国家网信办等四@@部委@@@@关于印发@@《App违法违规收集使用个人信息@@行为@@认定@@方法@@》的通知@@

各省@@、自治区@@、直辖市及新疆生产建设兵团网信办@@、通信管理局@@@@、公安厅@@@@(局@@)、市场监管局@@@@(厅@@、委@@)：

　　根据@@《关于开展@@App违法违规收集使用个人信息@@专项治理的公告@@》，为@@认定@@App违法违规收集使用个人信息@@行为@@提供参考@@，落实@@《网络安全法@@》等法律法规@@，国家互联网信息办公室@@、工业和信息化部@@、公安部@@、市场监管总局@@联@@合制定了@@《App违法违规收集使用个人信息@@行为@@认定@@方法@@》。现印发你们@@，请结合监管和执法工作实际参考执行@@。

　　国家互联网信息办公室@@秘书局@@@@

　　工业和信息化部@@办公厅@@@@

　　公安部@@办公厅@@@@

　　市场监管总局@@办公厅@@@@

　　2019年@@11月@@28日@@

App违法违规收集使用个人信息@@行为@@认定@@方法@@

　　根据@@《关于开展@@App违法违规收集使用个人信息@@专项治理的公告@@》，为@@监督管理部门认定@@App违法违规收集使用个人信息@@行为@@提供参考@@，为@@App运营者自查自纠和网民社会监督提供指引@@，落实@@《网络安全法@@》等法律法规@@，制定本方法@@。

　　一@@、以@@下行为@@可被认定为@@@@“未公开收集使用规则@@”

　　1.在@@App中没有隐私政策@@，或@@者隐私政策中没有收集使用个人信息@@规则@@；

　　2.在@@App首次运行时未通过弹窗等明显方式@@提示用户阅读隐私政策等收集使用规则@@；

　　3.隐私政策等收集使用规则难以@@访问@@，如@@进入@@App主界面后@@，需多于@@4次点击等操作才能访问到@@；

　　4.隐私政策等收集使用规则难以@@阅读@@，如@@文字过小过密@@、颜色过淡@@、模糊不清@@，或@@未提供简体中文版等@@。

　　二@@、以@@下行为@@可被认定为@@@@“未明示收集使用个人信息@@的目的@@@@、方式@@和范围@@”

　　1.未逐一@@列出@@App(包括委@@托的第三@@方或@@嵌入的第三@@方代码@@、插件@@)收集使用个人信息@@的目的@@、方式@@、范围等@@；

　　2.收集使用个人信息@@的目的@@、方式@@、范围发生变化时@@，未以@@适当方式@@通知用户@@，适当方式@@包括更新隐私政策等收集使用规则并提醒用户阅读等@@；

　　3.在@@申请打开可收集个人信息的权限@@，或@@申请收集用户身份证号@@@@、银行账号@@@@、行踪轨迹等个人敏感信息时@@，未同步告知用户其目的@@，或@@者目的不明确@@、难以@@理解@@；

　　4.有关收集使用规则的内容晦涩难懂@@、冗长繁琐@@，用户难以@@理解@@@@，如@@使用大量专业术语等@@。

　　三@@、以@@下行为@@可被认定为@@@@“未经用户同意@@收集使用个人信息@@@@”

　　1.征得用户同意前就开始收集个人信息或@@打开可收集个人信息的权限@@；

　　2.用户明确表示不同意后@@，仍收集个人信息或@@打开可收集个人信息的权限@@，或@@频繁征求用户同意@@、干扰用户正常使用@@；

　　3.实际收集的个人信息或@@打开的可收集个人信息权限超出用户授权范围@@；

　　4.以@@默认选择同意隐私政策等非明示方式@@征求用户同意@@；

　　5.未经用户同意@@更改其设置的可收集个人信息权限状态@@，如@@App更新时自动将用户设置的权限恢复到默认状态@@；

　　6.利用用户个人信息和算法定向推送信息@@@@，未提供非定向推送信息@@的选项@@；

　　7.以@@欺诈@@、诱骗等不正当方式@@误导用户同意收集个人信息或@@打开可收集个人信息的权限@@，如@@故意欺瞒@@、掩饰收集使用个人信息@@的真实目的@@；

　　8.未向用户提供撤回同意收集个人信息的途径@@、方式@@；

　　9.违反其所声明的收集使用规则@@，收集使用个人信息@@。

　　四@@、以@@下行为@@可被认定为@@@@“违反必要原则@@，收集与其提供的服务无关的个人信息@@”

　　1.收集的个人信息类型或@@打开的可收集个人信息权限与现有业务功能无关@@；

　　2.因用户不同意收集非必要个人信息或@@打开非必要权限@@，拒绝提供业务功能@@；

　　3.App新增业务功能申请收集的个人信息超出用户原有同意范围@@，若用户不同意@@，则拒绝提供原有业务功能@@，新增业务功能取代原有业务功能的除外@@；

　　4.收集个人信息的频度等超出业务功能实际需要@@；

　　5.仅以@@改善服务质量@@、提升用户体验@@、定向推送信息@@、研发新产品等为@@由@@，强制要求用户同意收集个人信息@@；

　　6.要求用户一@@次性同意打开多个可收集个人信息的权限@@，用户不同意则无法使用@@。

　　五@@、以@@下行为@@可被认定为@@@@“未经同意向他人提供个人信息@@”

　　1.既未经用户同意@@@@，也未做匿名化处理@@，App客户端直接向第三@@方提供个人信息@@，包括通过客户端嵌入的第三@@方代码@@、插件@@等方式@@向第三@@方提供个人信息@@；

　　2.既未经用户同意@@@@，也未做匿名化处理@@，数据@@传输至@@App后台服务器后@@，向第三@@方提供其收集的个人信息@@；

　　3.App接入第三@@方应用@@，未经用户同意@@，向第三@@方应用提供个人信息@@。

　　六@@、以@@下行为@@可被认定为@@@@“未按法律规定提供删除或@@更正@@个人信息功能@@”或@@“未公布投诉@@、举报方式@@等信息@@”

　　1.未提供有效的更正@@@@、删除个人信息及注销用户账号@@功能@@；

　　2.为@@更正@@@@、删除个人信息或@@注销用户账号@@设置不必要或@@不合理条件@@；

　　3.虽提供了更正@@@@、删除个人信息及注销用户账号@@功能@@，但@@未及时响应用户相应操作@@，需人工处理的@@，未在@@承诺时限内@@（承诺时限不得超过@@15个工作日@@@@，无承诺时限的@@，以@@15个工作日@@@@为@@限@@）完成核查和处理@@；

　　4.更正@@、删除个人信息或@@注销用户账号@@等用户操作已执行完毕@@，但@@App后台并未完成的@@；

　　5.未建立并公布个人信息安全投诉@@、举报渠道@@，或@@未在@@承诺时限内@@@@（承诺时限不得超过@@15个工作日@@@@，无承诺时限的@@，以@@15个工作日@@@@为@@限@@）受理并处理的@@。