各省@@、自治区@@、直辖市及新疆生产建设兵团网信办@@、通信管理局@@@@、公安厅@@@@(局@@)、市场监管局@@@@(厅@@、委@@):
根据@@《关于开展@@App违法违规收集使用个人信息@@专项治理的公告@@》,为@@认定@@App违法违规收集使用个人信息@@行为@@提供参考@@,落实@@《网络安全法@@》等法律法规@@,国家互联网信息办公室@@、工业和信息化部@@、公安部@@、市场监管总局@@联@@合制定了@@《App违法违规收集使用个人信息@@行为@@认定@@方法@@》。现印发你们@@,请结合监管和执法工作实际参考执行@@。
国家互联网信息办公室@@秘书局@@@@
工业和信息化部@@办公厅@@@@
公安部@@办公厅@@@@
市场监管总局@@办公厅@@@@
2019年@@11月@@28日@@
App违法违规收集使用个人信息@@行为@@认定@@方法@@
根据@@《关于开展@@App违法违规收集使用个人信息@@专项治理的公告@@》,为@@监督管理部门认定@@App违法违规收集使用个人信息@@行为@@提供参考@@,为@@App运营者自查自纠和网民社会监督提供指引@@,落实@@《网络安全法@@》等法律法规@@,制定本方法@@。
一@@、以@@下行为@@可被认定为@@@@“未公开收集使用规则@@”
1.在@@App中没有隐私政策@@,或@@者隐私政策中没有收集使用个人信息@@规则@@;
2.在@@App首次运行时未通过弹窗等明显方式@@提示用户阅读隐私政策等收集使用规则@@;
3.隐私政策等收集使用规则难以@@访问@@,如@@进入@@App主界面后@@,需多于@@4次点击等操作才能访问到@@;
4.隐私政策等收集使用规则难以@@阅读@@,如@@文字过小过密@@、颜色过淡@@、模糊不清@@,或@@未提供简体中文版等@@。
二@@、以@@下行为@@可被认定为@@@@“未明示收集使用个人信息@@的目的@@@@、方式@@和范围@@”
1.未逐一@@列出@@App(包括委@@托的第三@@方或@@嵌入的第三@@方代码@@、插件@@)收集使用个人信息@@的目的@@、方式@@、范围等@@;
2.收集使用个人信息@@的目的@@、方式@@、范围发生变化时@@,未以@@适当方式@@通知用户@@,适当方式@@包括更新隐私政策等收集使用规则并提醒用户阅读等@@;
3.在@@申请打开可收集个人信息的权限@@,或@@申请收集用户身份证号@@@@、银行账号@@@@、行踪轨迹等个人敏感信息时@@,未同步告知用户其目的@@,或@@者目的不明确@@、难以@@理解@@;
4.有关收集使用规则的内容晦涩难懂@@、冗长繁琐@@,用户难以@@理解@@@@,如@@使用大量专业术语等@@。
三@@、以@@下行为@@可被认定为@@@@“未经用户同意@@收集使用个人信息@@@@”
1.征得用户同意前就开始收集个人信息或@@打开可收集个人信息的权限@@;
2.用户明确表示不同意后@@,仍收集个人信息或@@打开可收集个人信息的权限@@,或@@频繁征求用户同意@@、干扰用户正常使用@@;
3.实际收集的个人信息或@@打开的可收集个人信息权限超出用户授权范围@@;
4.以@@默认选择同意隐私政策等非明示方式@@征求用户同意@@;
5.未经用户同意@@更改其设置的可收集个人信息权限状态@@,如@@App更新时自动将用户设置的权限恢复到默认状态@@;
6.利用用户个人信息和算法定向推送信息@@@@,未提供非定向推送信息@@的选项@@;
7.以@@欺诈@@、诱骗等不正当方式@@误导用户同意收集个人信息或@@打开可收集个人信息的权限@@,如@@故意欺瞒@@、掩饰收集使用个人信息@@的真实目的@@;
8.未向用户提供撤回同意收集个人信息的途径@@、方式@@;
9.违反其所声明的收集使用规则@@,收集使用个人信息@@。
四@@、以@@下行为@@可被认定为@@@@“违反必要原则@@,收集与其提供的服务无关的个人信息@@”
1.收集的个人信息类型或@@打开的可收集个人信息权限与现有业务功能无关@@;
2.因用户不同意收集非必要个人信息或@@打开非必要权限@@,拒绝提供业务功能@@;
3.App新增业务功能申请收集的个人信息超出用户原有同意范围@@,若用户不同意@@,则拒绝提供原有业务功能@@,新增业务功能取代原有业务功能的除外@@;
4.收集个人信息的频度等超出业务功能实际需要@@;
5.仅以@@改善服务质量@@、提升用户体验@@、定向推送信息@@、研发新产品等为@@由@@,强制要求用户同意收集个人信息@@;
6.要求用户一@@次性同意打开多个可收集个人信息的权限@@,用户不同意则无法使用@@。
五@@、以@@下行为@@可被认定为@@@@“未经同意向他人提供个人信息@@”
1.既未经用户同意@@@@,也未做匿名化处理@@,App客户端直接向第三@@方提供个人信息@@,包括通过客户端嵌入的第三@@方代码@@、插件@@等方式@@向第三@@方提供个人信息@@;
2.既未经用户同意@@@@,也未做匿名化处理@@,数据@@传输至@@App后台服务器后@@,向第三@@方提供其收集的个人信息@@;
3.App接入第三@@方应用@@,未经用户同意@@,向第三@@方应用提供个人信息@@。
六@@、以@@下行为@@可被认定为@@@@“未按法律规定提供删除或@@更正@@个人信息功能@@”或@@“未公布投诉@@、举报方式@@等信息@@”
1.未提供有效的更正@@@@、删除个人信息及注销用户账号@@功能@@;
2.为@@更正@@@@、删除个人信息或@@注销用户账号@@设置不必要或@@不合理条件@@;
3.虽提供了更正@@@@、删除个人信息及注销用户账号@@功能@@,但@@未及时响应用户相应操作@@,需人工处理的@@,未在@@承诺时限内@@(承诺时限不得超过@@15个工作日@@@@,无承诺时限的@@,以@@15个工作日@@@@为@@限@@)完成核查和处理@@;
4.更正@@、删除个人信息或@@注销用户账号@@等用户操作已执行完毕@@,但@@App后台并未完成的@@;
5.未建立并公布个人信息安全投诉@@、举报渠道@@,或@@未在@@承诺时限内@@@@(承诺时限不得超过@@15个工作日@@@@,无承诺时限的@@,以@@15个工作日@@@@为@@限@@)受理并处理的@@。