重磅！《App违法违规收集使用个人信息行为认定方法》逐条解读

序号

条文

汇业黄春林律师解读

序言

根据《关于开展App违法违规收集使用个人信息专项治理的公告》，为监督管理部门认定App违法违规收集使用个人信息行为提供参考，为App运营者自查自纠和网民社会监督提供指引，落实《网络安全法》等法律法规，制定本方法。

（1）从效力级别上，191号文属于规范性文件，效力强于GB/T 2017 35273等推荐性国标；

（2）从行文内容看，191号文是作为监管“参考”，大部分条文遵从也是“可”；

（3）但从实际执行来看，191号文相关内容此前实际已经作为监管执法活动的依据或参考，例如APP治理工作组《关于61款App存在收集使用个人信息问题的通告》、工信部《关于侵害用户权益行为的APP（第一批）通报》等。

序号

条文

汇业黄春林律师解读

1.1

在App中没有隐私政策，或者隐私政策中没有收集使用个人信息规则。

除此之外，下列行为还可能会被认定为违规行为：

（1）隐私政策没有单独成文；

（2）隐私政策链接无效；

（3）隐私政策内容主文缺失；等等。

1.2

在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则。

除此之外，下列行为还可能会被认定为违规行为：

（1） 首次注册时未以显著方式提供隐私政策；

（2）首次登录时未以显著方式提供隐私政策；等等

1.3

隐私政策等收集使用规则难以访问，如进入App主界面后，需多于4次点击等操作才能访问到。

我们通常建议在APP的一级目录之下设置隐私政策链接，例如“我的”、“用户中心”、“设置”等。

1.4

其他违反公开收集使用规则要求的情形。

更多内容参照《个人信息安全规范》、《互联网个人信息安全保护指南》、《App违法违规收集使用个人信息自评估指南》、《信息安全技术 移动互联网应用（App）收集个人信息基本规范（草案）》、《关于开展APP侵害用户权益专项整治工作的通知》等。

序号

条文

汇业黄春林律师解读

2.1

未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等。

（1） 第三方SDK监管是近期执法监管的重点（部分企业已经被点名通报），也是191号文和《个人信息安全规范》修订增加的重要内容；

（2） 第三方代码、插件 收集个人信息视同 App 收集，App 应防止第三方代码、插件收集无关的个人信息；相反的，如第三方代码、插件自行向用户明示其收集、使用个人信息的目的、方式、范围，并征得 用户同意，则第三方代码、插件独立对其个人信息收集行为承担责任；

（3）隐私政策中需完整列举每项功能收集、使用个人信息的目的、范围等，不得概括描述，亦不得用“等”字样开放列举；等

2.2

收集使用个人信息的目的、方式、范围发生变化时，未以适当方式通知用户，适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等。

（1）APP功能调整或变化影响个人信息收集范围和目的的，应及时调整隐私政策内容；

（2）隐私政策主要内容调整后，应当以显著的方式提醒用户阅读确认；等

2.3

在申请打开可收集个人信息的权限，或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时，未同步告知用户其目的，或者目的不明确、难以理解。

（1）该条主要指APP主动收集个人信息时，不含用户主动提交个人信息的情形；

（2）尽管如此，除隐私政策外，我们建议APP在每一个具有收集个人信息的页面以文案等方式简要告知用户，并提供隐私政策的链接；等

2.4

有关收集使用规则的内容晦涩难懂、冗长繁琐，用户难以理解，如使用大量专业术语等。

（1）我们建议隐私政策首部或弹窗页面应当提供内容概要；

（2）我们建议隐私政策采用通俗易懂的平实语言草拟，并使用敬称；

（3）我们建议隐私政策中提供帮助用户理解隐私政策条文的咨询渠道；等

序号

条文

汇业黄春林律师解读

3.1

征得用户同意前就开始收集个人信息或打开可收集个人信息的权限

（1）从效力级别上，APP安装过程中收集个人信息的，同步展示隐私政策或说明文案；

（2） 严禁APP未打开状态下系统后台默认收集位置、语音、相机及APP安装记录等信息；

（3）测试版APP亦应当设置隐私政策；等

3.2

用户明确表示不同意后，仍收集个人信息或打开可收集个人信息的权限，或频繁征求用户同意、干扰用户正常使用。

（1）用户关闭弹窗，并不必然意味着“明确表示不同意”；

（2）若用户不同意提供满足核心功能的个人信息的，APP应当采取关闭等处理方式；

（3）何为“频繁”，目前并无明确的指引规定；但实践中一般建议间隔不得少于48小时（参照《信息安全技术 移动互联网应用（App）收集个人信息基本规范（草案）》）或者用户再次触发具有收集个人信息的非核心功能；等

