APP违法违规收集使用个人信息专项治理报告

开展学习类APP等移动应用程序专项整治行动自查报告屏锦二小开展学习类APP等移动应用程序专项整治行动自查报告根据《**市梁平区“扫黄打非”工作领导小组办公室关于印发<**市梁平区开展学习类APP等移动应用程序专项整治行动实施方案>的通知》（梁扫黄办〔2018〕3号）的通知精神，为规范学习类APP等移动应用程序信息服务，有效净化网络空间，保护好学生健康成长所需的网络环境，我校于近期开展教育类移动应用程序专项整治活动，现将全面排查落实情况汇报如下:一、活动组织情况1.组织分工:按照工作要求，我校成立以校长为组长，全体成员为工作实施人专项治理活动小组，负责对本次活动进行组织、排查、隐患治理，总结上报等工作。

2.排查设备种类及数量:此次工作主要清理整顿传播低俗色情、教唆暴力等违法违规和不良信息的教育类移动应用程序，对学校的13台办公电脑，一套多媒体设备和在线课堂设备、教师移动设备和网络设施等进行清查。

二、自查情况1.桌面终端安全治理：一是重点对学校终端使用软件的安装进行了检查，通过本次检查未发现工作软件安装不符的情况。

真正实现了软件安装符合安全、符合教育教学工作需要；二是对桌面终端管理工作进行了检查。

没有敏感程序和违规使用痕迹；三是重点治理了系统设备违规存储、处理、发送敏感的工作内容和行为，确保信息的健康管理工作。

2.互联网出口安全治理；一是我校未出现发布违规信息和图片、视频；二是我校互联网全部进内网，并且互联网出口均有安全监测及防火墙设备，并建立的规范的安全流程及联动机制，确保了网络安全稳定运行。

3.学习类APP“学霸君”、“作业帮”、“我要当学霸”等在中小学生中有一定影响力的学习类APP竟夹带了违法且极易对未成年人造成不良影响的“黄段子”，有孩子已经出现不同程度的沉迷，抄袭作业等,对学习没有好处。

三、发现问题整改情况1.本次教育类移动应用程序专项整治活动，对我校信息系统安全及网络安全工作，起到了很好的检查和督导作用，同时也为我们更好的发现工作中存在的问题和隐患起到了帮助。

I2021/01|行业信息I Communication&Information Technology 成渝地区取城经济圈一致行动正式启动本刊讯为全面贯彻党中央成渝地区双城经济圈建设重大战略部署，全面落实集团公司**1+5+5”战略布局，突出重庆、成都两个中心城市的区域协同带动，构建以国内大循环为主体、国内国际双循环相互促进的新发展格局，打造带动全国高质量发展重要增长极和新的动力源。

20"年1月48日，中国联通四川省分公司及重庆市分公司在集团公司的整体布局下，召开"成渝地区双城经济圈一致行动”启动会，四川省分公司党委书记总经理黄晨，党委副书记、副总经理邹显荣及相关部门领导与重庆分公司党委书记总经理吴在学，党委副书记、副总经理童 庆军及相关部门领导举行云端视频启动会，共同为成渝经济圈联通篇章拉开序曲！双方以共建"一带一路”为引领，以科技创新、网络强国、数字中国和"新基建”重大使命。

四川以成都为中心，辐射全省24个地市，惠及8375万人口，重庆以主城9区为中心，全域参与，辐射与四川接壤十四区县，惠及2238万人口。

设，成为带动高质量发展的重要增长极和新的动力源作出恵大贡献！重庆市分公司党委书记、总经理吴在学在致辞时表示：自古以来，成渝"一家亲”，同住长江头，共饮一江水，成渝两地就像是一对亲密无间的兄弟。

在本次成渝地区双城经济圈的建设中，我们将更进一步强化"一家亲”意识，发挥"双核引领”与11区域联动”作用。

我们非常期待通过本次“成渝地区双城经济圈”一致行动，让四川联通和重庆联通两股交汇的涓涓细流，汇聚成新时代的磅礴力量。

未来，双方将携手合作全力推行11通信服务一体化”,增强人民群众获得感、幸福感、安全感；全面加快"数字基础设施”建设，助力构建“数字政府”，全力打造国家数字经济示范区；着力加强通信基础设施建设投入，深入贯彻网络强国战略部署；并进一步推动5G技术与应用在各领域的创新融合，实现万物智联。

