近日，國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、國家市場監(jiān)管總局聯(lián)合發(fā)布《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》（以下簡稱“《認(rèn)定方法》”）?！墩J(rèn)定方法》的出臺回應(yīng)了我國App領(lǐng)域違法違規(guī)收集個人信息行為的認(rèn)定需求，從“未公開收集使用規(guī)則”“未明示收集使用個人信息的目的、方式和范圍”等六個方面展開，通過列舉App違法違規(guī)收集使用個人信息的典型行為，明確了App收集使用個人信息的相關(guān)范圍?！墩J(rèn)定方法》的出臺不僅能為監(jiān)督管理部門認(rèn)定App違法違規(guī)收集使用個人信息行為提供參考，同時也能為App運營者自查自糾、網(wǎng)民參與社會監(jiān)督提供指引，推動個人信息保護科學(xué)治理、綜合治理，為保護公民、法人和其他組織的合法權(quán)益，維護國家安全和公共利益提供了有力保障。

一、《認(rèn)定方法》回應(yīng)了我國App領(lǐng)域違法違規(guī)收集個人信息行為的認(rèn)定需求

近年來，各式各樣的App覆蓋了工作生活的方方面面，在享受App所帶來的便利和樂趣的同時，App也給個人信息帶來了一定的安全風(fēng)險。強制授權(quán)、過度索權(quán)、超范圍收集個人信息的違法違規(guī)現(xiàn)象頻發(fā)，個人信息在悄然之間被記錄和使用，而在實踐中，對具體如何認(rèn)定App收集使用個人信息構(gòu)成違法違規(guī)，又缺少比較明確的規(guī)則和指引，這就使得一些不法分子利用App違法違規(guī)收集個人信息，并進行批量販賣，嚴(yán)重損害公民、法人和其他組織的合法權(quán)益。

而此次四部門發(fā)布的《認(rèn)定方法》，不僅填補了操作規(guī)則上的空白，也可以為App運營者自查自糾提供指引，為App評估和處置提供參考，真正滿足了App領(lǐng)域違法違規(guī)收集個人信息行為的認(rèn)定需求。需要注意的是，《認(rèn)定方法》在作為執(zhí)法部門的參考時，其所列舉的屬于“可被認(rèn)定”的違法違規(guī)行為，并不能直接依據(jù)《認(rèn)定方法》將其認(rèn)定為違法違規(guī)行為，具體的違法違規(guī)認(rèn)定還要由執(zhí)法部門根據(jù)情節(jié)、后果等情形最終作出判斷。

二、《認(rèn)定方法》是個人信息保護治理的重要成果

《認(rèn)定方法》的出臺是四部門開展App違法違規(guī)收集使用個人信息專項治理的重要一環(huán)，也是實施《網(wǎng)絡(luò)安全法》等法律法規(guī)的重要方式，同時可以為正在進行中的網(wǎng)絡(luò)信息立法工作提供有益借鑒。

第一，《認(rèn)定方法》明確治理重心，通過列舉有廣泛共識和顯著危害性的App收集使用個人信息行為，圍繞典型違法違規(guī)行為，突出治理重點，使治理方向更為聚焦。

第二，《認(rèn)定方法》落實“網(wǎng)絡(luò)綜合治理”要求，明確App違法違規(guī)收集使用個人信息的主要情形，可以為監(jiān)督執(zhí)法提供參考，也可以為企業(yè)履責(zé)合規(guī)指明方向，為網(wǎng)民參與社會監(jiān)督提供依據(jù)，助力形成多主體參與網(wǎng)絡(luò)治理的“綜合治網(wǎng)格局”。

第三，《認(rèn)定方法》是監(jiān)管推動立規(guī)的重要成果，通過總結(jié)一段時期以來個人信息保護專項治理的經(jīng)驗舉措，把法律法規(guī)的一般要求細化為更具可操作性的規(guī)范，讓法律法規(guī)更好落地，有利于進一步提升法律法規(guī)的實施效果。

第四，《認(rèn)定方法》充分注意并考慮個人信息收集使用在移動互聯(lián)網(wǎng)時代的技術(shù)特點，精準(zhǔn)識別和重點標(biāo)注出有社會危害性的收集使用個人信息行為，有利于提高網(wǎng)絡(luò)治理的有效性。當(dāng)前推進《個人信息保護法》《數(shù)據(jù)安全法》等網(wǎng)絡(luò)信息領(lǐng)域重點立法，也應(yīng)借鑒這一思路，深刻把握互聯(lián)網(wǎng)規(guī)律、運用互聯(lián)網(wǎng)思維，在構(gòu)建抽象的法律原則框架下，針對網(wǎng)絡(luò)信息活動不同環(huán)節(jié)，有的放矢、重點突破，設(shè)計科學(xué)、有效和可操作的法律規(guī)則。

