雖然《網絡安全法》實施已久
關於個人信息保護的標準和規範也不斷推出
但還是有很多APP存在打擦邊球的情況
國家網際網路信息辦公室、工業和信息化部、公安部、市場監管總局正式聯合印發《APP違法違規收集使用個人信息行為認定方法》,明確六大類違規行為。
《方法》對APP是否「違法違規」收集個人信息
有了明確的認定
那麼,到底APP的哪些行為
屬於違法違規收集個人信息呢?
官方的認定標準又是什麼呢?
APP的哪些行為
屬於違法違規收集個人信息
01
未公開收集使用規則
在App中沒有隱私政策,或者隱私政策中沒有收集使用個人信息規則;
在App首次運行時未通過彈窗等明顯方式提示用戶閱讀隱私政策等收集使用規則;
隱私政策等收集使用規則難以訪問,如進入App主介面後,需多於4次點擊等操作才能訪問到;
隱私政策等收集使用規則難以閱讀,如文字過小過密、顏色過淡、模糊不清,或未提供簡體中文版等。
02
未明示收集使用個人信息的目的、方式和範圍
未逐一列出App(包括委託的第三方或嵌入的第三方代碼、插件)收集使用個人信息的目的、方式、範圍等;
收集使用個人信息的目的、方式、範圍發生變化時,未以適當方式通知用戶,適當方式包括更新隱私政策等收集使用規則並提醒用戶閱讀等;
在申請打開可收集個人信息的權限,或申請收集用戶身份證號、銀行帳號、行蹤軌跡等個人敏感信息時,未同步告知用戶其目的,或者目的不明確、難以理解;
有關收集使用規則的內容晦澀難懂、冗長繁瑣,用戶難以理解,如使用大量專業術語等。
03
未經用戶同意收集使用個人信息
徵得用戶同意前就開始收集個人信息或打開可收集個人信息的權限;
用戶明確表示不同意後,仍收集個人信息或打開可收集個人信息的權限,或頻繁徵求用戶同意、干擾用戶正常使用;
實際收集的個人信息或打開的可收集個人信息權限超出用戶授權範圍;
以默認選擇同意隱私政策等非明示方式徵求用戶同意;
未經用戶同意更改其設置的可收集個人信息權限狀態,如App更新時自動將用戶設置的權限恢復到默認狀態;
利用用戶個人信息和算法定向推送信息,未提供非定向推送信息的選項;
以欺詐、誘騙等不正當方式誤導用戶同意收集個人信息或打開可收集個人信息的權限,如故意欺瞞、掩飾收集使用個人信息的真實目的;
未向用戶提供撤回同意收集個人信息的途徑、方式;
違反其所聲明的收集使用規則,收集使用個人信息。
04
違反必要原則,收集無關個人信息
收集的個人信息類型或打開的可收集個人信息權限與現有業務功能無關;
因用戶不同意收集非必要個人信息或打開非必要權限,拒絕提供業務功能;
App新增業務功能申請收集的個人信息超出用戶原有同意範圍,若用戶不同意,則拒絕提供原有業務功能,新增業務功能取代原有業務功能的除外;
收集個人信息的頻度等超出業務功能實際需要;
僅以改善服務質量、提升用戶體驗、定向推送信息、研發新產品等為由,強制要求用戶同意收集個人信息;
要求用戶一次性同意打開多個可收集個人信息的權限,用戶不同意則無法使用。
05
未經同意向他人提供個人信息
既未經用戶同意,也未做匿名化處理,App客戶端直接向第三方提供個人信息,包括通過客戶端嵌入的第三方代碼、插件等方式向第三方提供個人信息;
既未經用戶同意,也未做匿名化處理,數據傳輸至App後台伺服器後,向第三方提供其收集的個人信息;
App接入第三方應用,未經用戶同意,向第三方應用提供個人信息。
06
未按法律規定提供刪除或更正個人信息功能
或未公布投訴、舉報方式等信息
未提供有效的更正、刪除個人信息及註銷用戶帳號功能;
為更正、刪除個人信息或註銷用戶帳號設置不必要或不合理條件;
雖提供了更正、刪除個人信息及註銷用戶帳號功能,但未及時響應用戶相應操作,需人工處理的,未在承諾時限內(承諾時限不得超過15個工作日,無承諾時限的,以15個工作日為限)完成核查和處理;
更正、刪除個人信息或註銷用戶帳號等用戶操作已執行完畢,但App後台並未完成的;
未建立並公布個人信息安全投訴、舉報渠道,或未在承諾時限內(承諾時限不得超過15個工作日,無承諾時限的,以15個工作日為限)受理並處理的。
以往
用戶對這些隱私政策擦邊球幾乎束手無策
很多APP都是不勾選同意就無法使用服務
用戶即使有保護個人信息的意識也很難抵抗
《方法》出台之後情況就不一樣了
個人信息收集的使用規則難以訪問或難以閱讀
包括文字過小過密、顏色過淡、模糊不清
都屬於「未公開收集使用規則」
不告知用戶收集個人信息的
目的、方式和範圍不行
目的不明確或難以理解也不行
內容晦澀難懂、冗長繁瑣、大量使用專業術語
都可以被認定為
「未明示收集使用個人信息的目的、方式和範圍」
而用戶最討厭的
默認勾選、不同意就無法使用的情況
強制要求用戶同意收集個人信息的
都可被認定為
「違反必要原則,收集無關個人信息」
APP運營企業
存在突出問題將嚴查嚴管
對於當下APP運營企業存在的突出問題和消費者反映強烈的問題,四部門還將持續加強監管。
對於收集使用用戶信息違規違法的,按照《網絡安全法》《消費者權益保護法》等依法予以處罰,包括責令APP運營者限期整改;逾期不改的,公開曝光;情節嚴重的,依法暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照。
公安機關開展打擊整治網絡侵犯公民個人信息違法犯罪專項工作,依法嚴厲打擊針對和利用個人信息的違法犯罪行為。