本文主要站在APP开发者们的角度，围绕什么是个人信息?、《个人信息保护法》对APP开发者获取个人信息的要求和处理规则、各类型APP获取的必要个人信息范围、开发者们如何编写发布合法合规的个人信息保护政策?展开。

一、什么是个人信息？

个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

判定某项信息是否属于个人信息，应考虑以下两条路径：一是识别，即从信息到个人，由信息本身的特殊性识别出特定自然人，个人信息应有助于识别出特定个人。二是关联，即从个人到信息，如已知特定自然人，由该特定自然人在其活动中产生的信息（如个人位置信息、个人通话记录、个人浏览记录等）即为个人信息。符合上述两种情形之一的信息，均应判定为个人信息。

二、《个人信息保护法》对APP开发者获取个人信息的要求：告知——同意

处理个人信息，应在事先充分告知的前提下取得个人同意，不得通过误导、欺诈、胁迫等；不得以个人不同意为由拒绝提供产品或者服务；信息处理者应当提供便捷的撤回同意方式。

处理个人信息的规则：

1、处理个人信息应当采取对个人权益影响最小的方式：

2、收集范围应当限于实现处理目的的最小范围；

3、保存期限应当为实现处理目的所必要的最短时间；

尤其是用户基数庞大或业务类型复杂的APP,需要成立主要由外部成员组成的独立机构进行监督，同时需要制定有关个人信息保护的平台规则（见文末，有总结个人信息保护政策模板示例），定期发布个人信息保护社会责任报告。

更加严格地限制处理个人敏感信息：只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下进行。应当向个人告知处理敏感个人信息的必要性和对个人权益的影响。

判定某项信息是否属于个人敏感信息的方法：个人信息一旦泄露，将导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力，造成个人信息扩散范围和用途的不可控。某些个人信息在泄漏后，被以违背个人信息主体意愿的方式直接使用或与其他信息进行关联分析，可能对个人信息主体权益带来重大风险，应判定为个人敏感信息。例如，个人信息主体的身份证复印件被他人用于手机号卡实名登记、银行账户开户办卡等。如下图:

此外，还明确禁止“大数据杀熟”规范自动化决策、规范个人信息数据跨境流动等。

APP申请权限应遵循正当、合法、必要的原则，在运营APP时应认真梳理需要哪些权限，列出可能涉及的“权限清单”；对于一些特定权限，应动态化处理，即当用户触发相应的业务功能，再向用户动态申请权限获取；申请相关权限时，还应当同步告知用户申请该权限的理由。

