關于印發(fā)《App違法違規收集使用個人信息行爲認定方法》的通知

國(guó)家互聯網信息辦公室秘書局

工業和信息化部辦公廳

公安部辦公廳

國(guó)家市場監督管理總局辦公廳

關于印發(fā)《App違法違規收集使用個人信息行爲認定方法》的通知

國(guó)信辦秘字〔2019〕191号

各省、自治區、直轄市及新疆生産建設兵團網信辦、通信管理局、公安廳(局)、市場監管局(廳、委)：

　　根據《關于開(kāi)展App違法違規收集使用個人信息專項治理的公告》，爲認定App違法違規收集使用個人信息行爲提供參考，落實《網絡安全法》等法律法規，國(guó)家互聯網信息辦公室、工業和信息化部、公安部、市場監管總局聯合制定了《App違法違規收集使用個人信息行爲認定方法》。現印發(fā)你們，請結合監管和執法工作實際參考執行。

國(guó)家互聯網信息辦公室秘書局

工業和信息化部辦公廳

公安部辦公廳

市場監管總局辦公廳

　　2019年11月28日

App違法違規收集使用個人信息行爲認定方法

　　根據《關于開(kāi)展App違法違規收集使用個人信息專項治理的公告》，爲監督管理部門認定App違法違規收集使用個人信息行爲提供參考，爲App運營者自查自糾和網民社會監督提供指引，落實《網絡安全法》等法律法規，制定本方法。

　　一、以下行爲可被(bèi)認定爲“未公開(kāi)收集使用規則”

　　1.在App中沒(méi)有隐私政策，或者隐私政策中沒(méi)有收集使用個人信息規則；

　　2.在App首次運行時未通過(guò)彈窗等明顯方式提示用戶閱讀隐私政策等收集使用規則；

　　3.隐私政策等收集使用規則難以訪問，如進(jìn)入App主界面(miàn)後(hòu)，需多于4次點擊等操作才能(néng)訪問到；

　　4.隐私政策等收集使用規則難以閱讀，如文字過(guò)小過(guò)密、顔色過(guò)淡、模糊不清，或未提供簡體中文版等。

　　二、以下行爲可被(bèi)認定爲“未明示收集使用個人信息的目的、方式和範圍”

　　1.未逐一列出App(包括委托的第三方或嵌入的第三方代碼、插件)收集使用個人信息的目的、方式、範圍等；

　　2.收集使用個人信息的目的、方式、範圍發(fā)生變化時，未以适當方式通知用戶，适當方式包括更新隐私政策等收集使用規則并提醒用戶閱讀等；

　　3.在申請打開(kāi)可收集個人信息的權限，或申請收集用戶身份證号、銀行賬号、行蹤軌迹等個人敏感信息時，未同步告知用戶其目的，或者目的不明确、難以理解；

　　4.有關收集使用規則的内容晦澀難懂、冗長(cháng)繁瑣，用戶難以理解，如使用大量專業術語等。

　　三、以下行爲可被(bèi)認定爲“未經(jīng)用戶同意收集使用個人信息”

　　1.征得用戶同意前就開(kāi)始收集個人信息或打開(kāi)可收集個人信息的權限；

　　2.用戶明确表示不同意後(hòu)，仍收集個人信息或打開(kāi)可收集個人信息的權限，或頻繁征求用戶同意、幹擾用戶正常使用；

　　3.實際收集的個人信息或打開(kāi)的可收集個人信息權限超出用戶授權範圍；

　　4.以默認選擇同意隐私政策等非明示方式征求用戶同意；

　　5.未經(jīng)用戶同意更改其設置的可收集個人信息權限狀态，如App更新時自動將(jiāng)用戶設置的權限恢複到默認狀态；

　　6.利用用戶個人信息和算法定向(xiàng)推送信息，未提供非定向(xiàng)推送信息的選項；

　　7.以欺詐、誘騙等不正當方式誤導用戶同意收集個人信息或打開(kāi)可收集個人信息的權限，如故意欺瞞、掩飾收集使用個人信息的真實目的；

　　8.未向(xiàng)用戶提供撤回同意收集個人信息的途徑、方式；

　　9.違反其所聲明的收集使用規則，收集使用個人信息。

　　四、以下行爲可被(bèi)認定爲“違反必要原則，收集與其提供的服務無關的個人信息”

　　1.收集的個人信息類型或打開(kāi)的可收集個人信息權限與現有業務功能(néng)無關；

　　2.因用戶不同意收集非必要個人信息或打開(kāi)非必要權限，拒絕提供業務功能(néng)；

　　3.App新增業務功能(néng)申請收集的個人信息超出用戶原有同意範圍，若用戶不同意，則拒絕提供原有業務功能(néng)，新增業務功能(néng)取代原有業務功能(néng)的除外；

　　4.收集個人信息的頻度等超出業務功能(néng)實際需要；

　　5.僅以改善服務質量、提升用戶體驗、定向(xiàng)推送信息、研發(fā)新産品等爲由，強制要求用戶同意收集個人信息；

　　6.要求用戶一次性同意打開(kāi)多個可收集個人信息的權限，用戶不同意則無法使用。

　　五、以下行爲可被(bèi)認定爲“未經(jīng)同意向(xiàng)他人提供個人信息”

　　1.既未經(jīng)用戶同意，也未做匿名化處理，App客戶端直接向(xiàng)第三方提供個人信息，包括通過(guò)客戶端嵌入的第三方代碼、插件等方式向(xiàng)第三方提供個人信息；

　　2.既未經(jīng)用戶同意，也未做匿名化處理，數據傳輸至App後(hòu)台服務器後(hòu)，向(xiàng)第三方提供其收集的個人信息；

　　3.App接入第三方應用，未經(jīng)用戶同意，向(xiàng)第三方應用提供個人信息。

　　六、以下行爲可被(bèi)認定爲“未按法律規定提供删除或更正個人信息功能(néng)”或“未公布投訴、舉報方式等信息”

　　1.未提供有效的更正、删除個人信息及注銷用戶賬号功能(néng)；

　　2.爲更正、删除個人信息或注銷用戶賬号設置不必要或不合理條件；

　　3.雖提供了更正、删除個人信息及注銷用戶賬号功能(néng)，但未及時響應用戶相應操作，需人工處理的，未在承諾時限内（承諾時限不得超過(guò)15個工作日，無承諾時限的，以15個工作日爲限）完成(chéng)核查和處理；

　　4.更正、删除個人信息或注銷用戶賬号等用戶操作已執行完畢，但App後(hòu)台并未完成(chéng)的；

　　5.未建立并公布個人信息安全投訴、舉報渠道(dào)，或未在承諾時限内（承諾時限不得超過(guò)15個工作日，無承諾時限的，以15個工作日爲限）受理并處理的。