App违法违规收集使用个人信息
自评估指南
（App专项治理工作组二零一九年三月）
本指南主要用于App运营者对其收集使用个人信息的情况进行自查自纠。

App运营者应遵守《网络安全法》、《消费者权益保护法》等法律要求，参考个人信息保护国家标准，持续提升个人信息保护水平。

一、隐私政策文本
评估项1：隐私政策的独立性、易读性
评估项2：清晰说明各项业务功能及所收集个人信息类型
评估项3：清晰说明个人信息处理规则及用户权益保障
评估项4：不应在隐私政策等文件中设置不合理条款
二、A pp收集使用个人信息行为
评估项5：收集个人信息应明示收集目的、方式、范围
评估项6：收集使用个人信息应经用户自主选择同意，不应存在强制捆绑授权行为
评估项7：收集个人信息应满足必要性要求
三、A pp运营者对用户权利的保障
评估项8：支持用户注销账号、更正或删除个人信息
评估项9：及时反馈用户申诉。

2021Vol.34No.2 Journal of Guangxi Police College互联网企业滥用个人信息的治理困境与对策文立彬(南宁师范大学，广西南宁530001)［摘要］大数据时代，个人信息已从生产力要素上升至关系国家安全要素的高度。

然而，互联网企业滥用个人信息呈现泛滥且严重之势，不仅引发多种二次犯罪，还严重阻碍了我国数据产业的良性发展。

为此，应剖析我国互联网企业滥用个人信息的现状，审慎借鉴域外立法经验,建议细化个人信息处理规则，赋予互联网企业数据所有权，引入企业刑事合规制度，以期为我国数据产业的可持续发展保驾护航。

［关键词］大数据;个人信息；滥用治理;对策［中图分类号］D918［文献标识码］A［文章编号］2096-4048(2021)02-0020-06DOI:10.19736/ki.gxjcxyxb.2021.0203一、大数据时代互联网企业滥用个人信息的现实状况在数据产业发展规模持续扩大的背景下,我国网络黑产从业人员已超过150万，数据黑产链条已经形成庞大规模。

个人信息作为数据黑产链条的核心，个人信息犯罪呈现逐年递增、分布集中、罪犯年龄偏低、服务业发案率高的主要特点”有研究指出，互联网企业滥用个人信息的刑事追诉率与自然人相比显著偏低，互联网企业滥用个人信息呈现“有恃无恐”的状态，这在互联网企业中尤为突出，并且呈现愈演愈烈之趋势［1］o有数据表明,公安部“净网2018”专项行动共侦破个人信息类案件5千余件，抓获犯罪嫌疑人1.3万余名。

针对手机软件(以下简称“APP”)违法违规乱象，公安机关共清理不法APP3.5万余款,依法查处相关互联网企业104家。

据最高人民检察院官网信息,2018年全国检察机关共起诉侵犯公民个人信息犯罪5271人，同比上升20.2%。

中国消费者协会在2018年11月发布的《100款APP个人信息收集与隐私政策测评报告》指出，有91款APP 存在过度收集手机用户个人信息的问题，其中以“位置信息”“通讯录信息”“手机号码”的过度收集或使用最为常见。

版权声明本报告版权属于中国信息通信研究院安全研究所和南都个人信息保护研究中心，并受法律保护。

转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：中国信息通信研究院安全研究所和南都个人信息保护研究中心”。

违反上述声明者，将追究其相关法律责任。

编写团队编写单位：中国信息通信研究院安全研究所南都个人信息保护研究中心编写组成员：（按姓氏笔画排序）尤一炜、石莹、闫希敏、张则阳、张媛媛、彭志艺、蒋琳、魏薇随着移动互联网的进一步发展，“超级App+小程序”成为移动互联网时代开发者探索的新模式。

以微信、支付宝等移动应用程序（以下简称“App”）为代表的平台在其应用中搭载第三方小程序，丰富向用户提供服务的形式和内容。

2020年新冠肺炎疫情以来，小程序也成为政府机关、医疗机构、企事业单位、社区学校疫情防控的重要工具，进一步推动其快速发展。

目前，小程序作为常用互联网服务入口，已全面渗透用户生活，成为数字化时代不可或缺的一部分。

小程序在汇聚大量用户个人信息的同时也暴露一些在用户个人信息收集与使用方面的风险隐患。

本报告在研判小程序发展趋势和社会经济影响的基础上，系统梳理总结小程序与App以及小程序平台的关系，并通过个人信息安全评测，重点分析目前主流小程序存在的个人信息安全风险隐患，最后从政府、企业、用户三方面研究提出小程序个人信息保护的对策建议。

