繼2019年1月25日，國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、市場監(jiān)管總局發(fā)布《關于開展App違法違規(guī)收集使用個人信息專項治理的公告》，四部門近期聯(lián)合制定并發(fā)布了《App違法違規(guī)收集使用個人信息行為認定方法》（國信辦秘字[2019]191號）（以下簡稱《認定方法》）?！墩J定方法》的出臺，為監(jiān)督管理部門認定App違法違規(guī)收集使用個人信息行為提供參考，為App運營者自查自糾和網(wǎng)民社會監(jiān)督提供指引。

本文對照《認定方法》，結合近千款App評估中發(fā)現(xiàn)的典型問題，進行具體分析解讀，供各界參考。

一、典型“未公開收集使用規(guī)則”行為

法律法規(guī)依據(jù)：

《網(wǎng)絡安全法》第四十一條規(guī)定網(wǎng)絡運營者收集、使用個人信息時，應當“公開收集、使用規(guī)則”。

《消費者權益保護法》第二十九條規(guī)定經(jīng)營者收集、使用消費者個人信息，“應當公開其收集、使用規(guī)則”。

典型行為：

僅在官網(wǎng)、應用商店中展示隱私政策而在App內無法找到隱私政策的，或隱私政策鏈接無效、文本不能正常顯示的，或隱私政策中沒有包含該App收集使用個人信息規(guī)則。

App首次運行，未通過明顯方式提示用戶閱讀個人信息收集使用規(guī)則；只在注冊/登錄界面展示隱私政策鏈接，進入App主界面后，無法找到隱私政策；刻意使用灰色字體、縮小字號、遮擋、置于邊緣與背景顏色相近等方式未突出顯示隱私政策鏈接(圖1.1)；用戶注冊時，注冊/登錄界面無隱私政策鏈接(圖1.2)。

隱私政策訪問路徑設置過深，多于4次點擊操作訪問到；或路徑設置過偏，要通過搜索、咨詢客服等方式才能訪問到。

隱私政策文本字號、顏色、行間距、列寬、清晰度等設置造成用戶閱讀困難，如隱私政策文本字號過小(圖1.3)，隱私政策文本列寬設置大于屏幕(圖1.4)，隱私政策無法完整顯示。

二、典型“未明示收集使用個人信息的目的、方式和范圍”行為

法律法規(guī)依據(jù)：

《網(wǎng)絡安全法》第四十一條規(guī)定網(wǎng)絡運營者收集、使用個人信息，應“明示收集使用個人信息的目的、方式和范圍”。

《消費者權益保護法》第二十九條規(guī)定經(jīng)營者收集、使用消費者個人信息，應“明示收集、使用信息的目的、方式和范圍”。

典型行為：

App嵌入第三方SDK存在收集個人信息的情況，但未在隱私政策里說明其收集使用個人信息的目的、方式、范圍。

App隱私政策中未完整列舉逐項說明App實際業(yè)務功能收集使用個人信息類型、目的、方式。

僅依賴系統(tǒng)彈窗但未在向用戶申請收集個人信息的權限時告知申請的目的（圖2.1）或未同步告知用戶收集使用個人敏感信息的目的（圖2.2）。

App主動進行權限申請的二次彈窗，但僅重復申請權限而未告知目的（圖2.3），或目的描述不明確，用戶無法得知App收集該類個人信息真實目的（圖2.4）。

隱私政策內容晦澀難懂、邏輯結構混亂、用語不符合通用習慣（圖2.5、圖2.6）。

三、典型“未經(jīng)用戶同意收集使用個人信息”行為

法律法規(guī)依據(jù)：

《網(wǎng)絡安全法》第四十一條規(guī)定網(wǎng)絡運營者收集、使用個人信息，應“經(jīng)被收集者同意”且“不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息”。

《消費者權益保護法》第二十九條規(guī)定經(jīng)營者收集、使用消費者個人信息，應“經(jīng)消費者同意”且“不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息”，“經(jīng)營者未經(jīng)消費者同意或者請求，或者消費者明確表示拒絕的，不得向其發(fā)送商業(yè)性信息。”

典型行為：

App安裝后，未經(jīng)用戶同意就收集設備MAC地址、應用程序列表等個人信息；用戶明確表示不同意提供位置信息后，仍通過收集設備IP地址、通訊基站、Wifi信息等計算出用戶地理位置等個人信息。

用戶不同意收集非必要的個人信息或打開非必要權限，App每次啟動仍索要用戶已明確拒絕提供的系統(tǒng)權限或個人信息；用戶使用與已拒絕的系統(tǒng)權限或個人信息無關的功能時頻繁提示用戶授權同意。

在申請可收集個人信息權限時，聲明只使用其中與業(yè)務相關信息，實際上卻收集并上傳了該權限可允許的所有信息；實際收集的個人信息特別是個人敏感信息超出隱私政策等相關規(guī)則的范圍；未真實披露收集使用個人信息的目的，欺騙用戶打開可收集個人信息的權限（圖3.1、圖3.2）。

