雷鋒網(wǎng)消息，12 月 30 日，國家互聯(lián)網(wǎng)信息辦公室、工信部等四部門聯(lián)合印發(fā)《 App 違法違規(guī)收集使用個人信息行為認定方法》（下稱《辦法》）。

《方法》提出，征得用戶同意前就開始收集個人信息或打開可收集個人信息的權(quán)限、實際收集的個人信息或打開的可收集個人信息權(quán)限超出用戶授權(quán)范圍等行為可被認定為“未經(jīng)用戶同意收集使用個人信息”。

《方法》共包括“未公開收集使用規(guī)則”、“未經(jīng)用戶同意收集使用個人信息”、“未按法律規(guī)定提供刪除或更正個人信息功能”或“未公布投訴、舉報方式等信息”等 6 大項認定準則，共 31 種場景。

其中，征得用戶同意前就開始收集個人信息或打開可收集個人信息的權(quán)限、實際收集的個人信息或打開的可收集個人信息權(quán)限超出用戶授權(quán)范圍等行為可被認定為“未經(jīng)用戶同意收集使用個人信息”。

《方法》對于“未經(jīng)同意向他人提供個人信息”也做出了認定細則規(guī)定，包括 App 接入第三方應(yīng)用，未經(jīng)用戶同意，向第三方應(yīng)用提供個人信息；既未經(jīng)用戶同意，也未做匿名化處理，數(shù)據(jù)傳輸至 App 后臺服務(wù)器后，向第三方提供其收集的個人信息等情況。

今年以來，針對無隱私協(xié)議、收集使用個人信息范圍描述不清、超范圍采集個人信息和非必要采集個人信息等情形，全國公安機關(guān)網(wǎng)安部門整改了 100 款違法違規(guī) App 及其運營的互聯(lián)網(wǎng)企業(yè)。責(zé)令限期整改 27 款，處以警告處罰 63 款，處以罰款處罰 10 款，另有 2 款被立為刑事案件開展偵查，相關(guān)案件正在偵查中。

這樣看來，違規(guī) App 們的好日子 “一去不復(fù)返”了。

附全文：

App 違法違規(guī)收集使用個人信息行為認定方法

根據(jù)《關(guān)于開展 App 違法違規(guī)收集使用個人信息專項治理的公告》，為監(jiān)督管理部門認定 App 違法違規(guī)收集使用個人信息行為提供參考，為 App 運營者自查自糾和網(wǎng)民社會監(jiān)督提供指引，落實《網(wǎng)絡(luò)安全法》等法律法規(guī)，制定本方法。

一、以下行為可被認定為“未公開收集使用規(guī)則”

1.在 App 中沒有隱私政策，或者隱私政策中沒有收集使用個人信息規(guī)則；

2.在 App 首次運行時未通過彈窗等明顯方式提示用戶閱讀隱私政策等收集使用規(guī)則；

3.隱私政策等收集使用規(guī)則難以訪問，如進入 App 主界面后，需多于 4 次點擊等操作才能訪問到；

4.隱私政策等收集使用規(guī)則難以閱讀，如文字過小過密、顏色過淡、模糊不清，或未提供簡體中文版等。

二、以下行為可被認定為“未明示收集使用個人信息的目的、方式和范圍”

1.未逐一列出 App（包括委托的第三方或嵌入的第三方代碼、插件）收集使用個人信息的目的、方式、范圍等；

2.收集使用個人信息的目的、方式、范圍發(fā)生變化時，未以適當方式通知用戶，適當方式包括更新隱私政策等收集使用規(guī)則并提醒用戶閱讀等；

3.在申請打開可收集個人信息的權(quán)限，或申請收集用戶身份證號、銀行賬號、行蹤軌跡等個人敏感信息時，未同步告知用戶其目的，或者目的不明確、難以理解；

4.有關(guān)收集使用規(guī)則的內(nèi)容晦澀難懂、冗長繁瑣，用戶難以理解，如使用大量專業(yè)術(shù)語等。

三、以下行為可被認定為“未經(jīng)用戶同意收集使用個人信息”

