App违法违规收集使用个人信息如何认定？最新细则来了！

本篇文章1292字，读完约3分钟

12月30日，中国网通发布了由国家互联网信息办公室、工业和信息化部、公安部和国家市场监督管理局联合制定的《app非法收集和使用个人信息认定办法》(以下简称《办法》)。《办法》印发给各省、自治区、直辖市及新疆生产建设兵团网络信息办、通信管理局、公安厅(局)、市场监督局(厅、委)，并参照实际监督执法工作执行。

《办法》针对“未公开的收集和使用规则”、“未明确说明收集和使用个人信息的目的、方法和范围”、“未经用户同意收集和使用个人信息”、“违反必要的原则收集与用户提供的服务无关的个人信息”、“未经用户同意向他人提供个人信息”、“未依法提供删除或更正个人信息的功能”或“未公布投诉、举报方式等信息”

例如，以下四种行为可视为“未公开的收集和使用规则”:

首先，应用程序中没有隐私政策，或者隐私政策中没有收集和使用个人信息的规则；

第二，当应用程序第一次运行时，用户不会被提示通过弹出窗口等明显的方式阅读隐私政策和其他收集和使用规则；

第三，隐私政策等收集和使用规则难以获取。例如，进入应用程序主界面后，需要点击4次以上才能进入；

第四，收集和使用规则如隐私政策难以阅读，如文字太小、太密、颜色太淡、模糊，或未提供简体中文版本。

《国际金融新闻》的记者随机选择了三款应用，发现当它们第一次运行时，会通过弹出窗口和其他显而易见的方式提示用户阅读隐私政策和其他收集和使用规则。确认后，用户可以进行注册等后续操作。进入应用程序主界面后，您可以通过4次点击来访问集合并使用隐私政策等规则，但您需要自己找到正确的隐私政策条目。

此前，业内人士曾呼吁监管机构发布关于“违反必要原则，收集与所提供服务无关的个人信息”的详细规定，具体识别方法也反映在官方公布的《办法》中，涉及六种行为:

首先，收集的个人信息的类型或收集个人信息的公开权利与现有的业务功能无关；

第二，因为用户不同意收集不必要的个人信息或打开不必要的权限，他们拒绝提供业务功能；

第三，应用程序的新业务功能应用程序收集的个人信息超出了用户最初的同意范围。如果用户不同意，则拒绝提供原业务功能，但新业务功能替代原业务功能的除外；

第四，收集个人信息的频率超过了业务职能的实际需要；

第五，只有在提高服务质量、改善用户体验、有针对性地推送信息和开发新产品的基础上，用户才被迫同意收集个人信息；

第六，要求用户同意同时打开多个权限来收集个人信息，如果用户不同意，则不能使用这些权限。

此外，《办法》还列举了可以认定为“未明确说明收集和使用个人信息的目的、方法和范围”的行为，包括:

首先，应用收集和使用个人信息(包括委托第三方或嵌入第三方代码和插件)的目的、方法和范围没有一一列出；

第二，当收集和使用个人信息的目的、方法和范围发生变化时，不会以适当的方式通知用户，适当的方式包括更新隐私政策和其他收集和使用规则，并提醒用户阅读；

三是申请开通个人信息采集权，或者申请采集用户身份证号、银行账号、去向等个人敏感信息时，用户未同步获知其目的，或者目的不明确、难以理解；

第四，收集和使用规则的内容晦涩、繁琐，用户难以理解，如使用大量专业术语。