app非法收集用户信息如何界定

A. 超全整理｜《App隐私合规指南》

据悉，工信部将在2020年8月底前上线运行全国App技术检测平台管理系统，12月10日前完成覆盖40万款主流App检测工作。

如何做好采集合规，规避合规风险？

我梳理了一份App合规指南，为了您的App采集合规，我们强烈建议您仔细阅读以下《指南》，及时调整合规措施，及时进行自查。

目前监管都关注哪些违规采集问题？我应当如何做到合规？

（一） 违规收集用户个人信息方面

1、“私自收集个人信息”：即App未明确告知收集使用个人信息的目的、方式和范围并获得用户同意前，收集用户个人信息。

2、“超范围收集个人信息”：即App收集个人信息，非服务所必需或无合理应用场景，超范围或超频次收集个人信息，如通讯录、位置、身份证、人脸等

解决方法：

1、为解决“私自收集个人信息”问题，您应当为App准备一份独立的《隐私政策》，向用户明示App收集使用个人信息的目的、方式和范围。如存在涉及收集使用儿童个人信息相关业务功能的，需制定针对儿童的个人信息保护规则。如果您使用友盟+SDK，需在《隐私政策中》向用户说明SDK提供的服务及采集情况（参考条款详见后文）。

2、为解决“超范围收集个人信息”问题，您应当确保您的采集均与App服务功能相关，所涉个人信息字段均已在《隐私政策》中公示，并得到用户授权。

（二）违规使用用户个人信息方面

1、“私自共享个人信息给第三方”：即App未经用户同意与其他应用共享、使用用户个人信息，如设备识别信息、商品浏览记录、搜索使用习惯、常用软件应用列表等。

2、“强制用户使用定向推送功能”：即App未向用户告知或未以显着方式标示，将收集到的用户搜索、浏览记录、使用习惯等个人信息，用于定向推送或精准营销，且未提供关闭该功能的选项。

解决办法：

1、如果您未在隐私政策中披露使用友盟+SDK，那么可能被认定为“私自共享个人信息给第三方”，为解决此问题，您可以在《隐私政策》附录中披露SDK的具体情况，并附上隐私政策链接。如您集成的SDK较多，可在《隐私政策》附录中以表格的方式一一载明，参考格式详见后文。

2、为解决“强制用户使用定向推送功能”的问题，我们建议如您提供定向推送功能，应在《隐私政策》中向用户告知，并对定向推送进行显着标示。同时，您应当向用户提供关闭定向推荐的选项，以保证用户的选择权，满足监管要求。

（三）不合理索取用户权限方面

1、“不给权限不让用”：即App安装和运行时，向用户索取与当前服务场景无关的权限，用户拒绝授权后，应用退出或关闭。

2、“频繁申请权限”：即App在用户明确拒绝权限申请后，频繁申请开启通讯录、定位、短信、录音、相机等与当前服务场景无关的权限，骚扰用户。

3、“过度索取权限”：即App在用户未使用相关功能或服务时，提前申请开启通讯录、定位、短信、录音、相机等权限，或超出其业务功能或服务外，申请通讯录、定位、短信、录音、相机等权限。

解决办法：

1、为解决“不给权限不让用”问题，您应当注意通过《隐私政策》等方式向用户详细说明App需要调取的权限及目的，并保证权限调取均与服务功能相关。当用户拒绝无关权限时，仍可以正常使用App其他功能。

2、为解决“频繁申请权限”问题，您需要注意在用户拒绝授权后，不宜频繁（如48小时内）反复申请权限。

3、为解决“过度索取权限”问题，您应当确保App所需权限均与所提供的业务功能相关。对于短信、通讯录、麦克风等高敏感权限，应当谨慎索取，并向用户明确告知，取得用户授权。

（四）为用户账号注销设置障碍方面

“账号注销难”：即App未向用户提供账号注销服务，或为注销服务设置不合理的障碍。

解决办法：

1、为用户提供账号注销入口；

2、账号注销时需要用户提供的信息，不得超过用户注册及使用App期间所提供的信息；3、账号注销后，应及时删除用户信息，或在实现日常业务功能所涉及的系统中去除用户个人信息，使其保持不可被检索、 访问的状态；

4、用户账号注销的响应时间最多不超过15个工作日。

哪些个人信息字段或权限属于监管要求写在《隐私政策》中的内容？

App应当在《隐私政策》中列明所采集的个人信息字段，并向用户说明采集目的与用途。《隐私政策》范本可参考《GB/T 35273-2020 信息安全技术 个人信息安全规范》的附录D。

