四部委联合发布《App违法违规收集使用个人信息行为认定方法》

2019 年岁末,《纽约时报》披露史上最大规模手机位置文件震惊全球(安全牛报道:史上最大规模手机位置数据文件披露:可追踪特朗普行踪)。

一些中小数据公司(例如一个天气 APP 创业公司)采集的数据,就能在华盛顿几乎每个主要的政府大楼和设施中跟踪智能手机。甚至可以识别出参议员的国家安全顾问,跟踪美国总统特朗普的行踪。甚至五角大楼也警告员工,他们的隐私正在受到侵害。

在大数据时代,隐私与监控的权力格局和食物链变得错综复杂,濒临失控。

2019 年 12 月 30 日,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合印发《App违法违规收集使用个人信息行为认定方法》(以下简称认定方法),明确了 App 关于个人信息收集使用时的六大类违规行为,并推进了对 App 违法违规收集使用个人信息治理工作的进展。

以下为《方法》全文:

根据《关于开展App违法违规收集使用个人信息专项治理的公告》,为监督管理部门认定 App 违法违规收集使用个人信息行为提供参考,为 App 运营者自查自纠和网民社会监督提供指引,落实《网络安全法》等法律法规,制定本方法。

一、以下行为可被认定为“未公开收集使用规则”

1. 在App中没有隐私政策,或者隐私政策中没有收集使用个人信息规则;

2. 在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;

3. 隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到;

4. 隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等。

二、以下行为可被认定为“未明示收集使用个人信息的目的、方式和范围”

1. 未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;

2. 收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等;

3. 在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解;

4. 有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等。

三、以下行为可被认定为“未经用户同意收集使用个人信息”

1. 征得用户同意前就开始收集个人信息或打开可收集个人信息的权限;

2. 用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用;

3. 实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围;

4. 以默认选择同意隐私政策等非明示方式征求用户同意;

5. 未经用户同意更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态;

6. 利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项;

7. 以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的;

8. 未向用户提供撤回同意收集个人信息的途径、方式;

9. 违反其所声明的收集使用规则,收集使用个人信息。

四、以下行为可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”

1. 收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;

2. 因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;

3. App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;

4. 收集个人信息的频度等超出业务功能实际需要;

5. 仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;

6. 要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。

五、以下行为可被认定为“未经同意向他人提供个人信息”

1. 既未经用户同意,也未做匿名化处理,App 客户端直接向第三方提供个人信息,包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息;

2. 既未经用户同意,也未做匿名化处理,数据传输至 App 后台服务器后,向第三方提供其收集的个人信息;

3. App 接入第三方应用,未经用户同意,向第三方应用提供个人信息。

六、以下行为可被认定为“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”

1. 未提供有效的更正、删除个人信息及注销用户账号功能;

2. 为更正、删除个人信息或注销用户账号设置不必要或不合理条件;

3. 虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过 15 个工作日,无承诺时限的,以 15 个工作日为限)完成核查和处理;

4. 更正、删除个人信息或注销用户账号等用户操作已执行完毕,但 App 后台并未完成的;

5. 未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过 15 个工作日,无承诺时限的,以 15 个工作日为限)受理并处理的。

内容来源:网信中国

上一篇:别吃错药:四大身份验证场景的协议选择

下一篇:AV-TEST 发布 2019 最佳 Android 安全软件榜单