圖片來源：unsplash

芥末堆12月30日文，國家互聯(lián)網信息辦公室、工業(yè)和信息化部辦公廳等四部門近日聯(lián)合發(fā)布《App違法違規(guī)收集使用個人信息行為認定方法》（以下簡稱《辦法》），為監(jiān)督管理部門認定App違法違規(guī)收集使用個人信息行為提供參考，除對“未經用戶同意收集使用個人信息”等做出具體指導，也對用戶行使刪除、更正、投訴等權利做了相應保障。

今年以來，教育部等各部門多次發(fā)文，對教育APP的規(guī)范發(fā)展問題做出相關規(guī)定。包括教育APP規(guī)范入校合作及個人數(shù)據(jù)、應用管理等方面多有涉及，但對于哪些收集使用個人信息行為屬于違規(guī)違法范疇卻未有指導細則出臺。

此次國家互聯(lián)網信息辦公室、工業(yè)和信息化部、公安部、市場監(jiān)管總局聯(lián)合發(fā)布上述《辦法》進一步對App違法違規(guī)收集使用個人信息行為做出相關認定。

其中，被認定為“未公開收集使用規(guī)則”共有四條，包括隱私政策等收集使用規(guī)則難以訪問，如進入App主界面后，需多于4次點擊等操作才能訪問到；隱私政策等收集使用規(guī)則難以閱讀，如文字過小過密、顏色過淡、模糊不清，或未提供簡體中文版等。

有關收集使用規(guī)則的內容晦澀難懂、冗長繁瑣，用戶難以理解，如使用大量專業(yè)術語的行為，被認定為“未明示收集使用個人信息的目的、方式和范圍”的，另外，包括未逐一列出App(包括委托的第三方或嵌入的第三方代碼、插件)收集使用個人信息的目的、方式、范圍等；收集使用個人信息的目的、方式、范圍發(fā)生變化時，未以適當方式通知用戶，適當方式包括更新隱私政策等收集使用規(guī)則并提醒用戶閱讀等都屬于該條目范圍。

而被認定為“未經用戶同意收集使用個人信息”共有9條，包括以默認選擇同意隱私政策等非明示方式征求用戶同意；利用用戶個人信息和算法定向推送信息，未提供非定向推送信息的選項；未向用戶提供撤回同意收集個人信息的途徑、方式；以欺詐、誘騙等不正當方式誤導用戶同意收集個人信息或打開可收集個人信息的權限，如故意欺瞞、掩飾收集使用個人信息的真實目的等。

因用戶不同意收集非必要個人信息或打開非必要權限，拒絕提供業(yè)務功能以及僅以改善服務質量、提升用戶體驗、定向推送信息、研發(fā)新產品等為由，強制要求用戶同意收集個人信息等，皆被認定為“違反必要原則，收集與其提供的服務無關的個人信息”。

既未經用戶同意，也未做匿名化處理，App客戶端直接向第三方提供個人信息，包括通過客戶端嵌入的第三方代碼、插件等方式向第三方提供個人信息；或者在前述前提下，數(shù)據(jù)傳輸至App后臺服務器后，向第三方提供其收集的個人信息的，可被認定為“未經同意向他人提供個人信息”。

除此之外，《辦法》對用戶行使刪除、更正等權利也做了相應保障?！掇k法》對此做出五條相關規(guī)定，其中包括：

未提供有效的更正、刪除個人信息及注銷用戶賬號功能；為更正、刪除個人信息或注銷用戶賬號設置不必要或不合理條件；以及雖提供了更正、刪除個人信息；注銷用戶賬號功能，但未及時響應用戶相應操作，需人工處理的，未在承諾時限內（承諾時限不得超過15個工作日，無承諾時限的，以15個工作日為限）完成核查和處理?？杀徽J定為“未按法律規(guī)定提供刪除或更正個人信息功能”。

此外，未建立并公布個人信息安全投訴、舉報渠道，或未在承諾時限內（承諾時限不得超過15個工作日，無承諾時限的，以15個工作日為限）受理并處理的。可被認定為“未公布投訴、舉報方式等信息”。

政策原文：關于印發(fā)《App違法違規(guī)收集使用個人信息行為認定方法》的通知