手机下载APP，在高速发展的互联网上“冲浪”，个人隐私如何得到有力保护？5月6日，中央网信办官网全文公布《APP违法违规收集使用个人信息行为认定方法（征求意见稿）》（下称《认定方法》），并转发通知，就《认定方法》面向社会公开征求意见。

据了解，《认定方法》曾在今年4月21日，全国网信战线专家参加的“2019年全国信息安全标准化技术委员会第一次会议周”现身。

当时就有媒体引述网信战线专家的话报道，《认定方法》的制定意在落实今年1月份中央网信办、工信部、公安部、市场监管总局四部门联合发布的《关于APP违法违规收集使用个人信息专项治理的公告》，依据《网络安全法》《消费者权益保护法》关于个人信息保护的相关要求，明确APP违法违规收集使用个人信息行为的认定规则。

《认定方法》中，包括了未公开收集、使用个人信息规则，未明示收集、使用个人信息的目的、方式和范围；未经被收集者同意收集、使用个人信息；违反正当性原则，强迫用户授权同意收集、使用个人信息；收集与其提供的服务无关的个人信息；未经用户同意向他人提供个人信息；不支持更正或删除个人信息、注销用户账号等七大类39种情形的认定。

参与制定《认定方法》，同时也是来自APP违法违规收集使用个人信息专项治理工作组的洪延青博士介绍：“今年3月1日，工作组已开通了一个APP个人信息举报公众号，用户通过上传证据等随时进行举报。收到举报信息之后，我们有专门的工作组进行情况的核验，如果存在的话，我们再根据下载量或者反映问题的集中度纳入评估，最后我们争取做到对实名举报进行回复。”目前，通过公众号和邮箱已有3480条举报，其中实名举报1040多条，涉及APP1300多款，当前100多款APP已完成评估并发布了评估指南。4月初，工作组经中央网信办同意后，对外发布了当中问题较严重的APP，并下发整改通知函，要求企业在一个月内完成整改，并提供反馈报告。

APP违法违规收集使用个人信息行为认定方法（征求意见稿）

落实《关于开展APP违法违规收集使用个人信息专项治理的公告》，依据《网络安全法》等法律法规，参照国家标准《个人信息安全规范》，制定本文件。

一、没有公开收集使用规则的情形

1.没有隐私政策、用户协议，或者隐私政策、用户协议中没有相关收集使用规则的内容；

2.在APP安装、使用等过程中均未通过弹窗、链接等方式提示用户阅读隐私政策，或隐私政策链接无效、文本无法正常显示；

3.进入APP主功能界面后，多于4次点击、滑动才能访问到隐私政策；

4.其他违反公开收集使用规则要求的情形。

二、没有明示收集使用个人信息的目的、方式和范围的情形

1.收集使用信息的目的违反合法、正当、必要原则，如仅仅以改善程序功能、提高用户体验、定向推送等为目的收集用户个人信息；

2.没有逐一列出收集个人信息的类型、频率，特别是针对个人敏感信息；

3.收集使用个人信息的目的、方式和范围发生变化，未以适当方式通知用户，适当方式包括更新隐私政策并提醒用户重新阅读授权等；

4.在申请可收集个人信息的权限时，未告知收集使用的目的，如在申请调阅通讯录时没有说明原因；

5.每次要求用户提供个人敏感信息时，如身份证号、银行卡号等，未同步实时说明原因；

6.有关收集使用规则的内容晦涩难懂、冗长繁琐；

7.其他没有明示收集使用个人信息的目的、方式和范围的情形。

三、未经同意收集使用个人信息的情形

1.未经同意就开始收集个人信息，如APP首次运行、提示用户阅读隐私政策前就开始收集个人信息；

2.用户明确拒绝后，仍收集个人信息，如用户不同意被收集地理位置信息时仍然收集；

3.实际收集使用的个人信息超出用户授权的范围；

4.利用用户信息和算法定向推送新闻、广告等，未提供终止定向推送的选项；

5.未经用户同意，私自调用可收集用户个人信息权限；

6.在未打开或使用APP时，APP后台调用用户个人信息；

7.未经用户同意私自更改用户设置的权限，包括APP更新时将用户设置的权限恢复到默认状态；

8.用户明确拒绝APP收集个人信息请求，APP仍频繁征求用户同意，干扰用户正常使用；

9.违背与用户约定，不按隐私政策中的收集使用规则收集使用个人信息；

10.其他未经同意收集使用个人信息的情形。

四、违反必要性原则，收集与其提供的服务无关的个人信息的情形

1.实际收集的个人信息类型与现有业务功能无关，无关是指该类信息并非实现现有业务功能所必需；

2.在用户使用业务功能时，收集个人信息的频率等超出所使用的业务功能需要；

3.捆绑多项业务功能一揽子征求用户同意，不同意则不提供任何单一服务；

4.当用户拒绝某一业务功能收集个人信息的请求时，APP停止提供其他业务功能；

5.如提供未经注册即可使用（如支持浏览、游客模式）的业务功能，用户若不同意收集此类业务功能所需以外的个人信息，APP拒绝提供所有服务；

6.新增业务功能时，需收集的个人信息超出原有同意范围，如用户不同意收集，则拒绝提供原有业务功能，新增业务功能将取代原有业务功能的除外；

7.申请打开可收集无关信息的权限；

8.其他收集与其提供的服务无关的个人信息的情形。

五、未经同意向他人提供个人信息的情形

1.未经同意，且未做匿名化处理，从客户端直接向第三方提供个人信息，包括APP客户端嵌入第三方代码、插件（如sdk）等方式向第三方提供；

2.数据传输至APP服务器后，未经同意，且未经匿名化处理，向第三方提供其收集的个人信息；

3.其他未经同意向他人提供个人信息的情形。

六、未按法律规定提供删除或更正个人信息功能的情形

1.未提供更正、删除个人信息，注销用户账号的功能；

2.对于提供在线操作方式、客服电话、电子邮件等方式的，进行相关操作未响应的；

3.需人工处理的，受理后未在承诺时限内（无承诺时限的，以15个工作日为限）完成核查和处理的；

4.更正、删除或注销操作提示完成后，依然未能更正、删除个人信息，注销用户账号的；

5.其他未采取措施予以删除或者更正的情形。

七、侵犯未成年人在网络空间合法权益的情形

1. 未经监护人同意，收集使用14 周岁以下(含)未成年人个人信息；

2. 未经监护人同意，利用14 周岁以下(含)未成年人信息和算法开展个性化推送新闻、时政信息、广告等定向推送活动。

■公众可通过以下途径提出反馈意见

1.电子邮箱：pip-02@tc260.org.cn，邮件主题请注明“认定方法征求意见”

2.通信地址：北京市东城区朝阳门内大街225号636办公室，邮编：100010，请在信封上注明“认定方法征求意见”。

意见反馈截止日期为2019年5月26日。

■来源/中央网信办官网

■编辑/张永忠