一、研究背景 (1)（一）小程序定义及特点 (1)（二）小程序发展现状 (2)（三）小程序管理现状 (4)二、小程序与APP和小程序平台的关系 (5)（一）小程序和A PP的差异 (5)（二）小程序和小程序平台的关系 (6)（三）小程序和小程序平台的责任划分 (9)三、小程序个人信息安全风险 (12)（一）隐私政策评测 (12)（二）数据安全检测 (15)四、对策建议 (20)（一）规范层面，建议将小程序纳入个人信息保护管理范畴 (20)（二）企业层面，切实落实个人信息保护主体责任 (21)（三）用户层面，提升使用小程序的个人信息保护意识和能力 (21)附录 (22)一、研究背景（一）小程序定义及特点近年来，受用户红利趋减、市场规模趋于饱和等影响，我国移动互联网用户增速在2019年2月已降至5%以下，2019年2月较2018年12月仅增长700万用户1，基于存量市场的流量竞争形势愈发严峻。

1 App违法违规收集使用个人信息 自评估指南 （App专项治理工作组 二零一九年三月）

本指南主要用于App运营者对其收集使用个人信息的情况进行自查自纠。App运营者应遵守《网络安全法》、《消费者权益保护法》等法律要求，参考个人信息保护国家标准，持续提升个人信息保护水平。

一、 隐私政策文本 评估项1：隐私政策的独立性、易读性 评估点 评估标准 1.是否有隐私政策 在App界面中能够找到隐私政策，包括通过弹窗、文本链接、常见问题（FAQs）等形式。

2.隐私政策是否单独成文 隐私政策以单独成文的形式发布，而不是作为用户协议、用户说明等文件中的一部分存在。

3.隐私政策是否易于访问 进入App主功能界面后，通过4次以内的点击，能够访问到隐私政策，且隐私政策链接位置突出、无遮挡。

4.隐私政策是否易于阅读 隐私政策文本文字显示方式（字号、颜色、行间距等）不会造成阅读困难。 2

评估项2：清晰说明各项业务功能及所收集个人信息类型 评估点 评估标准

5.是否明示收集个人信息的业务功能

隐私政策中应当将收集个人信息的业务功能逐项列举，不应使用“等、例如”字样。 注：业务功能是指App面向个人用户所提供的一类完整的服务，如地图导航、网络约车、即时通讯、社区社交、网络支付、新闻资讯、网上购物、短视频、快递配送、餐饮外卖、交通票务等；。 6.业务功能与所收集个人信息类型是否一一对应

隐私政策中对每个业务功能都应说明其所收集的个人信息类

型，不应出现多个业务功能对应一类个人信息的情况。

7.是否明示各项业务功能所收集的个人信息类型

每个业务功能在说明其所收集的个人信息类型时，应在隐私政

策中逐项列举，不应使用“等、例如”等方式概括说明。

8.是否显著标识个人敏感信息类型 隐私政策应对个人敏感信息类型进行显著标识（如字体加粗、标星号、下划线、斜体、颜色等）。 注：个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下（含）未成年人的个人信息等。（该定义见GB/T 35273《个人信息安全规范》3.2节）

申论热点：治理个人信息泄露，从APP开始一、理论政策《中华人民共和国网络安全法》已于2017年6月1日起施行，这是我国网络领域的基础性法律，明确加强了对个人信息的保护，打击网络诈骗。

中央网信办等四部门决定自2019年1月至12月，在全国范围组织开展APP违法违规收集使用个人信息专项治理。

为切实保障公民信息安全，有必要对APP收集使用个人信息加以限制，使之符合合法、正当、必要原则。

(一)问题表现1.APP过度收集用户信息中国互联网协会表示，通过技术检测以及用户举报发现，携程旅行、QQ音乐、酷我音乐等14款APP疑似存在过度收集“短信”“通讯录”“位置”“录音”等用户敏感信息，未经用户同意收集使用用户个人信息等问题。

2.互联网企业在加强用户个人信息保护方面不规范在发生信息泄露、滥用用户个人信息等信息安全事件后，用户经常遇到投诉无门、部门之间推诿扯皮的问题。

(二)原因分析1.服务提供商和用户之间存在明显不对等关系;相对于用户，服务提供商明显占据优势地位，其在服务协议中事先设置“默认同意”，如果用户取消勾选同意，将不能享有该项服务内容，用户处于被动地位，缺乏充分的自主选择权。

2.“默认同意”的法律定性及相应法律责任并不明晰;“默认同意”的法律定性及相应法律责任并不明晰，因此，不少网络服务提供商会“打擦边球”，侵犯用户权益。

3.企业收集的数据越多，营销价值就可能越大。

大数据时代，没人知道哪些数据会成为未来商业发展的重点，因此拥有足够多的数据才是重点，比如，很多手机APP在安装时都会出现“是否允许访问您的位置”提示，这就是为了收集用户的活动范围，从而了解用户的行为习惯。

