近日，在首届移动互联网应用安全发展峰会上，中国信息通信研究院发布了《移动互联网应用个人信息安全报告》。根据该报告显示，84.42%的APP存在强制用户使用定向推送的问题；83.13%的APP存在私自收集用户信息的问题；70.13%的APP存在账户注销难问题；12.99%的APP存在超范围收集个人信息问题占比；32.47%的APP存在未征得用户同意、私自共享信息给第三方的问题；50.65%的APP存在不给权限不让用、强制申请权限的问题；6.41%的APP存在频繁申请权限、骚扰用户的问题；57.14%的APP存在过度索取权限、欺瞒用户的问题。

针对上述问题，信通院也在报告中分别对规则明示、权限申请、收集个人信息、使用个人信息、个性化推送和帐号注销六个关键环节提出了APP开发和应用中应遵循的个人信息保护要点。

规则明示

个人信息收集使用规则应该清晰明示会通过哪些渠道获取个人信息，如用户直接提供的信息、APP主动收集的信息和APP从其他来源取得的信息，且应清晰显著的明示各业务场景或功能下需求的个人信息类型、个人信息字段以及收集使用信息目的说明、场景描述。

应遵守要点如下：

1.对于使用规则应该是单独成文，对用户来说要易于阅读，便于访问；

2.在规则中要明示收集使用个人信息、申请权限、第三方SDK的目的、方式和范围；

3.要经用户主动选择同意，不应默认或者是设置为同意。

权限申请

应用权限申请应与功能相关，不应因用户拒绝授权而限制其他功能使用。应遵循要点如下：

1. 不应不给权限不让用，不给权限不让登录

2. 应用targetSDKVersion应高于23

3. 不应过度索取权限，权限应与当前应用业务功能或场景有关

4. 用户拒绝权限申请后，不应频繁申请权限

个人信息收集

应用收集个人信息应向用户告知并经用户同意，收集行为应满足合理正当必要原则，收集个人信息行为应遵循要点如下：

1. 征得用户同意后再收集个人信息

2. 不应超范围收集用户信息

应用收集用户个人信息时，在非服务所必需或无合理应用场景下，不应超出其所向用户明示的收集范围。超范围收集通讯录、短信、通话记录比较普遍。例如：应用通过界面展示向用户明示收集1-2条通讯录联系人信息，用户同意后却读取全部通讯录联系人信息，

3. 不应频繁收集用户信息

4. 不应强制、诱导索取生物特征数据等敏感信息

非服务所必需或无合理应用场景，不应强制，或以积分奖励等方式诱导收集身份证号、人脸、指纹等个人信息。如“完成实名认证，享受更多优惠”、“输入面部密码，保证账户安全”、“完成实名认证，获取更多积分”等，以积分奖励、享受优惠、保证账户安全变相诱导用户输入身份证号、人脸、指纹等个人信息。

个人信息使用

应用应向用户告知个人信息的使用目的、方式和范围，用户同意后才可将个人信息共享到第三方。应用使用个人信息，在相关界面展示时，应采取去标识化的方法展示个人敏感信息如身份证，以保证个人敏感信息的安全。使用个人信息应遵循要点如下：

1. 未经用户同意，不应将个人信息私自共享给第三方

2. 敏感信息应采用去标识化展示方式

个性化服务

应用应向用户告知收集用户信息用于个性化服务或精准营销，给用户提供是否使用或接受个性化服务及精准营销的选择，应遵循要点如下：

1. 个性化内容及广告告知简单易懂、清晰明了

隐私政策中应清晰告知使用用户信息进行用户个性化内容及广告的推送。

2. 提供易访问、易操作的个性化广告推送关闭选项

账户注销

应用应为用户提供账号注销功能，不得为注销服务设置不合理障碍。注销方式可以依据功能特性设计，但应便于用户操作，注销功能真实有效，应遵循要点如下：

1. 清晰告知账号注销途径，便于用户操作

2. 账号注销功能真实有效

3. 不应设置过多不合理障碍

注销时不应索要之前未曾提供过的个人信息。如要求提供上传手持身份证全身照才可完成注销，或需要前往指定地点才可完成注销等。

4. 统一账号注销，可分别提供统一账号下特定服务注销和统一账号注销的功能

统一账号虽然关联多个应用或服务，但不应因此拒绝为用户提供账号注销服务。可同时对用户提供注销统一账号下特定服务及永久注销统一账号的服务，供用户灵活选择。

在该报告中，信通院还给出了相关要点的实践案例，为企业规范移动互联网应用用户个人信息收集使用行为提供参考；同时还提出了移动互联网应用用户个人信息保护十大倡议。