三、《認(rèn)定方法》內(nèi)容要點

1.細化相關(guān)認(rèn)定標(biāo)準(zhǔn)

《認(rèn)定方法》中的合規(guī)要求十分具體，比如：明確隱私政策必須提供簡體中文版，明確隱私政策難以訪問的標(biāo)準(zhǔn)是多于4次點擊等操作才能訪問，明確App響應(yīng)用戶更正、刪除個人信息及注銷功能的承諾時限最長不得超過15個工作日等等。

2.明確了個人信息收集使用應(yīng)建立在“知情同意”這一根本原則上

縱觀全文，可以發(fā)現(xiàn)《認(rèn)定方法》是在遵循“知情同意”原則下進行制度構(gòu)建，所謂“知情同意”原則，就是要求數(shù)據(jù)主體在收集用戶個人信息前，告知用戶個人信息的處理狀況（包括目的、方式、范圍等等），在網(wǎng)絡(luò)服務(wù)的語境中通常表現(xiàn)為發(fā)布隱私聲明，用戶在閱讀聲明后作出同意的意思表示，作為對個人信息收集及利用的合法授權(quán)。我國《網(wǎng)絡(luò)安全法》第二十二條、第四十一條、第四十二條以及《數(shù)據(jù)安全管理條例（草案）》第九條均對此有所規(guī)定。

3.明確了“默認(rèn)保護數(shù)據(jù)”原則

《認(rèn)定方法》第三部分明確規(guī)定了“以默認(rèn)選擇同意隱私政策等非明示方式征求用戶同意”的行為可以被認(rèn)定為未經(jīng)用戶同意收集使用個人信息，這是默認(rèn)保護數(shù)據(jù)原則的體現(xiàn)。默認(rèn)保護數(shù)據(jù)原則是個人信息保護或個人數(shù)據(jù)保護中的一項重要原則，主要是指在IT系統(tǒng)或業(yè)務(wù)實踐中，其默認(rèn)設(shè)置便可以確保數(shù)據(jù)安全，而不需要用戶手動設(shè)置來保護自己的個人數(shù)據(jù)。也就是說，用戶在使用App時，App默認(rèn)相關(guān)數(shù)據(jù)收集使用是關(guān)閉的，只有用戶同意后才能開啟。

4.明確了數(shù)據(jù)最小化原則

《認(rèn)定方法》第四部分明確規(guī)定“收集的個人信息類型或打開的可收集個人信息權(quán)限與現(xiàn)有業(yè)務(wù)功能無關(guān)”的行為可以被認(rèn)定為違反必要原則，收集與其提供的服務(wù)無關(guān)的個人信息。數(shù)據(jù)最小化原則同樣是個人信息保護中的一項重要原則，其主要是指在數(shù)據(jù)收集過程中，應(yīng)將數(shù)據(jù)的收集嚴(yán)格保持在最低限度，只收集用于實現(xiàn)其系統(tǒng)目的的數(shù)據(jù)，與其系統(tǒng)目的無關(guān)的數(shù)據(jù)一律禁止收集，將其所需要收集的數(shù)據(jù)量控制在最小的程度，以此來降低數(shù)據(jù)風(fēng)險和隱私風(fēng)險，因為最容易保護的數(shù)據(jù)就是未被收集的數(shù)據(jù)。

5.明確了向第三方提供時需要獲得用戶的二次授權(quán)

《認(rèn)定方法》第五部分明確規(guī)定，App在未獲得用戶授權(quán)的情況下，向第三方提供個人信息的，可以被認(rèn)定為未經(jīng)同意向他人提供個人信息。需要注意的是，《認(rèn)定方法》中除了二次授權(quán)外，也提供了一種替代方法，那就是對個人信息進行匿名化（Anonymization）處理，所謂匿名化處理，是指一種使個人數(shù)據(jù)在任何情況下都不指向特定數(shù)據(jù)主體的個人數(shù)據(jù)處理方式，即使該處理后的數(shù)據(jù)與其他額外信息結(jié)合，憑技術(shù)性和組織性措施也無法指向一個可識別或被識別的自然人。被處理后的數(shù)據(jù)不再具有可識別性，因此也不再具有個人信息的特征。

6.明確了用戶對其個人信息的更正權(quán)和刪除權(quán)

《認(rèn)定方法》第六部分明確規(guī)定了“未提供有效的更正、刪除個人信息及注銷用戶賬號功能”的行為可以被認(rèn)定為未按法律規(guī)定提供刪除或更正個人信息功能。更正權(quán)和刪除權(quán)都是用戶對其個人信息所享有的權(quán)利，主要是指用戶更正或刪除其個人信息的權(quán)利。

（來源：App個人信息舉報）