对于个人信息字段，详见《GB/T 35273-2020 信息安全技术 个人信息安全规范》的附录A/B。

关于个人信息权限，iOS系统重点关注：定位、通讯录、日历、提醒事项、照片、麦克风、相机、健康等；Android系统重点关注：日历、通话记录、相机、通讯录、位置、麦克风、电话、传感器、短信、存储等。

请注意，目前监管规定并未禁止上述采集，但您需要保证您的采集行为均与业务功能合理相关，并且遵守“告知+同意”的规则对用户进行披露，取得用户授权。

《隐私政策》如何合规展示？

1、您应当保证《隐私政策》的独立性及易读性。《隐私政策》应单独成文，而不是作为《用户协议》或其他文件的一部分存在。用户进入App主功能界面后，通过4次以内的点击/滑动，能够访问到《隐私政策》。

2、《隐私政策》应逐项列举各项业务功能及所收集的个人信息类型，并对个人敏感信息类型进行显着标识（如字体加粗、标星号、下划线、斜体、颜色等），个人敏感信息类型详见《GB/T 35273-2020 信息安全技术 个人信息安全规范》的附录B。

3、《隐私政策》应由用户自主选择是否同意，注意不要以默认勾选“同意”的方式取得用户授权。

以上为自行整理归纳的关于隐私合规检测中问题点的整改方向和建议，后续会不断完善更新，请开发者参考

如对APP隐私合规检测存在疑惑，可以在评论区留言!

B. APP违法违规收集使用个人信息行为认定方法

法律分析：该办法是为监督管理部门认定App违法违规收集使用个人信息行为提供参考，为App运营者自查自纠和网民社会监督提供指引，落实网络安全法等法律法规，国家互联网信息办公室、工业和信息化部、公安部、市场监管总局联合制定的。

法律依据：《App违法违规收集使用个人信息行为认定方法》第一条 以下行为可被认定为“未公开收集使用规则”

1.在App中没有隐私政策，或者隐私政策中没有收集使用个人信息规则；

2.在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；

3.隐私政策等收集使用规则难以访问，如进入App主界面后，需多于4次点击等操作才能访问到；

4.隐私政策等收集使用规则难以阅读，如文字过小过密、颜色过淡、模糊不清，或未提供简体中文版等。

第二条 以下行为可被认定为“未明示收集使用个人信息的目的、方式和范围”

1.未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等；

2.收集使用个人信息的目的、方式、范围发生变化时，未以适当方式通知用户，适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等；

3.在申请打开可收集个人信息的权限，或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时，未同步告知用户其目的，或者目的不明确、难以理解；

4.有关收集使用规则的内容晦涩难懂、冗长繁琐，用户难以理解，如使用大量专业术语等。

C. 84款App违法违规收集使用个人信息，分别是哪些App呢

App是智能手机上必不可少的应用软件，但是很多人都不会知道，许多App都会在不经意间收集使用者的个人信息。

国家网信部早就出台方案，根据方案中明确的9种行为即可判定个人信息被违法收集。根据检测发现的各种违法问题，国家网信部已经责令相关App运营商们于通报发布之日起15个工作日内整改完成，并及时将整改情况上报。如果超过期限未整改者，将会按照相关法律法规进行处罚。

个人信息的泄露对许多人来说就是各种骚扰电话、骚扰短信。严重影响工作生活，对于国家的整治我们举双手赞同。

D. 哪些行为可被认定为“未经用户同意收集使用个人信息”

1、征得用户同意前就开始收集个人信息或打开可收集个人信息的权限；

2、用户明确表示不同意后，仍收集个人信息或打开可收集个人信息的权限，或频繁征求用户同意、干扰用户正常使用；

3、实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围；

4、以默认选择同意隐私政策等非明示方式征求用户同意；

5、未经用户同意更改其设置的可收集个人信息权限状态，如App更新时自动将用户设置的权限恢复到默认状态；

6、利用用户个人信息和算法定向推送信息，未提供非定向推送信息的选项；

7、以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限，如故意欺瞒、掩饰收集使用个人信息的真实目的；

8、未向用户提供撤回同意收集个人信息的途径、方式；

9、违反其所声明的收集使用规则，收集使用个人信息。

《App违法违规收集使用个人信息行为认定方法》简述：

《App违法违规收集使用个人信息行为认定方法》是为认定App违法违规收集使用个人信息行为提供参考，根据《关于开展App违法违规收集使用个人信息专项治理的公告》而制定的法规。

2019年11月28日，国家互联网信息办公室、工业和信息化部、公安部、市场监管总局联合制定了《App违法违规收集使用个人信息行为认定方法》，自印发之日起实施。

以上内容参考网络－App违法违规收集使用个人信息行为认定方法