1.征得用戶同意前就開始收集個人信息或打開可收集個人信息的權(quán)限；

2.用戶明確表示不同意后，仍收集個人信息或打開可收集個人信息的權(quán)限，或頻繁征求用戶同意、干擾用戶正常使用；

3.實際收集的個人信息或打開的可收集個人信息權(quán)限超出用戶授權(quán)范圍；

4.以默認選擇同意隱私政策等非明示方式征求用戶同意；

5.未經(jīng)用戶同意更改其設(shè)置的可收集個人信息權(quán)限狀態(tài)，如 App 更新時自動將用戶設(shè)置的權(quán)限恢復(fù)到默認狀態(tài)；

6.利用用戶個人信息和算法定向推送信息，未提供非定向推送信息的選項；

7.以欺詐、誘騙等不正當方式誤導(dǎo)用戶同意收集個人信息或打開可收集個人信息的權(quán)限，如故意欺瞞、掩飾收集使用個人信息的真實目的；

8.未向用戶提供撤回同意收集個人信息的途徑、方式；

9.違反其所聲明的收集使用規(guī)則，收集使用個人信息。

四、以下行為可被認定為“違反必要原則，收集與其提供的服務(wù)無關(guān)的個人信息”

1.收集的個人信息類型或打開的可收集個人信息權(quán)限與現(xiàn)有業(yè)務(wù)功能無關(guān)；

2.因用戶不同意收集非必要個人信息或打開非必要權(quán)限，拒絕提供業(yè)務(wù)功能；

3. App 新增業(yè)務(wù)功能申請收集的個人信息超出用戶原有同意范圍，若用戶不同意，則拒絕提供原有業(yè)務(wù)功能，新增業(yè)務(wù)功能取代原有業(yè)務(wù)功能的除外；

4.收集個人信息的頻度等超出業(yè)務(wù)功能實際需要；

5.僅以改善服務(wù)質(zhì)量、提升用戶體驗、定向推送信息、研發(fā)新產(chǎn)品等為由，強制要求用戶同意收集個人信息；

6.要求用戶一次性同意打開多個可收集個人信息的權(quán)限，用戶不同意則無法使用。

五、以下行為可被認定為“未經(jīng)同意向他人提供個人信息”

1.既未經(jīng)用戶同意，也未做匿名化處理，App 客戶端直接向第三方提供個人信息，包括通過客戶端嵌入的第三方代碼、插件等方式向第三方提供個人信息；

2.既未經(jīng)用戶同意，也未做匿名化處理，數(shù)據(jù)傳輸至App后臺服務(wù)器后，向第三方提供其收集的個人信息；

3.App接入第三方應(yīng)用，未經(jīng)用戶同意，向第三方應(yīng)用提供個人信息。

六、以下行為可被認定為“未按法律規(guī)定提供刪除或更正個人信息功能”或“未公布投訴、舉報方式等信息”

1.未提供有效的更正、刪除個人信息及注銷用戶賬號功能；

2.為更正、刪除個人信息或注銷用戶賬號設(shè)置不必要或不合理條件；

3.雖提供了更正、刪除個人信息及注銷用戶賬號功能，但未及時響應(yīng)用戶相應(yīng)操作，需人工處理的，未在承諾時限內(nèi)（承諾時限不得超過 15 個工作日，無承諾時限的，以 15 個工作日為限）完成核查和處理；

4.更正、刪除個人信息或注銷用戶賬號等用戶操作已執(zhí)行完畢，但 App 后臺并未完成的；

5.未建立并公布個人信息安全投訴、舉報渠道，或未在承諾時限內(nèi)（承諾時限不得超過 15 個工作日，無承諾時限的，以 15 個工作日為限）受理并處理的。

參考來源：搜狐網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。