定了！App违法违规收集使用个人信息认定标准来了 四部门监管划定红线 明确这6种行为要注意 _ 东方财富网

今年来，App个人信息安全引发热议。

12月30日，国家互联网信息办公室、工信部、公安部、国家市场监督管理总局这四个部门联合印发《App违法违规收集使用个人信息行为认定方法》(下简称《方法》)。

该《方法》界定了App违法违规收集使用个人信息行为的六大类方法。其中，征得用户同意前就开始收集个人信息或打开可收集个人信息的权限；用户明确表示不同意后，仍收集个人信息或打开可收集个人信息的权限，或频繁征求用户同意、干扰用户正常使用等行为可被认定为“未经用户同意收集使用个人信息”。

这六大类收集用户信息的行为，违规了！

12月30日，国家互联网信息办公室官网发布公告发布，四部门联合印发《App违法违规收集使用个人信息行为认定方法》通知，通知中称：

根据《关于开展App违法违规收集使用个人信息专项治理的公告》，为监督管理部门认定App违法违规收集使用个人信息行为提供参考，为App运营者自查自纠和网民社会监督提供指引，落实《网络安全法》等法律法规，制定本方法。

该《方法》明确界定了App违法违规收集使用个人信息行为的六大类方法：

一、以下行为可被认定为“未公开收集使用规则”

1。在App中没有隐私政策，或者隐私政策中没有收集使用个人信息规则；

2。在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；

3。隐私政策等收集使用规则难以访问，如进入App主界面后，需多于4次点击等操作才能访问到；

4。隐私政策等收集使用规则难以阅读，如文字过小过密、颜色过淡、模糊不清，或未提供简体中文版等。

二、以下行为可被认定为“未明示收集使用个人信息的目的、方式和范围”

1。未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等；

2。收集使用个人信息的目的、方式、范围发生变化时，未以适当方式通知用户，适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等；

3。在申请打开可收集个人信息的权限，或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时，未同步告知用户其目的，或者目的不明确、难以理解；

4。有关收集使用规则的内容晦涩难懂、冗长繁琐，用户难以理解，如使用大量专业术语等。

三、以下行为可被认定为“未经用户同意收集使用个人信息”

1。征得用户同意前就开始收集个人信息或打开可收集个人信息的权限；

2。用户明确表示不同意后，仍收集个人信息或打开可收集个人信息的权限，或频繁征求用户同意、干扰用户正常使用；

3。实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围；

4。以默认选择同意隐私政策等非明示方式征求用户同意；

5。未经用户同意更改其设置的可收集个人信息权限状态，如App更新时自动将用户设置的权限恢复到默认状态；

6。利用用户个人信息和算法定向推送信息，未提供非定向推送信息的选项；

7。以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限，如故意欺瞒、掩饰收集使用个人信息的真实目的；

8。未向用户提供撤回同意收集个人信息的途径、方式；

9。违反其所声明的收集使用规则，收集使用个人信息。

四、以下行为可被认定为“违反必要原则，收集与其提供的服务无关的个人信息”

1。收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关；

2。因用户不同意收集非必要个人信息或打开非必要权限，拒绝提供业务功能；

3.App新增业务功能申请收集的个人信息超出用户原有同意范围，若用户不同意，则拒绝提供原有业务功能，新增业务功能取代原有业务功能的除外；

4。收集个人信息的频度等超出业务功能实际需要；

5。仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，强制要求用户同意收集个人信息；

6。要求用户一次性同意打开多个可收集个人信息的权限，用户不同意则无法使用。

五、以下行为可被认定为“未经同意向他人提供个人信息”

1。既未经用户同意，也未做匿名化处理，App客户端直接向第三方提供个人信息，包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息；

2。既未经用户同意，也未做匿名化处理，数据传输至App后台服务器后，向第三方提供其收集的个人信息；

3.App接入第三方应用，未经用户同意，向第三方应用提供个人信息。

六、以下行为可被认定为“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”

1。未提供有效的更正、删除个人信息及注销用户账号功能；

2。为更正、删除个人信息或注销用户账号设置不必要或不合理条件；

3。虽提供了更正、删除个人信息及注销用户账号功能，但未及时响应用户相应操作，需人工处理的，未在承诺时限内(承诺时限不得超过15个工作日，无承诺时限的，以15个工作日为限)完成核查和处理；

4。更正、删除个人信息或注销用户账号等用户操作已执行完毕，但App后台并未完成的；

5。未建立并公布个人信息安全投诉、举报渠道，或未在承诺时限内(承诺时限不得超过15个工作日，无承诺时限的，以15个工作日为限)受理并处理的。

个人信息保护文件密集发布，执行效力还待验证

“个人信息安全保护趋于严格，但目前相关监管方法草案偏多，具体到细化和落实执行方面还有难度。”北京某消费金融公司风控负责人告诉券商中国记者，上述《方法》明确了App违法违规收集使用个人信息行为的多种具体情形，最后一条要求App设置个人信息安全投诉、举报渠道，针对不合理的信息收集行为，用户可以直接向App投诉，但是，具体效力都还有待验证。比如，个人用户是否知悉自己的信息有被非法获取？直接向App投诉，是否能有效维护自己的权益、甚至依法获得对违法违规APP的惩罚性赔偿？

今年下半年，伴随着部分App涉嫌违规采集用户个人信息的风险事件频频引发市场关注，涉事的不仅仅是金融类App，甚至蔓延到整个互联网行业。

今年12月6日，国家网络安全通报中心称，集中查处整改了100款违法违规App及其运营的互联网企业，光大银行、天津银行等的手机银行，以及樊登读书会、淘无忧、晋江小说等知名App在榜，主要违规事由即无隐私协议、收集使用个人信息范围描述不清、超范围采集个人信息和非必要采集个人信息等情形。

与之相应的是监管也出重拳，从2019年5月份以来，个人信息保护监管方面文件密集发布。

券商中国记者注意到，今年5月份到8月份，监管部门密集出台了《数据安全管理办法(征求意见稿)》、《App违法违规收集使用个人信息行为认定方法(征求意见稿)》、《个人信息安全规范(征求意见稿)》、《信息安全技术、移动互联网应用(App)收集个人信息基本规范(草案)》等。而据官方初步统计，截至目前，我国共近40部法律，30余部法规，200多个部门规章，涉及到个人信息保护问题已形成了多层次、多领域、内容分散、体系庞杂的个人信息保护模式。

而在业内人士看来，金融行业App关于信息使用的安全规范是一个漫长的多方博弈过程，需监管方、各类App应用商店运营者、App运营方及机构多方参与治理。苏宁金融研究院院长助理薛洪言告诉记者，尽管App违规收集用户位置信息须严查严管，但从大环境的导向来看，监管仍然鼓励并重视在合规前提下的大数据行业发展。

（文章来源：券商中国）