App违法违规收集使用个人信息行为认定方法出台
App违法违规收集使用个人信息行为认定方法出台
为经营者自查自纠和政府监管、社会监督提供参考和指引
12月30日,国家网信办秘书局、工信部办公厅、公安部办公厅、市场监管总局办公厅四部门联合印发了《App违法违规收集使用个人信息行为认定方法》(以下简称《方法》)。
《方法》界定了App违法违规收集使用个人信息行为的六大类方法,为监督管理部门认定App违法违规收集使用个人信息行为提供参考,为App运营者自查自纠和网民社会监督提供指引。
在App中没有隐私政策,或者隐私政策中没有收集使用个人信息规则;在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到;隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等4种行为在《方法》中被认定为“未公开收集使用规则”。
未逐一列出App收集使用个人信息的目的、方式、范围等;收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等;在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解;有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等四种行为可被《规定》认定为“未明示收集使用个人信息的目的、方式和范围”。
《方法》还规定了9种被认定为“未经用户同意收集使用个人信息”的行为,包括征得用户同意前就开始收集个人信息或打开可收集个人信息的权限;用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用;实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围;以默认选择同意隐私政策等非明示方式征求用户同意;未经用户同意更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态;利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项;以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的;未向用户提供撤回同意收集个人信息的途径、方式;违反其所声明的收集使用规则,收集使用个人信息。
《方法》同时还规定了“违反必要原则,收集与其提供的服务无关的个人信息”“未经同意向他人提供个人信息”“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”等行为认定的有关标准。