App违法违规收集使用个人信息行为认定方法

近年来，APP在采集和泄露数据信息方面出现了不少安全问题。2019年1月，中央网信办、工业和信息化部、公安部、市场监管总局4部门组织开展了APP违法违规收集使用个人信息专项治理。通过对百余款用户投诉量大、社会关注度高的APP检查评估，发现存在强制授权、过度索权、未经同意收集个人信息和对外提供个人信息等典型问题，并督促企业及时整改。

2018年12月以来，国家网信办针对涉黄涉赌、恶意程序、违规游戏、不良学习类移动APP开展专项整治行动，这期间，重点检测游戏、壁纸、工具、电子读物等受众广、风险高的应用程序，发现“全民切水果”等程序通过隐蔽执行、欺骗用户点击等方式，造成用户经济损失；“作业狗”等学习类APP存在色情低俗内容，严重影响了青少年群体的身心健康。

2019年11月28日，国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、市场监管总局办公厅印发《App违法违规收集使用个人信息行为认定方法》的通知，根据《关于开展App违法违规收集使用个人信息专项治理的公告》，为监督管理部门认定App违法违规收集使用个人信息行为提供参考，为App运营者自查自纠和网民社会监督提供指引，落实《网络安全法》等法律法规，制定本方法。

一、以下行为可被认定为“未公开收集使用规则”
1.在App中没有隐私政策，或者隐私政策中没有收集使用个人信息规则；
2.在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；
3.隐私政策等收集使用规则难以访问，如进入App主界面后，需多于4次点击等操作才能访问到；
4.隐私政策等收集使用规则难以阅读，如文字过小过密、颜色过淡、模糊不清，或未提供简体中文版等。

二、以下行为可被认定为“未明示收集使用个人信息的目的、方式和范围”
1.未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等；
2.收集使用个人信息的目的、方式、范围发生变化时，未以适当方式通知用户，适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等；
3.在申请打开可收集个人信息的权限，或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时，未同步告知用户其目的，或者目的不明确、难以理解；
4.有关收集使用规则的内容晦涩难懂、冗长繁琐，用户难以理解，如使用大量专业术语等。

三、以下行为可被认定为“未经用户同意收集使用个人信息”
1.征得用户同意前就开始收集个人信息或打开可收集个人信息的权限；
2.用户明确表示不同意后，仍收集个人信息或打开可收集个人信息的权限，或频繁征求用户同意、干扰用户正常使用；
3.实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围；
4.以默认选择同意隐私政策等非明示方式征求用户同意；
5.未经用户同意更改其设置的可收集个人信息权限状态，如App更新时自动将用户设置的权限恢复到默认状态；
6.利用用户个人信息和算法定向推送信息，未提供非定向推送信息的选项；
7.以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限，如故意欺瞒、掩饰收集使用个人信息的真实目的；
8.未向用户提供撤回同意收集个人信息的途径、方式；
9.违反其所声明的收集使用规则，收集使用个人信息。

四、以下行为可被认定为“违反必要原则，收集与其提供的服务无关的个人信息”
1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关；
2.因用户不同意收集非必要个人信息或打开非必要权限，拒绝提供业务功能；
3.App新增业务功能申请收集的个人信息超出用户原有同意范围，若用户不同意，则拒绝提供原有业务功能，新增业务功能取代原有业务功能的除外；
4.收集个人信息的频度等超出业务功能实际需要；
5.仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，强制要求用户同意收集个人信息；
6.要求用户一次性同意打开多个可收集个人信息的权限，用户不同意则无法使用。

五、以下行为可被认定为“未经同意向他人提供个人信息”
1.既未经用户同意，也未做匿名化处理，App客户端直接向第三方提供个人信息，包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息；
2.既未经用户同意，也未做匿名化处理，数据传输至App后台服务器后，向第三方提供其收集的个人信息；
3.App接入第三方应用，未经用户同意，向第三方应用提供个人信息。

六、以下行为可被认定为“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”
1.未提供有效的更正、删除个人信息及注销用户账号功能；
2.为更正、删除个人信息或注销用户账号设置不必要或不合理条件；
3.虽提供了更正、删除个人信息及注销用户账号功能，但未及时响应用户相应操作，需人工处理的，未在承诺时限内（承诺时限不得超过15个工作日，无承诺时限的，以15个工作日为限）完成核查和处理；
4.更正、删除个人信息或注销用户账号等用户操作已执行完毕，但App后台并未完成的；
5.未建立并公布个人信息安全投诉、举报渠道，或未在承诺时限内（承诺时限不得超过15个工作日，无承诺时限的，以15个工作日为限）受理并处理的。

2020年，国家计算机病毒应急处理中心在“净网2020”专项行动中通过监测发现，违法违规移动应用具体如下：

1：未向用户明示申请的全部隐私权限。
具体App如下：
《锦江酒店》（版本5.0.2）《自如》（版本6.7.3）《泊寓》（版本4.11.2）《巴乐兔租房》（版本5.2.5）《途牛旅游》（版本10.26.0）《同程旅游》（版本9.2.8.1）《携程旅行》 （版本8.22.2）《去哪儿攻略》（版本5.9.0）《日租房客栈-民宿》（版本3.1.4）《无纸化会议》（版本3.0）《全时云会议》（版本5.0.200323）

《左邻会议安卓版》（版本7.3.0）《云际会议》（版本V2.8.1.0）《小鱼易连》（版本2.28.12-6882）《V智会会务版》（版本2.5.7）《31会议助手安卓版》（版本7.6.4.1 ）《飞书会议》（版本1.2.1）《好视通云会议》（版本3.22.1.7）《开会宝视频会议》（版本3.6.2）《联盒会议》（版本1.2.3）

2：未说明收集使用个人信息规则。
具体App如下：
《V智会会务版》（版本2.5.7）《巴乐兔租房》（版本5.2.5）《泊寓》（版本4.11.2）《锦江酒店》（版本5.0.2）《自如》（版本6.7.3）

3：未提供有效的更正、删除个人信息及注销用户账号功能。
具体App如下：
《泊寓》（版本4.11.2）《好视通云会议》（版本3.22.1.7）《开会宝视频会议》（版本3.6.2）《联盒会议》（版本1.2.3）

4：未建立并公布个人信息安全投诉、举报渠道，或未在承诺时限内受理并处理。
具体App如下：
《同程旅游》（版本9.2.8.1）《我爱我家》（版本4.5.1）《携程旅行》（版本8.22.2）《V智会会务版》（版本2.5.7）《锦江酒店》（版本5.0.2）