App违法违规收集使用个人信息如何认定？最新细则来了！

　　12月30日，中国网信网发布了近日由国家互联网信息办公室、工业和信息化部、公安部、国家市场监管总局联合制定的《APP违法违规收集使用个人信息行为认定方法》（下称《办法》）。该《办法》印发予各省、自治区、直辖市及新疆生产建设兵团网信办、通信管理局、公安厅（局）、市场监管局（厅、委），结合监管和执法工作实际参考执行。

　　《办法》对于“未公开收集使用规则”、“未明示收集使用个人信息的目的、方式和范围”、“未经用户同意收集使用个人信息”、“违反必要原则，收集与其提供的服务无关的个人信息”、“未经同意向他人提供个人信息”、“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”这六类违规行为的认定办法作出了明确说明。

　　比如，以下四种行为可被认定为“未公开收集使用规则”：

　　其一，在App中没有隐私政策，或者隐私政策中没有收集使用个人信息规则；

　　其二，在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；

　　其三，隐私政策等收集使用规则难以访问，如进入App主界面后，需多于4次点击等操作才能访问到；

　　其四，隐私政策等收集使用规则难以阅读，如文字过小过密、颜色过淡、模糊不清，或未提供简体中文版等。

　　《国际金融报》记者随机选取3款APP测试发现，在首次运行时都会通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则，用户在确认后能进行注册等下一步操作。而进入App主界面后，都通过4次点击操作能访问到隐私政策等收集使用规则，但是需要自己寻找正确的隐私政策入口。

　　此前，业界曾呼吁监管部门能出台针对关于“违反必要原则，收集与其提供的服务无关的个人信息”的细则，而具体认定办法在此次正式对外公布的《办法》中也有体现，共涉及六类行为：

　　第一，收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关；

　　第二，因用户不同意收集非必要个人信息或打开非必要权限，拒绝提供业务功能；

　　第三，App新增业务功能申请收集的个人信息超出用户原有同意范围，若用户不同意，则拒绝提供原有业务功能，新增业务功能取代原有业务功能的除外；

　　第四，收集个人信息的频度等超出业务功能实际需要；

　　第五，仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，强制要求用户同意收集个人信息；

　　第六，要求用户一次性同意打开多个可收集个人信息的权限，用户不同意则无法使用。

　　除此之外，《办法》中还列出了可被认定为“未明示收集使用个人信息的目的、方式和范围”的行为，具体包括：

　　一是未逐一列出App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等；

　　二是收集使用个人信息的目的、方式、范围发生变化时，未以适当方式通知用户，适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等；

　　三是在申请打开可收集个人信息的权限，或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时，未同步告知用户其目的，或者目的不明确、难以理解；

　　四是有关收集使用规则的内容晦涩难懂、冗长繁琐，用户难以理解，如使用大量专业术语等。