公安部、市场监管总局联合开展APP专项治理工作,重点查处APP违法收集个人信息行为。12月30日,为落实《网络安全法》等法律法规,《App违法违规收集使用个人信息行为认定方法》正式发布,为认定APP违规收集使用个人信息提供参考。《App违法违规收集使用个人信息行为认定方法》全文改编自《关于开展App违法违规收集使用个人信息专项治理的公告》,为监督管理部门认定App违法收集、使用个人信息行为提供参考,为App运营者自查自纠和社会监督提供指导广大网友,贯彻《网络安全法》等法律法规,制定本办法。一、下列行为可认定为“未公开收集使用规则”1、应用内没有隐私政策,或隐私政策中没有对个人信息的收集、使用作出规定;2、应用首次运行时无明显弹窗或其他明显方式提示用户阅读隐私政策及其他收集使用规则;3、隐私政策等收集使用规则难以查阅。比如进入app主界面后,需要点击4次以上才能进入;4.隐私政策及其他收集使用规则难以阅读,例如文字过小或过密,颜色过淡、模糊,或未提供简体中文版等。2.以下内容行为可认定为“未明确说明收集、使用个人信息的目的、方式和范围”1、未明确说明应用程序(包括委托第三方或嵌入第三方代码和)收集、使用个人信息的目的插件)、方法、范围等;2.收集、使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户的。适当的方式包括更新隐私政策等收集使用规则并提醒用户阅读;3.应用开启收集个人信息的权利时,或申请收集用户身份证号、银行账号、行踪等敏感个人信息时,未同时告知用户目的,或目的不明确且难以理解;4.收集使用规则内容晦涩难懂,冗长繁琐,用户难以理解,如大量使用专业术语。三、下列行为可认定为“未经用户同意收集、使用个人信息”1、在未征得用户同意前开始收集个人信息或开启收集个人信息权限;2、在用户明确表示不同意后,继续收集个人信息或开启收集个人信息权限,或频繁征求用户同意,干扰用户正常使用;3.实际收集个人信息或开放个人信息收集权限超出用户授权范围;4、默认同意隐私政策5、未经用户同意,更改所收集个人信息的权限状态,如App更新时自动将用户权限恢复到默认状态;6、使用用户个人信息和算法推送信息,不提供非定向推送信息的选项;7、以欺诈、欺骗等不正当手段,如故意欺骗、隐瞒收集、使用个人信息的真实目的等,误导用户同意收集个人信息或开放收集个人信息的权限;8、未能为用户提供撤回同意收集个人信息的方式方法;9.违反其规定的收集使用规则收集、使用个人信息的。四、下列行为可认定为“违反必要性原则,收集与其提供的服务无关的个人信息”1、收集的个人信息类型或开通的个人信息收集权限与现有业务功能无关;2、因用户不同意收集非必要的个人信息或开启非必要的权限,拒绝提供业务功能;3、App为新增业务功能收集的个人信息超出用户原同意的范围。如用户不同意,原业务功能将被拒绝。除了增加业务功能替代原有的业务功能;4、收集个人信息的频率超过业务职能的实际需要;要求用户同意收集个人信息;6.要求用户同意开启可一次性收集个人信息的多项权限,用户不同意则无法使用。五、下列行为可认定为“未经同意向他人提供个人信息”1、App客户端未经用户同意或匿名化处理,直接向第三方提供个人信息,包括通过客户端嵌入的第三方代码,插件等向第三方提供个人信息;2.既未征得用户同意,也未进行匿名化处理。数据传输至App后台服务器后,将收集的个人信息提供给第三方;3、App未经用户同意访问第三方应用程序,向第三方应用程序提供个人信息。6.下列行为可认定为“未依法提供删除、更正个人信息功能”或“未公开投诉、举报方式等信息”1.未提供有效更正、删除个人信息及注销用户账号功能;2.为更正、删除个人信息或注销用户账号设置不必要或不合理的条件;3、虽然提供更正、删除个人信息、注销用户账号功能,但未及时响应用户相应操作,需人工处理的,在承诺时限内完成验证处理(承诺时限不超过15个工作日,无承诺时限的,以15个工作日为限);4、用户更正、删除个人信息、注销用户账号等操作已完成,但App后台尚未完成;5.未建立并公布个人信息安全投诉举报渠道,或未达到承诺时限(承诺时限不得超过15个工作日,无承诺时限的,限15个工作日)接受并处理。
