App违法违规收集使用个人信息行为认定方法

App违法违规收集使用个人信息
自评估指南
（App专项治理工作组二零一九年三月）
本指南主要用于App运营者对其收集使用个人信息的情况进行自查自纠。

App运营者应遵守《网络安全法》、《消费者权益保护法》等法律要求，参考个人信息保护国家标准，持续提升个人信息保护水平。

一、隐私政策文本
评估项1：隐私政策的独立性、易读性
评估项2：清晰说明各项业务功能及所收集个人信息类型
评估项3：清晰说明个人信息处理规则及用户权益保障
评估项4：不应在隐私政策等文件中设置不合理条款
二、A pp收集使用个人信息行为
评估项5：收集个人信息应明示收集目的、方式、范围
评估项6：收集使用个人信息应经用户自主选择同意，不应存在强制捆绑授权行为
评估项7：收集个人信息应满足必要性要求
三、A pp运营者对用户权利的保障
评估项8：支持用户注销账号、更正或删除个人信息
评估项9：及时反馈用户申诉。

违规处理个人敏感信息案例分析与法律合规建议近年来，随着互联网的发展和个人信息的广泛应用，个人敏感信息保护面临着越来越大的挑战。

其中，违规处理个人敏感信息的行为引起了广泛关注和讨论。

本文将通过分析一个违规处理个人敏感信息的案例，探讨其法律合规问题，并提出相应的建议。

案例描述：在某电商平台的APP中，用户在注册账号时需填写真实姓名、身份证号码等个人敏感信息。

然而，该电商平台未明示或收集用户的明示同意，擅自将用户的个人敏感信息用于一些无关的商业行为。

这一举动引发了用户的不满和质疑，随后涉及用户集体维权诉讼。

法律分析：根据我国《中华人民共和国网络安全法》第三十九条的规定，网络运营者收集个人信息应当经过用户明示同意，且在明示同意的范围内进行。

而在该案例中，电商平台未经用户明示同意，擅自使用个人敏感信息，违反了法律规定。

此外，根据《中华人民共和国消费者权益保护法》第十九条的规定，经营者应当依法采取技术措施和其他必要措施，确保个人信息的安全，防止个人信息的泄露、毁损等。

然而，在该案例中，电商平台未能采取充分的技术和管理措施，导致用户个人敏感信息被滥用，违反了《消费者权益保护法》的规定。

法律合规建议：1.明示同意原则：企业在收集个人敏感信息时，应事先向用户清晰明示收集信息的目的、范围和使用方式，并取得用户明示同意。

可以通过用户点击确认或勾选同意按钮等方式，确保用户真实理解个人信息的使用情况。

2.信息安全保护：企业应建立完善的信息安全管理制度，包括提供技术保障、完善内部管理流程等，确保个人敏感信息的安全性和保密性。

同时，企业还应加强员工的信息安全意识培训，增强员工对个人信息保护的重视和意识。

3.合规审查机制：企业应建立合规审查机制，对收集、使用个人敏感信息的行为进行定期审查和评估，确保企业的行为符合法律法规的要求。

如果发现存在违规行为，应及时进行整改和纠正，避免给用户带来损失和侵害。

4.加强监管与执法：相关部门应加强对个人敏感信息保护的监管与执法力度，及时发现和查处违规行为，保护用户的合法权益。

2024年第6期11检察风云 PROSECUTORIAL VIEW弹出等形式发布的广告，应当显著标明关闭标志，确保一键关闭。

同时，《广告法》第六十二条第二款规定了对违反“一键关闭”的处罚，即对广告主处五千元以上三万元以下的罚款。

弹窗广告的违法成本相较于收益而言微乎其微，是弹窗广告屡禁不止的重要原因。

2023年5月1日起施行的《互联网广告管理办法》（以下简称《办法》）第十条第一款，对弹窗广告“一键关闭”的情形进行了细化，为广告主发布弹窗广告的行为提供了具体化、规范化的指引，并且增设了广告发布者的法律责任，强化对违法行为的惩戒力度。

对于违反“一键关闭”的广告发布者，由县级以上市场监督管理部门责令改正，拒不改正的，处五千元以上三万元以下的罚款。

《办法》的出台，优化、细化了互联网广告行为规范，有利于促进互联网广告行业持续健康发展。

“精准投放”实为“精准骚扰”大数据时代下，各领域泄露公民个人信息的事件频发。

当用户使用手机App浏览网页、选购商品时，扑面而来的弹窗广告似乎总能击中用户的内心：刚刚在浏览器搜索“牙疼怎么办”，立刻弹出一家牙科医院的客服关心疼吃什么药”“矫正牙齿”的广告也随处可见；用户只是在购物App上收藏了几个商品，就会不停地弹出该店铺的链接并收到促销信息。

