app非法收集用戶信息如何界定

A. 超全整理｜《App隱私合規指南》

據悉，工信部將在2020年8月底前上線運行全國App技術檢測平台管理系統，12月10日前完成覆蓋40萬款主流App檢測工作。

如何做好採集合規，規避合規風險？

我梳理了一份App合規指南，為了您的App採集合規，我們強烈建議您仔細閱讀以下《指南》，及時調整合規措施，及時進行自查。

目前監管都關注哪些違規採集問題？我應當如何做到合規？

（一） 違規收集用戶個人信息方面

1、「私自收集個人信息」：即App未明確告知收集使用個人信息的目的、方式和范圍並獲得用戶同意前，收集用戶個人信息。

2、「超范圍收集個人信息」：即App收集個人信息，非服務所必需或無合理應用場景，超范圍或超頻次收集個人信息，如通訊錄、位置、身份證、人臉等

解決方法：

1、為解決「私自收集個人信息」問題，您應當為App准備一份獨立的《隱私政策》，向用戶明示App收集使用個人信息的目的、方式和范圍。如存在涉及收集使用兒童個人信息相關業務功能的，需制定針對兒童的個人信息保護規則。如果您使用友盟+SDK，需在《隱私政策中》向用戶說明SDK提供的服務及採集情況（參考條款詳見後文）。

2、為解決「超范圍收集個人信息」問題，您應當確保您的採集均與App服務功能相關，所涉個人信息欄位均已在《隱私政策》中公示，並得到用戶授權。

（二）違規使用用戶個人信息方面

1、「私自共享個人信息給第三方」：即App未經用戶同意與其他應用共享、使用用戶個人信息，如設備識別信息、商品瀏覽記錄、搜索使用習慣、常用軟體應用列表等。

2、「強制用戶使用定向推送功能」：即App未向用戶告知或未以顯著方式標示，將收集到的用戶搜索、瀏覽記錄、使用習慣等個人信息，用於定向推送或精準營銷，且未提供關閉該功能的選項。

解決辦法：

1、如果您未在隱私政策中披露使用友盟+SDK，那麼可能被認定為「私自共享個人信息給第三方」，為解決此問題，您可以在《隱私政策》附錄中披露SDK的具體情況，並附上隱私政策鏈接。如您集成的SDK較多，可在《隱私政策》附錄中以表格的方式一一載明，參考格式詳見後文。

2、為解決「強制用戶使用定向推送功能」的問題，我們建議如您提供定向推送功能，應在《隱私政策》中向用戶告知，並對定向推送進行顯著標示。同時，您應當向用戶提供關閉定向推薦的選項，以保證用戶的選擇權，滿足監管要求。

（三）不合理索取用戶許可權方面

1、「不給許可權不讓用」：即App安裝和運行時，向用戶索取與當前服務場景無關的許可權，用戶拒絕授權後，應用退出或關閉。

2、「頻繁申請許可權」：即App在用戶明確拒絕許可權申請後，頻繁申請開啟通訊錄、定位、簡訊、錄音、相機等與當前服務場景無關的許可權，騷擾用戶。

3、「過度索取許可權」：即App在用戶未使用相關功能或服務時，提前申請開啟通訊錄、定位、簡訊、錄音、相機等許可權，或超出其業務功能或服務外，申請通訊錄、定位、簡訊、錄音、相機等許可權。

解決辦法：

1、為解決「不給許可權不讓用」問題，您應當注意通過《隱私政策》等方式向用戶詳細說明App需要調取的許可權及目的，並保證許可權調取均與服務功能相關。當用戶拒絕無關許可權時，仍可以正常使用App其他功能。

2、為解決「頻繁申請許可權」問題，您需要注意在用戶拒絕授權後，不宜頻繁（如48小時內）反復申請許可權。

3、為解決「過度索取許可權」問題，您應當確保App所需許可權均與所提供的業務功能相關。對於簡訊、通訊錄、麥克風等高敏感許可權，應當謹慎索取，並向用戶明確告知，取得用戶授權。

（四）為用戶賬號注銷設置障礙方面

「賬號注銷難」：即App未向用戶提供賬號注銷服務，或為注銷服務設置不合理的障礙。

解決辦法：

1、為用戶提供賬號注銷入口；

2、賬號注銷時需要用戶提供的信息，不得超過用戶注冊及使用App期間所提供的信息；3、賬號注銷後，應及時刪除用戶信息，或在實現日常業務功能所涉及的系統中去除用戶個人信息，使其保持不可被檢索、 訪問的狀態；

4、用戶賬號注銷的響應時間最多不超過15個工作日。

哪些個人信息欄位或許可權屬於監管要求寫在《隱私政策》中的內容？

App應當在《隱私政策》中列明所採集的個人信息欄位，並向用戶說明採集目的與用途。《隱私政策》範本可參考《GB/T 35273-2020 信息安全技術 個人信息安全規范》的附錄D。

對於個人信息欄位，詳見《GB/T 35273-2020 信息安全技術 個人信息安全規范》的附錄A/B。

關於個人信息許可權，iOS系統重點關註：定位、通訊錄、日歷、提醒事項、照片、麥克風、相機、健康等；Android系統重點關註：日歷、通話記錄、相機、通訊錄、位置、麥克風、電話、感測器、簡訊、存儲等。

