《App違法違規收集使用個人信息行為認定方法》是為認定App違法違規收集使用個人信息行為提供參考,根據《關於開展App違法違規收集使用個人信息專項治理的公告》而制定的法規。
2019年11月28日,國家網際網路信息辦公室、工業和信息化部、公安部、市場監管總局聯合制定了《App違法違規收集使用個人信息行為認定方法》,自印發之日起實施。
基本介紹
- 中文名:App違法違規收集使用個人信息行為認定方法
- 發布機構:國家網際網路信息辦公室、工業和信息化部、公安部、市場監管總局
- 發布時間:2019年11月28日
- 實施日期:2019年11月28日
辦法全文,內容解讀,
辦法全文
關於印發《App違法違規收集使用個人信息行為認定方法》的通知
國信辦秘字〔2019〕191號
各省、自治區、直轄市及新疆生產建設兵團網信辦、通信管理局、公安廳(局)、市場監管局(廳、委):
根據《關於開展App違法違規收集使用個人信息專項治理的公告》,為認定App違法違規收集使用個人信息行為提供參考,落實《網路安全法》等法律法規,國家網際網路信息辦公室、工業和信息化部、公安部、市場監管總局聯合制定了《App違法違規收集使用個人信息行為認定方法》。現印發你們,請結合監管和執法工作實際參考執行。
國家網際網路信息辦公室秘書局
工業和信息化部辦公廳
公安部辦公廳
市場監管總局辦公廳
2019年11月28日。
App違法違規收集使用個人信息行為認定方法
一、以下行為可被認定為“未公開收集使用規則”
1.在App中沒有隱私政策,或者隱私政策中沒有收集使用個人信息規則;
2.在App首次運行時未通過彈窗等明顯方式提示用戶閱讀隱私政策等收集使用規則;
3.隱私政策等收集使用規則難以訪問,如進入App主界面後,需多於4次點擊等操作才能訪問到;
4.隱私政策等收集使用規則難以閱讀,如文字過小過密、顏色過淡、模糊不清,或未提供簡體中文版等。
二、以下行為可被認定為“未明示收集使用個人信息的目的、方式和範圍”
1.未逐一列出App(包括委託的第三方或嵌入的第三方代碼、外掛程式)收集使用個人信息的目的、方式、範圍等;
2.收集使用個人信息的目的、方式、範圍發生變化時,未以適當方式通知用戶,適當方式包括更新隱私政策等收集使用規則並提醒用戶閱讀等;
3.在申請打開可收集個人信息的許可權,或申請收集用戶身份證號、銀行賬號、行蹤軌跡等個人敏感信息時,未同步告知用戶其目的,或者目的不明確、難以理解;
4.有關收集使用規則的內容晦澀難懂、冗長繁瑣,用戶難以理解,如使用大量專業術語等。
三、以下行為可被認定為“未經用戶同意收集使用個人信息”
1.徵得用戶同意前就開始收集個人信息或打開可收集個人信息的許可權;
2.用戶明確表示不同意後,仍收集個人信息或打開可收集個人信息的許可權,或頻繁徵求用戶同意、干擾用戶正常使用;
3.實際收集的個人信息或打開的可收集個人信息許可權超出用戶授權範圍;
4.以默認選擇同意隱私政策等非明示方式徵求用戶同意;
5.未經用戶同意更改其設定的可收集個人信息許可權狀態,如App更新時自動將用戶設定的許可權恢復到默認狀態;
6.利用用戶個人信息和算法定向推送信息,未提供非定向推送信息的選項;
7.以欺詐、誘騙等不正當方式誤導用戶同意收集個人信息或打開可收集個人信息的許可權,如故意欺瞞、掩飾收集使用個人信息的真實目的;
8.未向用戶提供撤回同意收集個人信息的途徑、方式;
9.違反其所聲明的收集使用規則,收集使用個人信息。
四、以下行為可被認定為“違反必要原則,收集與其提供的服務無關的個人信息”
1.收集的個人信息類型或打開的可收集個人信息許可權與現有業務功能無關;
2.因用戶不同意收集非必要個人信息或打開非必要許可權,拒絕提供業務功能;
3.App新增業務功能申請收集的個人信息超出用戶原有同意範圍,若用戶不同意,則拒絕提供原有業務功能,新增業務功能取代原有業務功能的除外;
4.收集個人信息的頻度等超出業務功能實際需要;
5.僅以改善服務質量、提升用戶體驗、定向推送信息、研發新產品等為由,強制要求用戶同意收集個人信息;
6.要求用戶一次性同意打開多個可收集個人信息的許可權,用戶不同意則無法使用。
五、以下行為可被認定為“未經同意向他人提供個人信息”
1.既未經用戶同意,也未做匿名化處理,App客戶端直接向第三方提供個人信息,包括通過客戶端嵌入的第三方代碼、外掛程式等方式向第三方提供個人信息;
2.既未經用戶同意,也未做匿名化處理,數據傳輸至App後台伺服器後,向第三方提供其收集的個人信息;
3.App接入第三方套用,未經用戶同意,向第三方套用提供個人信息。
六、以下行為可被認定為“未按法律規定提供刪除或更正個人信息功能”或“未公布投訴、舉報方式等信息”
1.未提供有效的更正、刪除個人信息及註銷用戶賬號功能;
2.為更正、刪除個人信息或註銷用戶賬號設定不必要或不合理條件;
3.雖提供了更正、刪除個人信息及註銷用戶賬號功能,但未及時回響用戶相應操作,需人工處理的,未在承諾時限內(承諾時限不得超過15個工作日,無承諾時限的,以15個工作日為限)完成核查和處理;
4.更正、刪除個人信息或註銷用戶賬號等用戶操作已執行完畢,但App後台並未完成的;
5.未建立並公布個人信息安全投訴、舉報渠道,或未在承諾時限內(承諾時限不得超過15個工作日,無承諾時限的,以15個工作日為限)受理並處理的。
內容解讀
2019年12月30日,中國網信網公布了關於印發《App違法違規收集使用個人信息行為認定方法》(簡稱:《方法》)的通知。
該次正式發布的《App違法違規收集使用個人信息行為認定方法》有六個要點,分別詳細介紹了可被認定為“未公開收集使用規則”的行為,可被認定為“未明示收集使用個人信息的目的、方式和範圍”的行為,可被認定為“未經用戶同意收集使用個人信息”的行為,可被認定為“違反必要原則,收集與其提供的服務無關的個人信息”的行為,可被認定為“未經同意向他人提供個人信息”的行為,以及可被認定為“未按法律規定提供刪除或更正個人信息功能”或“未公布投訴、舉報方式等信息”的行為。
《App違法違規收集使用個人信息行為認定方法》系《網路安全法》框架下針對廣泛套用的App的個人信息保護配套性規章,違規者將面臨《網路安全法》項下的法律責任。《方法》在通知介紹,稱是為了“落實《網路安全法》等法律法規”,其列舉的六個條款也分別對應《網路安全法》第41條、第42條、第43條和第49條的相關規定。因此,違反《方法》的App運營者可能面臨《網路安全法》項下的責令改正、警告、沒收違法所得、罰款、責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照等法律責任。
《方法》列舉了主要違法違規行為,可以為App運營者提供合規指引。《方法》的內容分為六個部分,基本覆蓋了App運營者收集、使用用戶個人信息的所有場景,包括隱私政策的發布、用戶同意的獲取、必要性原則的把握、數據共享的界限、用戶權利的保障及投訴舉報機制等。
