來源:信安标委網站
各有關單位及專家:
落實《關于開(kāi)展App違法違規收集使用個人信息專項治理的公告》,App專項治理工作組在中央網信辦、工信部、公安部、市場監管總局指導下,開(kāi)展了App違法違規收集使用個人信息安全評估,發(fā)現一些App存在強制授權、過(guò)度索權、超範圍收集個人信息等問題。
爲了明确界定App收集使用個人信息方面(miàn)的違法違規行爲,爲App運營者自查自糾提供指引,爲App評估和處置提供參考, App專項治理工作組起(qǐ)草了《App違法違規收集使用個人信息行爲認定方法(征求意見稿)》,現向(xiàng)社會(huì)公開(kāi)征求意見。公衆可通過(guò)以下途徑提出反饋意見:
1.電子郵箱:pip-02@tc260.org.cn,郵件主題請注明“認定方法征求意見”
2.通信地址:北京市東城區朝陽門内大街225号636辦公室,郵編:100010,請在信封上注明“認定方法征求意見”。
意見反饋截止日期爲2019年5月26日。
App專項治理工作組
2019年5月5日
App違法違規收集使用個人信息行爲認定方法(征求意見稿)
落實《關于開(kāi)展App違法違規收集使用個人信息專項治理的公告》,依據《網絡安全法》等法律法規,參照國(guó)家标準《個人信息安全規範》,制定本文件。
一、沒(méi)有公開(kāi)收集使用規則的情形
1.沒(méi)有隐私政策、用戶協議,或者隐私政策、用戶協議中沒(méi)有相關收集使用規則的内容;
2.在App安裝、使用等過(guò)程中均未通過(guò)彈窗、鏈接等方式提示用戶閱讀隐私政策,或隐私政策鏈接無效、文本無法正常顯示;
3.進(jìn)入App主功能(néng)界面(miàn)後(hòu),多于4次點擊、滑動才能(néng)訪問到隐私政策;
4.其他違反公開(kāi)收集使用規則要求的情形。
二、沒(méi)有明示收集使用個人信息的目的、方式和範圍的情形
1.收集使用信息的目的違反合法、正當、必要原則,如僅僅以改善程序功能(néng)、提高用戶體驗、定向(xiàng)推送等爲目的收集用戶個人信息;
2.沒(méi)有逐一列出收集個人信息的類型、頻率,特别是針對(duì)個人敏感信息;
3.收集使用個人信息的目的、方式和範圍發(fā)生變化,未以适當方式通知用戶,适當方式包括更新隐私政策并提醒用戶重新閱讀授權等;
4.在申請可收集個人信息的權限時,未告知收集使用的目的,如在申請調閱通訊錄時沒(méi)有說明原因;
5.每次要求用戶提供個人敏感信息時,如身份證号、銀行卡号等,未同步實時說明原因;
6.有關收集使用規則的内容晦澀難懂、冗長(cháng)繁瑣;
7.其他沒(méi)有明示收集使用個人信息的目的、方式和範圍的情形。
三、未經(jīng)同意收集使用個人信息的情形
1.未經(jīng)同意就開(kāi)始收集個人信息,如App首次運行、提示用戶閱讀隐私政策前就開(kāi)始收集個人信息;
2.用戶明确拒絕後(hòu),仍收集個人信息,如用戶不同意被(bèi)收集地理位置信息時仍然收集;
3.實際收集使用的個人信息超出用戶授權的範圍;
4.利用用戶信息和算法定向(xiàng)推送新聞、廣告等,未提供終止定向(xiàng)推送的選項;
5.未經(jīng)用戶同意,私自調用可收集用戶個人信息權限;
6.在未打開(kāi)或使用App時,App後(hòu)台調用用戶個人信息;
7.未經(jīng)用戶同意私自更改用戶設置的權限,包括App更新時將(jiāng)用戶設置的權限恢複到默認狀态;
8.用戶明确拒絕App收集個人信息請求,App仍頻繁征求用戶同意,幹擾用戶正常使用;
9.違背與用戶約定,不按隐私政策中的收集使用規則收集使用個人信息;
10.其他未經(jīng)同意收集使用個人信息的情形。
四、違反必要性原則,收集與其提供的服務無關的個人信息的情形
1.實際收集的個人信息類型與現有業務功能(néng)無關,無關是指該類信息并非實現現有業務功能(néng)所必需;
2.在用戶使用業務功能(néng)時,收集個人信息的頻率等超出所使用的業務功能(néng)需要;
3.捆綁多項業務功能(néng)一攬子征求用戶同意,不同意則不提供任何單一服務;
4.當用戶拒絕某一業務功能(néng)收集個人信息的請求時,App停止提供其他業務功能(néng);
5.如提供未經(jīng)注冊即可使用(如支持浏覽、遊客模式)的業務功能(néng),用戶若不同意收集此類業務功能(néng)所需以外的個人信息,App拒絕提供所有服務;
6.新增業務功能(néng)時,需收集的個人信息超出原有同意範圍,如用戶不同意收集,則拒絕提供原有業務功能(néng),新增業務功能(néng)將(jiāng)取代原有業務功能(néng)的除外;
7.申請打開(kāi)可收集無關信息的權限;
8.其他收集與其提供的服務無關的個人信息的情形。
五、未經(jīng)同意向(xiàng)他人提供個人信息的情形
1.未經(jīng)同意,且未做匿名化處理,從客戶端直接向(xiàng)第三方提供個人信息,包括App客戶端嵌入第三方代碼、插件(如sdk)等方式向(xiàng)第三方提供;
2.數據傳輸至App服務器後(hòu),未經(jīng)同意,且未經(jīng)匿名化處理,向(xiàng)第三方提供其收集的個人信息;
3.其他未經(jīng)同意向(xiàng)他人提供個人信息的情形。
六、未按法律規定提供删除或更正個人信息功能(néng)的情形
1.未提供更正、删除個人信息,注銷用戶賬号的功能(néng);
2.對(duì)于提供在線操作方式、客服電話、電子郵件等方式的,進(jìn)行相關操作未響應的;
3.需人工處理的,受理後(hòu)未在承諾時限内(無承諾時限的,以15個工作日爲限)完成(chéng)核查和處理的;
4.更正、删除或注銷操作提示完成(chéng)後(hòu),依然未能(néng)更正、删除個人信息,注銷用戶賬号的;
5.其他未采取措施予以删除或者更正的情形。
七、侵犯未成(chéng)年人在網絡空間合法權益的情形
1. 未經(jīng)監護人同意,收集使用14 周歲以下(含)未成(chéng)年人個人信息;
2. 未經(jīng)監護人同意,利用14 周歲以下(含)未成(chéng)年人信息和算法開(kāi)展個性化推送新聞、時政信息、廣告等定向(xiàng)推送活動。
上一篇: 金融科技與“一帶一路”