对国内的移动App开发商来讲，按照GDPR第3条第2款第a项的规定，如果它们向欧盟内的用户提供移动App服务，并且收集了这些用户的个人数据（这几乎是肯定的），它们就受GDPR的管辖；这也就是说，如果欧盟内的用户通过手机应用市场能下载到国内移动App开发商的App，这些移动App开发商就受GDPR的管辖。

国内的移动App开发商可能会想，“我们只提供中文版的App，根本不会提供外语版的App，欧洲人基本不懂中文，所以不会下载我们的App。”但是，在欧盟居住的还有中国留学生、工作的中国人，或者在欧洲旅游的中国游客，这些人符合GDPR第3条第2款第a项规定中“欧盟内“的数据主体，只要这些人在欧盟境内下载了国内移动App开发商的App，这些开发商就受GDPR的管辖。

当然，移动App开发商可以在手机应用市场上关闭欧盟的通道，这样App就不会出现在欧盟的手机应用市场上了，但这样做的代价颇大——放弃整个欧盟市场。

依据GDPR第13、14条的规定，受GDPR保护的数据主体有知情权，而受GDPR管辖的移动App开发商负有向数据主体的告知义务。依这两条的规定，移动App开发商应当向用户告知数据控制者和/或处理者的信息、收集处理的数据种类、处理数据的持续时间、自动化处理数据技术的信息、数据主体的申诉权等信息。

如果移动App开发商不告知这些信息，那么依据GDPR第83条第5款第b项之规定，此举将侵犯数据主体的知情权，会被处罚至高2000万欧元或全球营收的4%（以较高者为准）。换言之，侵犯App用户的知情权，后果很严重。

那么移动App开发商如何履行其对数据主体的告知义务呢？答案很明显，那就是制作一份符合GDPR要求的《数据保护声明》并放置在App上，使每个App用户都能读到。

依据GDPR第13、14条，一份符合GDPR要求的《数据保护声明》应当包含以下内容：

1. 数据控制者、处理者的详细信息；

2. 用户的各项数据权利，尤其是要申明他（她）有申诉的权利；

3. 收集、处理个人数据的种类、范围、持续时间或持续多长时间的标准、目的，并声明这些对实现App的功能是必要的；

4. 其他在App中使用的数据处理技术，比如Cookies、广告类技术，以及这些技术的相关信息

5. 声明用户限制数据处理可能对App功能的影响。

可能对有些读者来讲，即使他们知道了《数据保护声明》需要写这些内容，也可能仍不清楚该如何具体撰写这份《数据保护声明》。我们在此为大家提供一份这样的《数据保护声明》建议稿，供大家参考、批评。

第1章   个人数据收集的相关信息

1. 除了网页版服务之外，我们也为您提供此移动应用，您可以将此应用下载到您的【移动终端设备】。下面我们将告知您在使用我们的移动应用时，我们收集个人数据的相关信息。个人数据是指所有的能涉及到您个人的数据，比如姓名、地址、电子邮箱和用户行为。

2. 依据欧盟《通用数据保护条例》第4条第7款，此处的是数据控制者是【名称、可接收信息的地址、电子邮箱】（请见我们的Impressum）。【您可通过此电子邮箱【xxx@xxx.com】，或直接向我们的邮箱寄信并标明“数据处理者收”，与我们的数据处理者取得联系。】

3. 当您通过向我们发送电子邮件或填写联系表格时，我们将保存您的电子邮箱、（如果您向我们提供了的话）您的名字和电话号码，以便能回答您的问题。当这些数据的保存不再是必要的时，我们将删除由此而产生的数据或者将——当存在法定的保管义务时——限制数据的处理。

4. 当我们为了我们所提供服务的某个功能而求助于被委托的服务商时，或者当我们想以广告目的使用您的数据时，我们将在下面告知您每个操作的具体细节，同时，我们也将声明数据存贮持续期间的确定标准。

第2章   您的权利

1. 涉及到您的个人数据，您拥有针对我们的如下权利：

（1）知情权

（2）纠正权或删除权

（3）数据处理限制权

（4）数据处理的反对权

（5）可携权

2. 针对我们对您的个人数据的处理行为，您也有向数据保护监管部门进行申诉的权利。

第3章   在使用我们的移动应用时个人数据的收集

1. 在您下载本移动应用时，必要的信息，尤其是用户名、电子邮箱、您账户的用户号码、下载的时间点、支付信息和个人设备码，将传送给应用市场。对此信息的收集操作，我们不能施加任何影响，因此也不付任何责任。我们只为实现下载本移动应用到你的移动终端设备之必要而处理数据。【可能还可以加上：您也可以在我们的网站上直接免费地下载本移动应用到您的移动终端设备。在下载时，在网站上将处理其他的用户数据，我们将在我们网站上【网站链接】告知对此数据的数据保护声明。】

