【说明出境情况

接收方，出境监管还不明确，出境条件、范围还没有强制要求

数据保护措施和能力

1.技术措施

2.管理措施

3.权威的

app个人信息安全认证-新的专门针对个人信息的，标准流程还不太明确

【免责声明

网络环境、技术条件免责告知；用户应承担的个人信息的保护责任

如果做了虚假的陈述或宣传，可能成为不利证据

【对外提供

是共享、转让…的统称

委托处理不属于对外提供（？不需要授权？）app治理中没要求委托处理做说明（控制者没发生变化，风险相对于对外提供小）

对外豁免统一的情形7种，而收集豁免的情形有11种

GDPR既能保护隐私又能流动--国内主要重保护，没推共享

向第三方共享时，哪一方征求同意？任一方？

用户给新浪，用户给脉脉，新浪给脉脉，三重授权--案例

8、说明个人信息出境情况

目前关于数据出境监管范围和出境条件的规定尚未明晰，可参考行业监管要求、相关法规和标准草案以及行业实践做法

《评估指南》只要求在隐私政策中应将出境个人信息类型逐项列出并显著标识，而没有对出境的场景和条件作出限制和要求

尽管没有法律强制要求，但是很多涉及信息出境的APP都在隐私政策中谨慎地表明：

只为跨境业务需要才会向境外传输个人信息，并且会征得用户同意

还有一些APP则将法律明确规定规定、用户同意或用户主动发起的跨境业务并列作为可以选择适用的合法性基础，如美团同步数据出境监管政策落地后，现有隐私政策这部分内容都需要相应调整

9、明示数据保护措施和能力

常用技术措施：身份鉴别、数据加密、访问控制、恶意代码防范、去标识化和匿名化

常用管理措施：建立信息安全管理制度和管理部门、开展应急演练，聘请第三方评估、安全审计

权威的测评或认证

网络安全等级保护备案及测评、ISO27001认证、国际信息安全管理体系、TRUSTArc等、APP个人信息安全认证3.15网信办市场监督总局推出（我国专门针对个人信息的首个认证制度，还在试点阶段，第一批审批企业在申报，认证流程和标准尚不明确）

免责说明

网络环境、技术条件所限情况下的免责信息的告知，以及用户所应承担的对于其个人信息的安全保护责任

目的

增加透明度，使用户了解网络运营者在个人信息保护方面所做的努力，增进双方的信任

促进网络运营者之间的良性竞争

运营商对自身安全能力的说明也具有法律上的意义

如果运营商做了虚假不实的陈述或宣传，在行政执法或用户索赔的民事诉讼中，可能成为对其不利的证据

10、明示对外提供的目的、信息类型、接受方类型或身份

有时统称为对外提供

倾向于认为对外提供=向他人提供

委托处理不属于对外提供，不要求对委托处理进行说明

对外提供一般信息需披露接受者的类型，对外提供敏感信息需披露接受者的身份，即具体指明接收者是谁，但有时披露第三方的身份存在困难伙伴

对外提供和面同意的情形有七种，而收集豁免同意的情形则有11种，说明对对外提供相对谨慎

向第三方共享时，由哪一方来征得用户同意？

支付宝和微信都提到，共享前会征求用户同意，或者确认第三方已征得用户同意，这意味着只要共享中的一方获得同意即——不是三重授权，而是两重授权。