国内外的安全合规监管重点有哪些？

关于国内外监管的重点，从国内这几年的角度来看，主要包括以下几个方面。

1、国内 App 上架——信息采集

用户信息的采集方面正受到越来越多的重视，国家部委出台了《常见类型移动互 联网应用程序必要个人信息的范围规定》，指出了二三十个场景下能够采集的必要的个人信息。

比如地图导航类，它的基本功能是定位和导航，必要的个人信息为位置信息、出发地和到达地。 开发者在开发应用的时候首要确认相关信息，如果收集了其余非必要数据 App 就无法上架。

再比如网络社区类应用，它的基本功能是博客、论坛等，这些个人信息跟即时通讯类的必要信 息比较接近，诸如用户的移动电话号码和账号联系人等信息。网约车类型中也规定了电话号码，包括出发地、到达地、支付时间、支付信息等。为什么即时通讯类需要移动电话号码呢？一般 认为是只需要账号就可以了？接下来的篇幅就解释了这个问题。

2、国内 App 上架——符合安全规定

除了可以采集的必要信息的约束之外，我国还有很多特定的相关不同行业或领域的约束。

在应用的上架流程中，应用商店都有详细的审查规定，如果涉及即时通讯、直播或者用户舆论领域， 就需要一个安全评估报告，这个安全评估报告中增加了额外的要求，比如说用户真实身份的核验， 就是要核验服务中用户的身份是真实可靠的，这里就回答了前面即时通讯领域的问题，想真正地 服务客户，就要能够做到实名制，而实名制其实一般就是通过校验手机号和短信等方式。

另外，其实这还涉及用户舆论的问题，需要针对这个问题建立投诉举报的机制，公布投诉举报 的联系方式和处理情况，对于这些用户的昵称、信息发布、转发评论等，要有相关的记录保存 措施，通过一定的保存机制来支持追查这些信息。这样一方面约束了必要的个人信息的采集； 另一方面在不同的领域也补充了额外的要求，比如金融或者医疗领域就有更高级别的相关要求。

根据工信部数据显示，近期违规下架应用累计为 3000 款左右，涉及的问题大部分是违规收集 个人信息，少量是强制或者索取权限相关的问题，国内的应用、网站可能涉及的问题主要集中 在这几个方面。

3、海外的关注——⽤户权利

如果目标客户是在海外，那么会发现海外的侧重点稍有不同。除了常见的这些安全约束之外， 其更关注用户的权利。

举几个例子，比如用户的知情权、信息获取权、修改权和被遗忘权。知情权就是明确地告知用 户要收集哪些信息、信息用来做什么以及保存多久；信息获取权就是用户必须能够导出自己的 数据；修改权就是用户可以对个人信息进行修改；被遗忘权就是用户有权利注销和删除自己的 数据。Facebook 等海外的大型平台都支持注销账号、导出个人数据等功能，这些是海外比较重视的方面。

英国的数据保护监管机构向加拿大的一家数据分析公司发出通知，要求其删除 所有跟英国公民相关的个人数据，如果不履行义务，将面临着 2000 万欧元或者上一年全球总 营业额 4% 的罚款。这里的 2000 万欧元和 4% 的罚款就是《通用数据保护条例》中所做的规定， 从中不难看出这个措施是非常严格的。

4、共同关注点——数据跨境

国内和国外还有一个共同的关注点，就是热点数据跨境，简单来说就是个人信息和重要的数据 应当在境内，这里的在境内应该就是说，比如中国公民的信息和重要的数据不能被随意地存储 到境外的服务器上，欧盟地区的数据也不能被随意地存储在欧盟以外。其他的地区比如东南亚 或者印度，也有当地的相关法律法规来约束。

如果确实需要向境外提供数据，我国的要求是要通过评估办法进行慎重的评估。欧盟则是要求 他们认为已经采取足够的安全保护措施的地区可以跨境转移数据，但至少现在为止中国还不在 这个名单上，所以欧盟的数据也不能随意存储在中国境内的服务器上。