《App違法違規收集使用個人資訊行為認定方法(徵求意見稿)》發佈

各有關單位及專家:

  落實《關於開展App違法違規收集使用個人資訊專項治理的公告》,App專項治理工作組在中央網信辦、工信部、公安部、市場監管總局指導下,開展了App違法違規收集使用個人資訊安全評估,發現一些App存在強制授權、過度索權、超範圍收集個人資訊等問題。

  為了明確界定App收集使用個人資訊方面的違法違規行為,為App運營者自查自糾提供指引,為App評估和處置提供參考,App專項治理工作組起草了《App違法違規收集使用個人資訊行為認定方法(徵求意見稿)》,現向社會公開徵求意見。公眾可通過以下途徑提出反饋意見:

  1.電子郵箱:pip-02@tc260.org.cn,郵件主題請註明“認定方法徵求意見”

  2.通信地址:北京市東城區朝陽門內大街225號636辦公室,郵編:100010,請在信封上註明“認定方法徵求意見”。

  意見反饋截止日期為2019年5月26日。

  App專項治理工作組

  2019年5月5日

4.jpg

App違法違規收集使用個人資訊行為認定方法(徵求意見稿)

  落實《關於開展App違法違規收集使用個人資訊專項治理的公告》,依據《網路安全法》等法律法規,參照國家標準《個人資訊安全規範》,制定本文件。

  一、沒有公開收集使用規則的情形

  1.沒有隱私政策、用戶協議,或者隱私政策、用戶協議中沒有相關收集使用規則的內容;

  2.在App安裝、使用等過程中均未通過彈窗、連結等方式提示用戶閱讀隱私政策,或隱私政策連結無效、文本無法正常顯示;

  3.進入App主功能界面後,多於4次點擊、滑動才能訪問到隱私政策;

  4.其他違反公開收集使用規則要求的情形。

  二、沒有明示收集使用個人資訊的目的、方式和範圍的情形

  1.收集使用資訊的目的違反合法、正當、必要原則,如僅僅以改善程式功能、提高用戶體驗、定向推送等為目的收集用戶個人資訊;

  2.沒有逐一列出收集個人資訊的類型、頻率,特別是針對個人敏感資訊;

  3.收集使用個人資訊的目的、方式和範圍發生變化,未以適當方式通知用戶,適當方式包括更新隱私政策並提醒用戶重新閱讀授權等;

  4.在申請可收集個人資訊的許可權時,未告知收集使用的目的,如在申請調閱通訊錄時沒有説明原因;

  5.每次要求用戶提供個人敏感資訊時,如身份證號、銀行卡號等,未同步實時説明原因;

  6.有關收集使用規則的內容晦澀難懂、冗長繁瑣;

  7.其他沒有明示收集使用個人資訊的目的、方式和範圍的情形。

  三、未經同意收集使用個人資訊的情形

  1.未經同意就開始收集個人資訊,如App首次運作、提示用戶閱讀隱私政策前就開始收集個人資訊;

  2.用戶明確拒絕後,仍收集個人資訊,如用戶不同意被收集地理位置資訊時仍然收集;

  3.實際收集使用的個人資訊超出用戶授權的範圍;

  4.利用用戶資訊和演算法定向推送新聞、廣告等,未提供終止定向推送的選項;

  5.未經用戶同意,私自調用可收集用戶個人資訊許可權;

  6.在未打開或使用App時,App後臺調用用戶個人資訊;

  7.未經用戶同意私自更改用戶設置的許可權,包括App更新時將用戶設置的許可權恢復到默認狀態;

  8.用戶明確拒絕App收集個人資訊請求,App仍頻繁徵求用戶同意,干擾用戶正常使用;

  9.違背與用戶約定,不按隱私政策中的收集使用規則收集使用個人資訊;

  10.其他未經同意收集使用個人資訊的情形。

  四、違反必要性原則,收集與其提供的服務無關的個人資訊的情形

  1.實際收集的個人資訊類型與現有業務功能無關,無關是指該類資訊並非實現現有業務功能所必需;

  2.在用戶使用業務功能時,收集個人資訊的頻率等超出所使用的業務功能需要;

  3.捆綁多項業務功能所有徵求用戶同意,不同意則不提供任何單一服務;

  4.當用戶拒絕某一業務功能收集個人資訊的請求時,App停止提供其他業務功能;

  5.如提供未經註冊即可使用(如支援瀏覽、遊客模式)的業務功能,用戶若不同意收集此類業務功能所需以外的個人資訊,App拒絕提供所有服務;

  6.新增業務功能時,需收集的個人資訊超出原有同意範圍,如用戶不同意收集,則拒絕提供原有業務功能,新增業務功能將取代原有業務功能的除外;

  7.申請打開可收集無關資訊的許可權;

  8.其他收集與其提供的服務無關的個人資訊的情形。

  五、未經同意向他人提供個人資訊的情形

  1.未經同意,且未做匿名化處理,從客戶端直接向第三方提供個人資訊,包括App客戶端嵌入第三方代碼、插件(如sdk)等方式向第三方提供;

  2.數據傳輸至App伺服器後,未經同意,且未經匿名化處理,向第三方提供其收集的個人資訊;

  3.其他未經同意向他人提供個人資訊的情形。

  六、未按法律規定提供刪除或更正個人資訊功能的情形

  1.未提供更正、刪除個人資訊,登出用戶賬號的功能;

  2.對於提供線上操作方式、客服電話、電子郵件等方式的,進行相關操作未響應的;

  3.需人工處理的,受理後未在承諾時限內(無承諾時限的,以15個工作日為限)完成核查和處理的;

  4.更正、刪除或登出操作提示完成後,依然未能更正、刪除個人資訊,登出用戶賬號的;

  5.其他未採取措施予以刪除或者更正的情形。

  七、侵犯未成年人在網路空間合法權益的情形

  1. 未經監護人同意,收集使用14 周歲以下(含)未成年人個人資訊;

  2. 未經監護人同意,利用14 周歲以下(含)未成年人資訊和演算法開展個性化推送新聞、時政資訊、廣告等定向推送活動。

未經允許不得轉載:網信浙江 » 《App違法違規收集使用個人資訊行為認定方法(徵求意見稿)》發佈

微信二維碼,掃一掃關注