2. 在您使用本移动应用时，为使您能够舒适地使用本移动应用之功能，我们收集以下个人数据。当您想使用我们的移动应用时，为了向您提供本移动应用的功能，并为了确保此功能的完全性与稳定性，依照欧盟《通用数据保护条例》第6条第1款第1句之第f项确定的范围，我们收集以下对我们而言在技术上是必要的数据：

（1）IP地址

（2）请求的日期与时间

（3）与格林威治时间（GMT）的时差

（4）请求的内容（具体的页面）

（5）访问状态/HTTP-状态码

（6）每次传送的数据量

（7）请求来源网站

（8）浏览器

（9）应用系统及其界面

（10）应用系统语言与版本

3. 我们也需要【你的设备码、国际移动设备识别码（IMEI）、国际移动用户识别码（IMSI）、手机号（MSISDN）、使用Wlan的MAC地址、您的移动终端设备名称、电子邮箱】。

4. 【要么：本移动应用没有设置任何Cookies】【要么：针对前面所提到的数据，在当您使用我们的移动应用时，Cookies也会存贮到您的计算设备中。Cookies是一个小型文本文件，它存放在您的移动终端设备的机身内存中，并由您所使用的移动应用来安排保存。通过Cookies，特定数据会流向安装此Cookie的部门（此处是我们）。Cookie不会运行任何程序，也不会在您的移动终端设备转入病毒，它致力于使移动应用整体上能更友好和更有效率地服务用户。

a) 本移动应用使用以下种类的Cookies,对此Cookies的范围与功能，将在下方进行说明：

（1）临时（Transient）Cookies（说明见b）

（2）持久(Persistent)Cookies（说明见c）

b) 临时Cookies将在您关闭本移动应用时自动被删除。这其中尤其包括会话(Session-)Cookies，它保存一个所谓的会话ID，通过此会话ID,您的移动应用的各种请求将被归类。通过此种方式，当您重新使用我们的移动应用时，您的移动终端设备将被重新识别。当您退出登录或关闭应用时，会话Cookies会自动被删除。

c) 持久Cookies将在预先确定的期间后被删除，这个期间随不同的Cookies而不同。您可以依您自己的愿望设置您的移动应用系统和应用程序，并且可以拒绝接收比如第三方Cookies或所有Cookies。我们提醒你的是，您可能并不能使用我们移动应用的全部功能。】

【可能补充：在使用时，我们使用一个替代Cookies但与其功能相近的技术】

【或者当移动应用没有收集数据时：您可在你的移动终端设备下载此移动应用，并能够在未接入因特网的情况下使用此移动应用。在您使用时，没有任何个人数据将被收集。】

【4. 基于广告目的，我们使用所谓的“广告标识符”（IDFA），这是一个由IOS系统提供的唯一的、但不会指向个人的、而是指向特定终端设备的非持久性的识别号码。通过IDFA收集的数据不会与其他的设备相关信息相关联。我们使用IDFA是为了向您提供针对您个性的广告和能够评估您的使用情况。

当您在IOS设置中的“数据保护”-“广告”目录下激活选项“关闭广告追踪”时，我们只会采取以下措施：通过统计未被点击的一广告栏（Banner）中的广告数测算您与广告栏的互动（“濒次控制”），测算点击通过率(CTR)，确定特殊用户以及安全措施、反诈骗和错误排除。您可以在设备设置中删除IDFA，然后会产生一个新的IDFA,这个新的IDFA不会与先前收集的数据合并。我们提示您，当您限制使用IDFA时，您可能无法使用我们应用的全部功能。】

虽然您制作了一份符合GDPR要求的《数据保护声明》，但正如您看到的，这份声明的内容不短，用户要在那么小的屏幕上找到这份声明，或者顺利阅读完这份声明，都不会是太轻松的事情。从法律的角度看，即使移动App开发商提供了《数据保护声明》，但所放置的位置或方式不好，使用户很难看到声明的内容，那么依然有违反其告知义务的可能。

因此，在此我们建议移动App开发商争取做到：

（1）使App用户在两步内，比如通过点击“目录“-”数据保护声明“选项，就可以看到《数据保护声明》的内容；

（2） 《数据保护声明》的内容依章节可折叠、展开，这样用户可以在较小的手机屏幕上随时阅读他（她）想了解的信息；

（3）在自己在手机应用市场的界面上也提供此《数据保护声明》，使用户在下载Apps前也有机会读到此声明的内容。