原標題：App違法違規收集使用個人信息認定方法出爐：這六類是紅線

《App違法違規收集使用個人信息行爲認定方法》正式出爐。

12月30日，中國網信網公佈了關於印發《App違法違規收集使用個人信息行爲認定方法》（簡稱：《方法》）的通知。

通知顯示，根據《關於開展App違法違規收集使用個人信息專項治理的公告》，爲認定App違法違規收集使用個人信息行爲提供參考，落實《網絡安全法》等法律法規，國家互聯網信息辦公室、工業和信息化部、公安部、市場監管總局聯合制定了《App違法違規收集使用個人信息行爲認定方法》。

此次正式發佈的《App違法違規收集使用個人信息行爲認定方法》有六個要點，分別詳細介紹了可被認定爲“未公開收集使用規則”的行爲，可被認定爲“未明示收集使用個人信息的目的、方式和範圍”的行爲，可被認定爲“未經用戶同意收集使用個人信息”的行爲，可被認定爲“違反必要原則，收集與其提供的服務無關的個人信息”的行爲，可被認定爲“未經同意向他人提供個人信息”的行爲，以及可被認定爲“未按法律規定提供刪除或更正個人信息功能”或“未公佈投訴、舉報方式等信息”的行爲。

大成律師事務所高級合夥人鄧志松告訴澎湃新聞（www.thepaper.cn）記者，

《App違法違規收集使用個人信息行爲認定方法》系《網絡安全法》框架下針對目前廣泛應用的App的個人信息保護配套性規章，違規者將面臨《網絡安全法》項下的法律責任。

《方法》在通知介紹，稱是爲了“落實《網絡安全法》等法律法規”，其列舉的六個條款也分別對應《網絡安全法》第41條、第42條、第43條和第49條的相關規定。因此，違反《方法》的App運營者可能面臨《網絡安全法》項下的責令改正、警告、沒收違法所得、罰款、責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照等法律責任。

鄧志松介紹，《方法》列舉了主要違法違規行爲，可以爲App運營者提供合規指引。《方法》的內容分爲六個部分，基本覆蓋了App運營者收集、使用用戶個人信息的所有場景，包括隱私政策的發佈、用戶同意的獲取、必要性原則的把握、數據共享的界限、用戶權利的保障及投訴舉報機制等。

“App運營者可以對照《方法》進行自查自糾，從而避免相應的法律風險。”鄧志松說。

具體而言，在申請打開可收集個人信息的權限，或申請收集用戶身份證號、銀行賬號、行蹤軌跡等個人敏感信息時，未同步告知用戶其目的，或者目的不明確、難以理解，這一行爲可被認定爲“未明示收集使用個人信息的目的、方式和範圍”。

用戶明確表示不同意後，仍收集個人信息或打開可收集個人信息的權限，或頻繁徵求用戶同意、干擾用戶正常使用；利用用戶個人信息和算法定向推送信息，未提供非定向推送信息的選項；未向用戶提供撤回同意收集個人信息的途徑、方式，這些行爲可被認定爲“未經用戶同意收集使用個人信息”。

App接入第三方應用，未經用戶同意，向第三方應用提供個人信息；既未經用戶同意，也未做匿名化處理，數據傳輸至App後臺服務器後，向第三方提供其收集的個人信息，這些行爲可被認定爲“未經同意向他人提供個人信息”。

《App違法違規收集使用個人信息行爲認定方法》也明確了App在用戶賬戶註銷方面的要求，若未提供有效的更正、刪除個人信息及註銷用戶賬號功能，雖提供了更正、刪除個人信息及註銷用戶賬號功能，但未及時響應用戶相應操作，需人工處理的，未在承諾時限內（承諾時限不得超過15個工作日，無承諾時限的，以15個工作日爲限）完成核查和處理，這些行爲會被認定爲“未按法律規定提供刪除或更正個人信息功能”。

