APP运营者之下支持用户跨设备或端口使用的APP，如需跨设备或端口应在年度报告授权协议中写明收集的数据来源于哪些口径。

例如，美团2024年度报告就在授权协议中写明：涉平台主要包括美团App、美团小程序、美团外卖App及微信小程序等美团及美团经营的关联平台，形式包含客户端、H5页面、i版、小程序等，不包含大众点评关联平台。

QQ音乐则《授权协议》中写明：统计设备包括：安卓移动端、iOS移动端、PC、Mac、7V、Pad、小米手机内置版、车载端部分车型不支持”。

（3）明确收集用户数据的时间范畴：APP年度报告一般需收集用户在2024年度的使用数据，为遵循最小、必要性的原则，应当在授权协议中写明收集数据的起始和截止时间，并可以针对特定类型的用户数据限定时间范围。

（小红书年度报告授权协议中的数据期间条款）

3.用户对外分享年度报告，应该在授权协议中怎么约定？

（1）提示用户在对外分享、公开（包括截屏、一键分享等方式）年度报告时，可能发生个人信息等用户数据的泄露。

（2）用户分享年度报告所产生的任何损失，由用户自行承担；

（3）如用户希望将年度报告或年度报告的内容素材用于其他目的，应当取得实际权利人许可。

4.除了根据用户授权生成年度报告，还能不能把用户的数据用于其他用途？

（1）仅将用户数据用于生成年度报告：

如仅将收集到的用户信息用于生成年度报告，则通常在年度报告数据《授权协议》中明确：运营方收集的数据仅用于向用户呈现年度报告，除了将收集到的数据用于向用户展示年度报告信息之外，APP不会对查询的信息作其他处理。

同时写明：对于授权协议中未涉及的事项，将适用APP的用户协议和用户隐私政策。

（2）将用户的年度报告用于其他用途：

我们发现部分APP对用户的年度报告“别有用心”，试图通过授权协议来取得用户对其年度报告和/或年度报告的素材内容的无限授权。

（某APP的年度报告授权协议）

但如我们前面所分析，APP年度报告内容包含用户的个人信息，甚至是敏感个人信息。

而用户往往不会仔细阅读年度报告，APP运营方仅在授权协议中概括地取得不限使用场景的授权，难以认定取得用户的明确授权或同意。

不区分业务场景地取得用户授权，不仅在用户数据和隐私安全上存在合规问题，还有可能引发用户的担忧和抵触。此前就有APP因偷偷修改隐私政策，默认用户同意将其上传的文档用于AI训练而引发舆论风波。

5.用户已经主动或请求删除的数据，还能不能出现在APP年度报告里？

（某AI产品的年度报告：对于用户删除的历史交互对话，仍出现在年度报告中）

在个人信息的删除问题上，根据《个人信息保护法》第47条的规定，有以下情形之一的，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除：

但是，对于法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。

而在法定的数据保存期限上，《网络安全法》中规定网络运营者对于网络日志的留存期限应不少于6个月，《电子商务法》也约定电子商务平台经营者应当自交易完成之日起，对平台的商品和服务信息、交易信息保存期限不应少于三年。

因此，对于用户在生成年度报告前，主动在APP中操作删除或向APP请求删除的数据（如消费订单、问答历史等），如涉及用户个人信息的，则运营者应根据个保法的要求及时删除，不应再在APP年度报告中向用户呈现，除非法律、行政法规规定的保存期限未届满，或删除个人信息从技术上难以实现。

而在用户协议的条款设置上，APP也应当同时兼顾“数据保存期限”与“个人信息删除权利”，可参照某AI产品的用户协议条款如下：

6.已经告知用户，会将用户的APP使用数据用于生成“年度报告”，但年度报告是用AI制作的，是否需要另外将“用AI生成年度报告”的数据处理方式，单独告知用户？

我们认为，在当前相关数据合规法律制度的规范下，并未直接要求用户协议中必须包含“AI化条款”，但根据《个人信息保护法》第七条、第十七条等规定，个人信息处理者在处理个人信息前，应当将“个人信息的处理目的、处理方式，处理的个人信息种类、保存期限”告知用户。

因此，个人信息处理者应当将其即将使用AI为用户生成年度报告这一“处理方式”清晰明确地告知用户，并获得用户的同意。

而这又有多少个APP做到呢？

又或者说，有多少屏幕前的读者能够看到这里，并且对此表示在乎呢？

任重道远啊！