三、 常见类型App获取的必要个人信息范围：

（一）地图导航类，基本功能服务为“定位和导航”，必要个人信息为：位置信息、出发地、到达地。

（二）网络约车类，基本功能服务为“网络预约出租汽车服务、巡游出租汽车电召服务”，必要个人信息包括：

1.注册用户移动电话号码；

2.乘车人出发地、到达地、位置信息、行踪轨迹；

3.支付时间、支付金额、支付渠道等支付信息（网络预约出租汽车服务）。

（三）即时通信类，基本功能服务为“提供文字、图片、语音、视频等网络即时通信服务”，必要个人信息包括：

1.注册用户移动电话号码；

2.账号信息：账号、即时通信联系人账号列表。

（四）网络社区类，基本功能服务为“博客、论坛、社区等话题讨论、信息分享和关注互动”，必要个人信息为：注册用户移动电话号码。

（五）网络支付类，基本功能服务为“网络支付、提现、转账等功能”，必要个人信息包括：

1.注册用户移动电话号码；

2.注册用户姓名、证件类型和号码、证件有效期限、银行卡号码。

（六）网上购物类，基本功能服务为“购买商品”，必要个人信息包括：

1.注册用户移动电话号码；

2.收货人姓名（名称）、地址、联系电话；

3.支付时间、支付金额、支付渠道等支付信息。

（七）餐饮外卖类，基本功能服务为“餐饮购买及外送”，必要个人信息包括：

1.注册用户移动电话号码；

2.收货人姓名（名称）、地址、联系电话；

3.支付时间、支付金额、支付渠道等支付信息。

（八）邮件快件寄递类，基本功能服务为“信件、包裹、印刷品等物品寄递服务”，必要个人信息包括：

1.寄件人姓名、证件类型和号码等身份信息；

2.寄件人地址、联系电话；

3.收件人姓名（名称）、地址、联系电话；

4.寄递物品的名称、性质、数量。

（九）交通票务类，基本功能服务为“交通相关的票务服务及行程管理（如票务购买、改签、退票、行程管理等）”，必要个人信息包括：

1.注册用户移动电话号码；

2.旅客姓名、证件类型和号码、旅客类型。旅客类型通常包括儿童、成人、学生等；

3.旅客出发地、目的地、出发时间、车次/船次/航班号、席别/舱位等级、座位号（如有）、车牌号及车牌颜色（ETC服务)；

4.支付时间、支付金额、支付渠道等支付信息。

（十）婚恋相亲类，基本功能服务为“婚恋相亲”，必要个人信息包括：

1.注册用户移动电话号码；

2.婚恋相亲人的性别、年龄、婚姻状况。

（十一）求职招聘类，基本功能服务为“求职招聘信息交换”，必要个人信息包括：

1.注册用户移动电话号码；

2.求职者提供的简历。

（十二）网络借贷类，基本功能服务为“通过互联网平台实现的用于消费、日常生产经营周转等的个人申贷服务”，必要个人信息包括：

1.注册用户移动电话号码；

2.借款人姓名、证件类型和号码、证件有效期限、银行卡号码。

（十三）房屋租售类，基本功能服务为“个人房源信息发布、房屋出租或买卖”，必要个人信息包括：

1.注册用户移动电话号码；

2.房源基本信息：房屋地址、面积/户型、期望售价或租金。

（十四）二手车交易类，基本功能服务为“二手车买卖信息交换”，必要个人信息包括：

1.注册用户移动电话号码；

2.购买方姓名、证件类型和号码；

3.出售方姓名、证件类型和号码、车辆行驶证号、车辆识别号码。

（十五）问诊挂号类，基本功能服务为“在线咨询问诊、预约挂号”，必要个人信息包括：

1.注册用户移动电话号码；

2.挂号时需提供患者姓名、证件类型和号码、预约挂号的医院和科室；

3.问诊时需提供病情描述。

（十六）旅游服务类，基本功能服务为“旅游服务产品信息的发布与订购”，必要个人信息包括：

1.注册用户移动电话号码；

2.出行人旅游目的地、旅游时间；

3.出行人姓名、证件类型和号码、联系方式。

（十七）酒店服务类，基本功能服务为“酒店预订”，必要个人信息包括：

1.注册用户移动电话号码；

2.住宿人姓名和联系方式、入住和退房时间、入住酒店名称。

（十八）网络游戏类，基本功能服务为“提供网络游戏产品和服务”，必要个人信息为：注册用户移动电话号码。

（十九）学习教育类，基本功能服务为“在线辅导、网络课堂等”，必要个人信息为：注册用户移动电话号码。

（二十）本地生活类，基本功能服务为“家政维修、家居装修、二手闲置物品交易等日常生活服务”，必要个人信息为：注册用户移动电话号码。