澎湃新聞記者注意到，相較於5月份發佈的《App違法違規收集使用個人信息行爲認定方法（徵求意見稿），此次發佈的正式文件，減少了徵求意見稿中的第七點，“侵犯未成年人在網絡空間合法權益的情形”，包括未經監護人同意，收集使用14 週歲以下（含）未成年人個人信息；未經監護人同意，利用14 週歲以下（含）未成年人信息和算法開展個性化推送新聞、時政信息、廣告等定向推送活動。

不過，今年10月，中央網信辦發佈了《兒童個人信息網絡保護規定》，這是我國第一部專門針對兒童網絡保護的立法，並於10月1日正式施行。

今年以來，相關監管部門一直在推進個人信息保護方面的工作。

1月份，中央網信辦、工信部、公安部和市場監管總局發佈了《關於開展App違法違規收集使用個人信息專項治理的公告》。四部門決定自2019年1月至12月，在全國範圍內組織開展App違法違規收集使用個人信息專項治理行動。

根據四部門聯合發佈的《關於開展App違法違規收集使用個人信息專項治理的公告》，受中央網信辦、工業和信息化部、公安部、市場監管總局委託，全國信息安全標準化技術委員會、中國消費者協會、中國互聯網協會、中國網絡空間安全協會成立App專項治理工作組。

依照《關於開展App違法違規收集使用個人信息專項治理的公告》，有關主管部門加強對違法違規收集使用個人信息行爲的監管和處罰，對強制、過度收集個人信息，未經消費者同意、違反法律法規規定和雙方約定收集、使用個人信息，發生或可能發生信息泄露、丟失而未採取補救措施，非法出售、非法向他人提供個人信息等行爲，按照《網絡安全法》《消費者權益保護法》等依法予以處罰，包括責令App運營者限期整改；逾期不改的，公開曝光；情節嚴重的，依法暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照。公安機關開展打擊整治網絡侵犯公民個人信息違法犯罪專項工作，依法嚴厲打擊針對和利用個人信息的違法犯罪行爲。

在相關監管部門加強打擊違法違規手機個人信息行爲的同時，專門的App違法違規收集使用個人信息行爲認定方法呼之欲出。

據新華社4月份報道，中央網信辦、工信部、公安部、市場監管總局高度重視個人信息保護工作，針對當前App強制授權、過度索權、超範圍收集個人信息等網民反映強烈的問題，將抓緊出臺必要的管理規範和相關標準。

據中國網信網，自2019年以來，App專項治理工作組根據公衆舉報情況，對各類收集使用個人信息保護問題進行歸納、梳理，重點參照《網絡安全法》等相關法律法規要求和個人信息保護相關國家標準，制定、完善了一系列技術規範和標準文本，爲相關監管部門界定違法違規收集使用個人信息行爲以及App運營者整改提升提供重要參考，也爲開展App違法違規收集使用個人信息評估工作和指導企業整改提供重要支撐。

相關文件主要包括： 2019年3月，編制併發布《App違法違規收集使用個人信息自評估指南》，2019年5月，編制並公佈《App違法違規收集使用個人信息行爲認定方法（徵求意見稿）》， 2019年10月，結合評估工作實踐和各方徵求意見，更新並公開GB/T 35273《信息安全技術 個人信息安全規範（最新徵求意見稿）》， 2019年10月，結合評估工作實踐和各方徵求意見，更新並公開《移動互聯網應用程序（App）收集個人信息基本規範（最新草案）》。

附：App違法違規收集使用個人信息行爲認定方法

根據《關於開展App違法違規收集使用個人信息專項治理的公告》，爲監督管理部門認定App違法違規收集使用個人信息行爲提供參考，爲App運營者自查自糾和網民社會監督提供指引，落實《網絡安全法》等法律法規，制定本方法。

一、以下行爲可被認定爲“未公開收集使用規則”

1．在App中沒有隱私政策，或者隱私政策中沒有收集使用個人信息規則；

2．在App首次運行時未通過彈窗等明顯方式提示用戶閱讀隱私政策等收集使用規則；

3．隱私政策等收集使用規則難以訪問，如進入App主界面後，需多於4次點擊等操作才能訪問到；

4．隱私政策等收集使用規則難以閱讀，如文字過小過密、顏色過淡、模糊不清，或未提供簡體中文版等。

二、以下行爲可被認定爲“未明示收集使用個人信息的目的、方式和範圍”