(三)影响分析1.对企业来说，个人信息意味着较高的商业价值;2.对个人来说，一旦信息泄露，将导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力，造成个人信息扩散范围和用途的不可控，可能对个人信息主体人身和财产带来重大风险。

App违法违规收集使用个人信息行为认定方法根据《关于开展App违法违规收集使用个人信息专项治理的公告》，为监督管理部门认定App违法违规收集使用个人信息行为提供参考，为App运营者自查自纠和网民社会监督提供指引，落实《网络安全法》等法律法规，制定本方法。

一、以下行为可被认定为“未公开收集使用规则”1.在App中没有隐私政策，或者隐私政策中没有收集使用个人信息规则；2.在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；3.隐私政策等收集使用规则难以访问，如进入App主界面后，需多于4次点击等操作才能访问到；4.隐私政策等收集使用规则难以阅读，如文字过小过密、颜色过淡、模糊不清，或未提供简体中文版等。

二、以下行为可被认定为“未明示收集使用个人信息的目的、方式和范围”1.未逐一列出App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等；2.收集使用个人信息的目的、方式、范围发生变化时，未以适当方式通知用户，适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等；3.在申请打开可收集个人信息的权限，或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时，未同步告知用户其目的，或者目的不明确、难以理解；4.有关收集使用规则的内容晦涩难懂、冗长繁琐，用户难以理解，如使用大量专业术语等。

三、以下行为可被认定为“未经用户同意收集使用个人信息”1.征得用户同意前就开始收集个人信息或打开可收集个人信息的权限；2.用户明确表示不同意后，仍收集个人信息或打开可收集个人信息的权限，或频繁征求用户同意、干扰用户正常使用；3.实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围；4.以默认选择同意隐私政策等非明示方式征求用户同意；5.未经用户同意更改其设置的可收集个人信息权限状态，如App更新时自动将用户设置的权限恢复到默认状态；6.利用用户个人信息和算法定向推送信息，未提供非定向推送信息的选项；7.以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限，如故意欺瞒、掩饰收集使用个人信息的真实目的；8.未向用户提供撤回同意收集个人信息的途径、方式；9.违反其所声明的收集使用规则，收集使用个人信息。

藏匿于合法外衣下的不法App作者：暂无来源：《检察风云》 2020年第23期文/庄嘉上海市公安局2020年9月，以“网络安全为人民，网络安全靠人民”为主题的国家网络安全宣传周在全国范围开展。

宣传周伊始，习近平总书记强调，“要坚持促进发展和依法管理相统一，既大力培育新技术新应用，又要积极利用法律法规和标准规范引导新技术应用”。

在“互联网+”红利加持的当下，以App（移动互联网应用）为代表的新应用与手机、IPad等移动终端密切捆绑，处在互联网发展的风口。

据工业和信息化部网站数据显示，截至今年8月底，国内市场上监测到的App数量是351万款。

其中，8月新增上架App数量10万款，下架App数量16万款。

在移动互联网应用蓬勃发展的大背景下，如何促进App市场发展并兼顾市场依法管理，是主管部门的必解之题。

尽管主管部门协同发力，持续开展“净网”“剑网”“护苗”等专项治理行动，并瞄准了App的涉罪涉罚情形，但利用App实施违法犯罪的案件呈多发态势，设置陷阱迭代繁多，办案取证正遭遇前所未有的挑战。

App承载的数据沦为香饽饽，信息共享与定性界分存难互联网社会的基础是庞大的数据，数据对数字经济赋能作用显著。

正因如此，今年两会点名将制定《个人信息保护法》与《数据安全法》。

刑法修正案已确立侵犯公民个人信息罪，窃取、收买、非法提供信用卡信息罪，开了运用刑事法保护公民个人信息的先河。

由此可见，以数据为载体的侵犯公民个人信息问题正从行政法领域拓展至刑法规制层面。

与此同时，工业和信息化部以《信息安全技术个人信息安全规范》《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》《App违法违规收集使用个人信息行为认定方法》等作为定性和追责依据，开展了App违法违规收集使用个人信息的专项治理，定期通报侵害用户权益行为的App，对存在严重问题的App采取约谈、公开曝光、下架等处罚措施。

据“App专项治理工作组”于2020年6月发布的《App违法违规收集使用个人信息专项治理报告（2019）》，自2019年3月以来，已评估发现违法违规收集使用个人信息问题6976个。