随着法律法规的日趋完善，以及数字化程度的进一步深入，数据合规建设在近年成为焦点话题。随着这一趋势，36氪观察到，近期在国内市场上也出现了一批帮助企业进行数据合规工作的公司。比如36氪曾报道过的「数安信」，就希望依托自身的法律解读和IT技术能力，帮助企业进行数据合规。

36氪近期了解到，2022年11月1日，也就是《个人信息保护法》一周年时，「数安信研究院」发布了《企业应用程序（APP）隐私政策合规风险报告（2022）》。「数安信研究院」介绍，为评估各大企业在过去一年落实《个人信息保护法》及相关技术标准对APP收集使用个人信息方面的合规情况，其选取了15家企业的APP隐私政策文本及实际处理活动进行合规评估，形成此次报告。

研究院负责人介绍，该报告有以下几个特点：

1、梳理国内现行法律法规与相关技术标准对隐私政策的规范，总结实践中常见的8大风险项以及26个风险点。

报告评估的8大风险项分别为隐私政策文本规范、个人信息收集使用规则、对外共享、转让、公开披露个人信息规则、存储个人信息规则、用户权利保障机制、未满十四周岁未成年人信息保护、个人信息的跨境流动、隐私政策更新等方面。

2、梳理选取的15款APP隐私政策文本对应的风险项及风险点，总结出实践中隐私政策文本风险频率出现较高的风险项及风险点。

报告梳理出15款APP出现的风险点数量，总结出现频率较高的风险点。其中与个人联系较紧密的“个人信息收集使用规则”以及“用户权利保障机制”是合规风险“重灾区”。“个人信息收集使用规则”合规风险表现为APP收集与其提供服务无关的个人信息、使用概括性语言综述所收集个人信息、收集敏感个人信息未单独告知；“用户权利保障机制”合规风险表现为撤回授权同意、获取个人信息副本以及关闭个性化推荐等功能界面设计不健全或不便捷。

3、结合隐私政策文本风险频率较高的风险点，总结出15款APP在实际个人信息处理活动中是如何执行隐私政策文本规定。

报告重点分析了15款APP在“个人信息收集使用规则”与“用户权利保障机制”的合规情况。《个人信息保护法》强调收集使用个人信息时需遵循公开透明原则、最小必要原则、授权同意原则，部分APP收集与其提供服务无关的个人信息违反了公开透明原则，使用概括性语言综述所收集个人信息违反了公开透明原则，收集敏感个人信息而未告知违反了授权同意原则。

另外报告中还总结出隐私政策文本模版等内容，希望为企业提供合规参考。

课题组成员北京工商大学法学院张新宇副教授总结表示，隐私政策作为企业APP和网页端最常使用的个人信息授权文本，对企业在个人信息保护方面具有重要作用。它一方面可以向用户说明企业收集使用个人信息的规则，保障用户权利的有效实现，另一方面可以构成对企业自身行为的约束，也是企业获取用户授权的重要依据。但从现实情况看，相当一部分企业的隐私政策仍然不够规范，主要体现在隐私政策文本不规范、APP实际收集使用个人信息行为不规范、APP运营者对用户权利保障不规范等方面。本次以报告形式总结隐私政策模板以及模板，希望供各企业进行有益参考。