請注意，目前監管規定並未禁止上述採集，但您需要保證您的採集行為均與業務功能合理相關，並且遵守「告知+同意」的規則對用戶進行披露，取得用戶授權。

《隱私政策》如何合規展示？

1、您應當保證《隱私政策》的獨立性及易讀性。《隱私政策》應單獨成文，而不是作為《用戶協議》或其他文件的一部分存在。用戶進入App主功能界面後，通過4次以內的點擊/滑動，能夠訪問到《隱私政策》。

2、《隱私政策》應逐項列舉各項業務功能及所收集的個人信息類型，並對個人敏感信息類型進行顯著標識（如字體加粗、標星號、下劃線、斜體、顏色等），個人敏感信息類型詳見《GB/T 35273-2020 信息安全技術 個人信息安全規范》的附錄B。

3、《隱私政策》應由用戶自主選擇是否同意，注意不要以默認勾選「同意」的方式取得用戶授權。

以上為自行整理歸納的關於隱私合規檢測中問題點的整改方向和建議，後續會不斷完善更新，請開發者參考

如對APP隱私合規檢測存在疑惑，可以在評論區留言!

B. APP違法違規收集使用個人信息行為認定方法

法律分析：該辦法是為監督管理部門認定App違法違規收集使用個人信息行為提供參考，為App運營者自查自糾和網民社會監督提供指引，落實網路安全法等法律法規，國家互聯網信息辦公室、工業和信息化部、公安部、市場監管總局聯合制定的。

法律依據：《App違法違規收集使用個人信息行為認定方法》第一條 以下行為可被認定為「未公開收集使用規則」

1.在App中沒有隱私政策，或者隱私政策中沒有收集使用個人信息規則；

2.在App首次運行時未通過彈窗等明顯方式提示用戶閱讀隱私政策等收集使用規則；

3.隱私政策等收集使用規則難以訪問，如進入App主界面後，需多於4次點擊等操作才能訪問到；

4.隱私政策等收集使用規則難以閱讀，如文字過小過密、顏色過淡、模糊不清，或未提供簡體中文版等。

第二條 以下行為可被認定為「未明示收集使用個人信息的目的、方式和范圍」

1.未逐一列出App(包括委託的第三方或嵌入的第三方代碼、插件)收集使用個人信息的目的、方式、范圍等；

2.收集使用個人信息的目的、方式、范圍發生變化時，未以適當方式通知用戶，適當方式包括更新隱私政策等收集使用規則並提醒用戶閱讀等；

3.在申請打開可收集個人信息的許可權，或申請收集用戶身份證號、銀行賬號、行蹤軌跡等個人敏感信息時，未同步告知用戶其目的，或者目的不明確、難以理解；

4.有關收集使用規則的內容晦澀難懂、冗長繁瑣，用戶難以理解，如使用大量專業術語等。

C. 84款App違法違規收集使用個人信息，分別是哪些App呢

App是智能手機上必不可少的應用軟體，但是很多人都不會知道，許多App都會在不經意間收集使用者的個人信息。

國家網信部早就出台方案，根據方案中明確的9種行為即可判定個人信息被違法收集。根據檢測發現的各種違法問題，國家網信部已經責令相關App運營商們於通報發布之日起15個工作日內整改完成，並及時將整改情況上報。如果超過期限未整改者，將會按照相關法律法規進行處罰。

個人信息的泄露對許多人來說就是各種騷擾電話、騷擾簡訊。嚴重影響工作生活，對於國家的整治我們舉雙手贊同。

D. 哪些行為可被認定為「未經用戶同意收集使用個人信息」

1、徵得用戶同意前就開始收集個人信息或打開可收集個人信息的許可權；

2、用戶明確表示不同意後，仍收集個人信息或打開可收集個人信息的許可權，或頻繁徵求用戶同意、干擾用戶正常使用；

3、實際收集的個人信息或打開的可收集個人信息許可權超出用戶授權范圍；

4、以默認選擇同意隱私政策等非明示方式徵求用戶同意；

5、未經用戶同意更改其設置的可收集個人信息許可權狀態，如App更新時自動將用戶設置的許可權恢復到默認狀態；

6、利用用戶個人信息和演算法定向推送信息，未提供非定向推送信息的選項；

7、以欺詐、誘騙等不正當方式誤導用戶同意收集個人信息或打開可收集個人信息的許可權，如故意欺瞞、掩飾收集使用個人信息的真實目的；

8、未向用戶提供撤回同意收集個人信息的途徑、方式；

9、違反其所聲明的收集使用規則，收集使用個人信息。

《App違法違規收集使用個人信息行為認定方法》簡述：

《App違法違規收集使用個人信息行為認定方法》是為認定App違法違規收集使用個人信息行為提供參考，根據《關於開展App違法違規收集使用個人信息專項治理的公告》而制定的法規。

2019年11月28日，國家互聯網信息辦公室、工業和信息化部、公安部、市場監管總局聯合制定了《App違法違規收集使用個人信息行為認定方法》，自印發之日起實施。

以上內容參考網路－App違法違規收集使用個人信息行為認定方法