【摘要】企业跨APP共享个人信息有助于挖掘数据的经济价值，但也存在侵害个人信息权益和隐私权的风险。获得用户的知情同意是企业获取和共享个人信息的合法性基础，但我国现行法律体系对此规定得不够清晰。基于隐私政策的合同属性和署名情况，APP背后的主体公司应认定为“个人信息处理者”，子公司、关联方和其他合作伙伴应认定为“其他个人信息处理者”。在共享敏感个人信息时，共享方必须取得用户的单独同意并遵循“三重授权”原则。在共享其他个人信息时，主体公司应完成披露义务和合理性审查，而子公司、关联方和其他合作伙伴应遵循“三重授权”原则。我国可以参考美国加利福尼亚州消费者隐私法案的立法模式，强制企业与共享方签订信息安全协议，并设定保护个人信息隐私所必须之条款。为了在保护个人信息安全的基础上促进数据共享，应推动个人信息处理和共享中的去标识化。