1．未逐一列出App（包括委託的第三方或嵌入的第三方代碼、插件）收集使用個人信息的目的、方式、範圍等；

2．收集使用個人信息的目的、方式、範圍發生變化時，未以適當方式通知用戶，適當方式包括更新隱私政策等收集使用規則並提醒用戶閱讀等；

3．在申請打開可收集個人信息的權限，或申請收集用戶身份證號、銀行賬號、行蹤軌跡等個人敏感信息時，未同步告知用戶其目的，或者目的不明確、難以理解；

4．有關收集使用規則的內容晦澀難懂、冗長繁瑣，用戶難以理解，如使用大量專業術語等。

三、以下行爲可被認定爲“未經用戶同意收集使用個人信息”

1．徵得用戶同意前就開始收集個人信息或打開可收集個人信息的權限；

2．用戶明確表示不同意後，仍收集個人信息或打開可收集個人信息的權限，或頻繁徵求用戶同意、干擾用戶正常使用；

3．實際收集的個人信息或打開的可收集個人信息權限超出用戶授權範圍；

4．以默認選擇同意隱私政策等非明示方式徵求用戶同意；

5．未經用戶同意更改其設置的可收集個人信息權限狀態，如App更新時自動將用戶設置的權限恢復到默認狀態；

6．利用用戶個人信息和算法定向推送信息，未提供非定向推送信息的選項；

7．以欺詐、誘騙等不正當方式誤導用戶同意收集個人信息或打開可收集個人信息的權限，如故意欺瞞、掩飾收集使用個人信息的真實目的；

8．未向用戶提供撤回同意收集個人信息的途徑、方式；

9．違反其所聲明的收集使用規則，收集使用個人信息。

四、以下行爲可被認定爲“違反必要原則，收集與其提供的服務無關的個人信息”

1．收集的個人信息類型或打開的可收集個人信息權限與現有業務功能無關；

2．因用戶不同意收集非必要個人信息或打開非必要權限，拒絕提供業務功能；

3.App新增業務功能申請收集的個人信息超出用戶原有同意範圍，若用戶不同意，則拒絕提供原有業務功能，新增業務功能取代原有業務功能的除外；

4．收集個人信息的頻度等超出業務功能實際需要；

5．僅以改善服務質量、提升用戶體驗、定向推送信息、研發新產品等爲由，強制要求用戶同意收集個人信息；

6．要求用戶一次性同意打開多個可收集個人信息的權限，用戶不同意則無法使用。

五、以下行爲可被認定爲“未經同意向他人提供個人信息”

1．既未經用戶同意，也未做匿名化處理，App客戶端直接向第三方提供個人信息，包括通過客戶端嵌入的第三方代碼、插件等方式向第三方提供個人信息；

2．既未經用戶同意，也未做匿名化處理，數據傳輸至App後臺服務器後，向第三方提供其收集的個人信息；

3.App接入第三方應用，未經用戶同意，向第三方應用提供個人信息。

六、以下行爲可被認定爲“未按法律規定提供刪除或更正個人信息功能”或“未公佈投訴、舉報方式等信息”

1．未提供有效的更正、刪除個人信息及註銷用戶賬號功能；

2．爲更正、刪除個人信息或註銷用戶賬號設置不必要或不合理條件；

3．雖提供了更正、刪除個人信息及註銷用戶賬號功能，但未及時響應用戶相應操作，需人工處理的，未在承諾時限內（承諾時限不得超過15個工作日，無承諾時限的，以15個工作日爲限）完成核查和處理；

4．更正、刪除個人信息或註銷用戶賬號等用戶操作已執行完畢，但App後臺並未完成的；

5．未建立並公佈個人信息安全投訴、舉報渠道，或未在承諾時限內（承諾時限不得超過15個工作日，無承諾時限的，以15個工作日爲限）受理並處理的。