采用默認勾選同意隱私政策（圖3.3）等非明示方式使用戶略過隱私政策；注冊或登錄的選項與同意隱私政策的因果邏輯關系不清楚（圖3.4），使用戶易略過隱私政策。

四、典型“違反必要原則，收集與其提供的服務無關的個人信息”行為

法律法規(guī)依據(jù)：

《網(wǎng)絡安全法》第四十一條規(guī)定“網(wǎng)絡運營者不得收集與其提供的服務無關的個人信息”。

《消費者權益保護法》第二十九條規(guī)定“經(jīng)營者收集、使用消費者個人信息，應當遵循合法、正當、必要的原則”。

典型行為：

App收集的個人信息類型或打開可收集個人信息的權限，超出其業(yè)務功能所需，如計算器工具類App申請打開位置權限、輸入法類App申請打開通訊錄權限等（如圖4.1、圖4.2）；

強制索要的系統(tǒng)權限或個人信息非App運行所需的必要條件，如金融類App不同意打開通訊錄和位置權限、地圖類App不同意打開短信權限，則拒絕提供所有業(yè)務功能，中介類App拒絕提供銀行卡號、持卡人身份證號、銀行預留手機號等信息進行銀行卡認證，則不允許發(fā)布任何信息等。

App后臺自動收集用戶設備IMEI號、IMSI號、地理位置等信息過于頻繁，超出業(yè)務功能實際需要，如某App平均每秒獲取10次IMEI號，非地圖導航類App平均每秒上傳6次GPS定位信息。

安卓版App將軟件安裝包中的targetSDKversion屬性值設置為低于23，安裝時，要求用戶一次性打開多個可收集個人信息的權限（如圖4.3、圖4.4）。

五、典型“未經(jīng)同意向他人提供個人信息”行為

法律法規(guī)依據(jù)：

《網(wǎng)絡安全法》第四十二條規(guī)定網(wǎng)絡運營者“未經(jīng)被收集者同意，不得向他人提供個人信息。但是，經(jīng)過處理無法識別特定個人信息且不能復原的除外”。

典型行為：

未告知用戶對外提供、轉讓個人信息的目的、類型及接收方身份，且數(shù)據(jù)未經(jīng)處理即通過客戶端或嵌入的SDK等代碼、插件提供給了第三方。

未告知用戶個人信息出境情形，將數(shù)據(jù)傳輸至境外。

未告知也未經(jīng)用戶同意，將個人信息直接提供給接入的小程序、公眾號、服務應用等第三方主體。

六、典型“未按法律規(guī)定提供刪除或更正個人信息功能”或“未公布投訴、舉報方式等信息”行為

法律法規(guī)依據(jù)：

《網(wǎng)絡安全法》第四十三條規(guī)定“個人發(fā)現(xiàn)網(wǎng)絡運營者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個人信息的，有權要求網(wǎng)絡運營者刪除其個人信息；發(fā)現(xiàn)網(wǎng)絡運營者收集、存儲的其個人信息有錯誤的，有權要求網(wǎng)絡運營者予以更正。網(wǎng)絡運營者應當采取措施予以刪除或者更正”。

《網(wǎng)絡安全法》第四十九條規(guī)定“網(wǎng)絡運營者應當建立網(wǎng)絡信息安全投訴、舉報制度，公布投訴、舉報方式等信息，及時受理并處理有關網(wǎng)絡安全的投訴和舉報?！?/p>

《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》第十二條規(guī)定“電信業(yè)務經(jīng)營者、互聯(lián)網(wǎng)信息服務提供者應當建立用戶投訴處理機制，公布有效的聯(lián)系方式，接受與用戶個人信息保護有關的投訴，并自接到投訴之日起15日內答復投訴人?！?/p>

典型行為：

App中提供的更正、刪除個人信息及注銷用戶賬號渠道無法完成相應的操作；未在承諾時間內完成相應操作；客戶端提示用戶注銷成功后，原賬號相關信息仍保留在App后臺服務器上。

注銷時，要求用戶提供手持身份證正反面照片，更正個人信息時要求提供人臉認證信息等個人敏感信息；

未建立并公布個人信息安全投訴、舉報渠道；未按照法律法規(guī)要求或App承諾時限受理并處理用戶個人信息投訴、舉報。

結語

以上以案例分析方式為判別App違法違規(guī)收集使用個人信息行為提供參考，便于App運營者和網(wǎng)民了解《認定方法》條款之所指，從而更有針對性地提升保護個人信息水平和能力。同時，建議對App違法違規(guī)收集使用個人信息行為進行認定時應當秉承科學、客觀、審慎的態(tài)度，以現(xiàn)有法律法規(guī)為根本依據(jù)，對于發(fā)現(xiàn)的問題需全面分析得出結論。比如，問題是否具備典型性、是否為普遍性問題、是否已存在解決方案、對個人權益的影響程度、對產(chǎn)業(yè)生態(tài)可能帶來的影響等等。

個人信息保護的問題，已經(jīng)開始步入“深水區(qū)”，而這其中對于個人信息保護與開發(fā)利用、產(chǎn)業(yè)生態(tài)創(chuàng)新與發(fā)展等方面的探討將更加深入、復雜、具體。安全從來不是一個“孤立”的問題，如何以“治理工作”為契機，探索適應于當下安全態(tài)勢和輿情趨勢、有利于遏制違法違規(guī)亂象、有助于保障產(chǎn)業(yè)高質量發(fā)展的持續(xù)監(jiān)督機制，是“當務之急”，也是“長久之計”。

（來源：“App個人信息舉報”微信公眾號）