弹窗广告已经基本涵盖网站、游戏、播放器等绝大多数互联网产品，用户在使用这些App时，各大网络运营公司全方位搜集用户的上网行为数据，包括点击过什么广告、购买过哪类产品等，深入了解用户的消费偏好、购物特征，并将已经生成的用户数据卖给广告发布者。

部分广告经营者使用非法手段获取公民个人信息后，为用户量身定做弹窗广告进行精准营销，强迫用户接收或点击弹窗广告。

互联网信息提供者、广告经营者的行为看似“精准营销”，实为“精准骚扰”，严重的会构成侵犯公民个人信息罪。

《中华人民共和国网络安全法》（以下简称《网络安全法》）第四十一条、第四十二条规定，网络运营者不得收集与其提供服务无关的个人信息，未经被收集者同意，不得向他人提供个人信息。

App违法违规收集使用个人信息行为认定方法根据《关于开展App 违法违规收集使用个人信息专项治理的公告》，为监督管理部门认定App 违法违规收集使用个人信息行为提供参考，为App运营者自查自纠和网民社会监督提供指引，落实《网络安全法》等法律法规，制定本方法。

一、以下行为可被认定为“未公开收集使用规则”1. 在App中没有隐私政策，或者隐私政策中没有收集使用个人信息规则；2. 在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；3. 隐私政策等收集使用规则难以访问，如进入App主界面后，需多于 4 次点击等操作才能访问到；4. 隐私政策等收集使用规则难以阅读，如文字过小过密、颜色过淡、模糊不清，或未提供简体中文版等。

二、以下行为可被认定为“未明示收集使用个人信息的目的、方式和范围”1. 未逐一列出App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等；2. 收集使用个人信息的目的、方式、范围发生变化时，未以适当方式通知用户，适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等；3. 在申请打开可收集个人信息的权限，或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时，未同步告知用户其目的，或者目的不明确、难以理解；4. 有关收集使用规则的内容晦涩难懂、冗长繁琐，用户难以理解，如使用大量专业术语等。

三、以下行为可被认定为“未经用户同意收集使用个人信息”1. 征得用户同意前就开始收集个人信息或打开可收集个人信息的权限；2. 用户明确表示不同意后，仍收集个人信息或打开可收集个人信息的权限，或频繁征求用户同意、干扰用户正常使用；3. 实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围；4. 以默认选择同意隐私政策等非明示方式征求用户同意；5. 未经用户同意更改其设置的可收集个人信息权限状态，如更App 新时自动将用户设置的权限恢复到默认状态；6. 利用用户个人信息和算法定向推送信息，未提供非定向推送信息的选项；7. 以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限，如故意欺瞒、掩饰收集使用个人信息的真实目的；8. 未向用户提供撤回同意收集个人信息的途径、方式；9. 违反其所声明的收集使用规则，收集使用个人信息。

常见类型移动互联网应用程序必要个人信息范围规定内容解读目录常见类型移动互联网应用程序必要个人信息范围规定 (1)第一部分要点解读 (8)第二部分常见误区梳理 (12)常见类型移动互联网应用程序必要个人信息范围规定第一条为了规范移动互联网应用程序（App）收集个人信息行为，保障公民个人信息安全，根据《中华人民共和国网络安全法》，制定本规定。

第二条移动智能终端上运行的App存在收集用户个人信息行为的，应当遵守本规定。

法律、行政法规、部门规章和规范性文件另有规定的，依照其规定。

App包括移动智能终端预置、下载安装的应用软件，基于应用软件开放平台接口开发的、用户无需安装即可使用的小程序。

第三条本规定所称必要个人信息，是指保障App基本功能服务正常运行所必需的个人信息，缺少该信息App即无法实现基本功能服务。

具体是指消费侧用户个人信息，不包括服务供给侧用户个人信息。

第四条App不得因为用户不同意提供非必要个人信息，而拒绝用户使用其基本功能服务。

第五条常见类型App的必要个人信息范围：（一）地图导航类，基本功能服务为“定位和导航”，必要个人信息为：位置信息、出发地、到达地。

（二）网络约车类，基本功能服务为“网络预约出租汽车服务、巡游出租汽车电召服务”，必要个人信息包括：1.注册用户移动电话号码；2.乘车人出发地、到达地、位置信息、行踪轨迹；3.支付时间、支付金额、支付渠道等支付信息（网络预约出租汽车服务）。