（二十一）女性健康类，基本功能服务为“女性经期管理、备孕育儿、美容美体等健康管理服务”，无须个人信息，即可使用基本功能服务。

（二十二）用车服务类，基本功能服务为“共享单车、共享汽车、租赁汽车等服务”，必要个人信息包括：

1.注册用户移动电话号码；

2.使用共享汽车、租赁汽车服务用户的证件类型和号码，驾驶证件信息；

3.支付时间、支付金额、支付渠道等支付信息；

4.使用共享单车、分时租赁汽车服务用户的位置信息。

（二十三）投资理财类，基本功能服务为“股票、期货、基金、债券等相关投资理财服务”，必要个人信息包括：

1.注册用户移动电话号码；

2.投资理财用户姓名、证件类型和号码、证件有效期限、证件影印件；

3.投资理财用户资金账户、银行卡号码或支付账号。

（二十四）手机银行类，基本功能服务为“通过手机等移动智能终端设备进行银行账户管理、信息查询、转账汇款等服务”，必要个人信息包括：

1.注册用户移动电话号码；

2.用户姓名、证件类型和号码、证件有效期限、证件影印件、银行卡号码、银行预留移动电话号码；

3.转账时需提供收款人姓名、银行卡号码、开户银行信息。

（二十五）邮箱云盘类，基本功能服务为“邮箱、云盘等”，必要个人信息为：注册用户移动电话号码。

（二十六）远程会议类，基本功能服务为“通过网络提供音频或视频会议”，必要个人信息为：注册用户移动电话号码。

（二十七）网络直播类，基本功能服务为“向公众持续提供实时视频、音频、图文等形式信息浏览服务”，无须个人信息，即可使用基本功能服务。

（二十八）在线影音类，基本功能服务为“影视、音乐搜索和播放”，无须个人信息，即可使用基本功能服务。

（二十九）短视频类，基本功能服务为“不超过一定时长的视频搜索、播放”，无须个人信息，即可使用基本功能服务。

（三十）新闻资讯类，基本功能服务为“新闻资讯的浏览、搜索”，无须个人信息，即可使用基本功能服务。

（三十一）运动健身类，基本功能服务为“运动健身训练”，无须个人信息，即可使用基本功能服务。

（三十二）浏览器类，基本功能服务为“浏览互联网信息资源”，无须个人信息，即可使用基本功能服务。

（三十三）输入法类，基本功能服务为“文字、符号等输入”，无须个人信息，即可使用基本功能服务。

（三十四）安全管理类，基本功能服务为“查杀病毒、清理恶意插件、修复漏洞等”，无须个人信息，即可使用基本功能服务。

（三十五）电子图书类，基本功能服务为“电子图书搜索、阅读”，无须个人信息，即可使用基本功能服务。

（三十六）拍摄美化类，基本功能服务为“拍摄、美颜、滤镜等”，无须个人信息，即可使用基本功能服务。

（三十七）应用商店类，基本功能服务为“App搜索、下载”，无须个人信息，即可使用基本功能服务。

（三十八）实用工具类，基本功能服务为“日历、天气、词典翻译、计算器、遥控器、手电筒、指南针、时钟闹钟、文件传输、文件管理、壁纸铃声、截图录屏、录音、文档处理、智能家居助手、星座性格测试等”，无须个人信息，即可使用基本功能服务。

（三十九）演出票务类，基本功能服务为“演出购票”，必要个人信息包括：

1.注册用户移动电话号码；

2.观演场次、座位号（如有）；

3.支付时间、支付金额、支付渠道等支付信息。

大家知道APP内包含着大量第三方SDK，所以开发者们应尽的合规义务包括要求第三方SDK向用户征得收集其个人信息的授权同意、建立第三方SDK接入管理机制和工作流程、开展技术检测确保第三方SDK对用户个人信息的收集、使用行为符合约定要求等。APP运营者应谨慎选择第三方SDK服务商，并高度重视其提供的技术配置方案的合规性。SDK服务商在开放平台会提供SDK合规的初始化技术配置方案，在运营者上线APP产品前，可以选择第三方APP风险检测服务，通过动静态结合的APP数据隐私检测、覆盖产品全生命周期的专业评估，站式解决APP隐私合规风险。

四、APP开发者们如何编写发布合法合规的个人信息保护政策？

个人信息保护政策应清晰、准确、完整地描述个人信息控制者的个人信息处理行为。倍业科技个人信息保护政策模板示例：
https://bayescom.yuque.com/docs/share/35a73fba-ed95-46eb-9a31-bb18e563b4b3?#（密码：xqi4）