（三）即时通信类，基本功能服务为“提供文字、图片、语音、视频等网络即时通信服务”，必要个人信息包括：1.注册用户移动电话号码；2.账号信息：账号、即时通信联系人账号列表。

（四）网络社区类，基本功能服务为“博客、论坛、社区等话题讨论、信息分享和关注互动”，必要个人信息为：注册用户移动电话号码。

（五）网络支付类，基本功能服务为“网络支付、提现、转账等功能”，必要个人信息包括：1.注册用户移动电话号码；2.注册用户姓名、证件类型和号码、证件有效期限、银行卡号码。

公安部等四部门专项治理App违法违规收集使用个人信息作者：来源：《中国防伪报道》2019年第02期在1月25日举行的新闻发布会上，中央网信办、工业和信息化部、公安部和国家市场监管总局介绍，自2019年1月至12月，在全国范围内组织开展App违法违规收集使用个人信息专项治理工作，专项整治的App范围涵盖了电子商务、地图导航、快递外卖、交通票务等多方面。

中央网信办网络安全协调局副局长杨春艳介绍，此次专项治理工作涉及的App范围广，评估更加深入，治理行动也更加体系化。

“我们希望通过这次专项治理，建立个人信息保护的长效监管机制，持续加大个人信息保护力度。

”按照当日发布的《关于开展App违法违规收集使用个人信息专项治理的公告》，App运营者收集使用个人信息时要严格履行网络安全法规定的责任义务，对获取的个人信息安全负责，采取有效措施加强个人信息保护。

遵循合法、正当、必要的原则，不收集与所提供服务无关的个人信息；收集个人信息时要以通俗易懂、简单明了的方式展示个人信息收集使用规则，并经个人信息主体自主选择同意；不以默认、捆绑、停止安装使用等手段变相强迫用户授权，不得违反法律法规和与用户的约定收集使用个人信息。

倡导App运营者在定向推送新闻、时政、广告时，为用户提供拒绝接收定向推送的选项。

据了解，本次专项治理，有关主管部门将加强对违法违规收集使用个人信息行为的监管和处罚。

对强制、过度收集个人信息，未经消费者同意、违反法律法规规定和双方约定收集、使用个人信息，發生或可能发生信息泄露、丢失而未采取补救措施，非法出售、非法向他人提供个人信息等行为，按照《网络安全法》《消费者权益保护法》等依法予以处罚，包括责令App 运营者限期整改；逾期不改的，公开曝光；情节严重的，依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。

此外，此次专项治理行动将组织相关机构，对用户数量大、与民众生活密切相关的App 隐私政策和个人信息收集使用情况进行评估。

App过度收集与使用个人信息的法律规制问题研究作者：韩德民汪子辰来源：《现代交际》2020年第13期摘要：保护公民个人信息已经成为信息化时代的重要课题，为推动《个人信息保护法》的出台，完善我国个人信息保护体系，促使信息合理流通，通过整理App过度收集与使用个人信息的问题，分析我国现有保护个人信息体系的不足，在此基础上有针对性地借鉴国外优秀做法和实践经验，结合我国国情在推动立法、引入行业自律模式、设立专门机构方面提出建议。

关键词：App 个人信息立法借鉴法律保护中图分类号：F832; 文献标识码：A; 文章编号：1009-5349（2020）13-0084-02随着科技进步和互联网的发展，大数据技术在诸多领域得到应用。

而个人信息作为大数据技术的基础和核心，在“数据是黄金”的利益驱动下，有关公民个人信息泄露的侵权案件大量出现，其中App成为过度收集与使用个人信息的重灾区，具体表现为过度索取权限以收集用户个人信息。

国家高度重视这一问题，四部委联合发布公告，决定开展为期一年的治理App过度收集使用个人信息的专项行动。

本文拟从治理App过度收集与使用个人信息乱象的视角，分析现有个人信息保护方面存在的问题，研究保护个人信息的对策。

一、App过度收集与使用个人信息的问题整理（一）申请权限和与业务功能无关部分App申请的权限与其对应的产品功能不能明确挂钩，甚至超出用户合理预期。

中消协发布的测评报告显示，位置信息、访问通讯录、读取电话等权限存在被广泛申请并有过度使用的嫌疑。

如短视频App要索取日历、通讯录等权限和信息涉嫌过度收集。

（二）隐私政策不明确、不规范隐私条款是数据运营商向用户说明自己要如何收集、使用、存储、共享、转让个人信息[1]。

但是部分App存在隐私条款模糊不清的问题。

在告知的方式上，缺乏对重点内容的提示。

在内容方面，有的隐私政策内容晦涩冗长，文本专业性强可读性差，普通用户没有耐心读完或是读不懂内容。