3.3

实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围。

（1）我们建议制定隐私政策前，应当广泛调研、访谈业务、技术部门；

（2） 相反的，隐私政策描述的收集范围亦不得大于实际收集的范围；

（3）即便未实际收集，但打开了相关权限或功能的，也属于违规行为；等

3.4

以默认选择同意隐私政策等非明示方式征求用户同意。

（1）尽管该条有争议，但仍然推荐APP采取主动勾选、点击等方式明示获得用户的隐私政策、提示文案等的同意；

（2）采取默认方式获得用户同意的，必须要有合理、充分的理由；

（3）严禁APP以后台默认开启功能等方式获得用户的敏感个人信息的授权；等

3.5

未经用户同意更改其设置的可收集个人信息权限状态，如App更新时自动将用户设置的权限恢复到默认状态。

（1）更改用户授权方式必须由用户自行、主动做出；

（2）版本自动更新、迭代时（不含新APP上线），应当保持用户授权的连续性；等

3.6

利用用户个人信息和算法定向推送信息，未提供非定向推送信息的选项。

（1） 该条与《电子商务法》、《数据安全管理办法（征求意见稿）》等一脉相承，应当充分保证用户的选择权；

（2）即，提供个性化推送功能的，同时应当提供基于自然排序结果的推送选项；

（3）此外，APP还应当在算法透明度和算法备案等方面多维度开展合规审查；等

3.7

以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限，如故意欺瞒、掩饰收集使用个人信息的真实目的。

（1） APP不得通过遮挡、调换等技术措施骗取用户的同意；

（2）APP亦不得通过抽奖、红包等非法方式诱导用户提供授权、上传通讯录、转发个人信息收集链接；等

3.8

未向用户提供撤回同意收集个人信息的途径、方式

APP应当通过下列方式向用户提供撤回同意的渠道：

（1）系统在线完成的方式；

（2）便捷的客服联系方式及及时的响应机制；等

3.9

违反其所声明的收集使用规则，收集使用个人信息。

更多内容参照《个人信息安全规范》、《互联网个人信息安全保护指南》、《App违法违规收集使用个人信息自评估指南》、《信息安全技术 移动互联网应用（App）收集个人信息基本规范（草案）》、《关于开展APP侵害用户权益专项整治工作的通知》等。

序号

条文

汇业黄春林律师解读

4.1

实际收集的个人信息类型与现有业务功能无关，无关是指该类信息并非实现现有业务功能所必需。

APP应当确保收集的个人信息满足如下合理解释：

（1）向用户提供一项业务或多项业务所必须的；

（2） 业务反欺诈或风控所必须的；

（3）保证APP运行安全所必须的；

（4）符合行业普遍性惯例的；

（5） 慎重收集设备唯一标识（IMEI\MAC等）

（6）符合《信息安全技术 移动互联网应用（App）收集个人信息基本规范（草案）》附件所列指引；等

4.2

因用户不同意收集非必要个人信息或打开非必要权限，拒绝提供业务功能。

（1）APP不得捆绑授权、概括授权；

（2）“必要信息”可参考《信息安全技术 移动互联网应用（App）收集个人信息基本规范（草案）》3.4条内容判断；等

4.3

App新增业务功能申请收集的个人信息超出用户原有同意范围，若用户不同意，则拒绝提供原有业务功能，新增业务功能取代原有业务功能的除外。

（1）虽然这一条争议较大，但仍推荐企业通过独立APP的方式新增业务功能（大哭）；

（2）如何判断“取代”，实践中会存在极大的理解困扰；等

4.4

收集个人信息的频度等超出业务功能实际需要。

APP应能提供收集用户位置信息、安装信息等频度的合理解释，包括但不限于业务必要、安全、风控等。

4.5

仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，强制要求用户同意收集个人信息。

（1）该条与正在修订中的《个人信息安全规范》、征求意见稿中的《数据安全管理办法》等一脉相承；

（2）APP可以基于该等目的收集用户个人信息，但不得捆绑授权；

（3）业务逻辑基于个性化推送的电商、社交或新闻类APP影响极大；等

4.6

要求用户一次性同意打开多个可收集个人信息的权限，用户不同意则无法使用。

（1）我们理解，该条是基于APP的非核心业务功能而言；

（2）基于191号文及近期整体执法实践，APP可单独设置一个匿名“浏览区”作缓冲，以避免闪退导致的合规风险；等

序号

条文

汇业黄春林律师解读

5.1

既未经用户同意，也未做匿名化处理，App客户端直接向第三方提供个人信息，包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息。

（1）用户同意，可以是APP征得用户同意，也可以是第三方通过SDK等方式直接获得用户同意（推荐）；

（2）这个“也”字（征求意见稿是“且”）就很难理解的，因为按照《个人信息安全规范》，“匿名化”是指通过对个人信息的技术处理，使得个人信息主体无法被识别，且处理后的信息不能被复原的过程。那种信息提供给第三方根本无法满足业务需求；等。

5.2

既未经用户同意，也未做匿名化处理，数据传输至App后台服务器后，向第三方提供其收集的个人信息。

（1）同上一条；

（2）在技术可行且不影响终端和服务正常的情况下，App 应优先在用户终端中存储、使用、共享所收集的个人信息；等

5.3

App接入第三方应用，未经用户同意，向第三方应用提供个人信息。

（1）用户同意需要在隐私政策和功能文案中同步展示和取得；

（2）APP外跳转页面时，应当以显著的方式提示用户；等

序号

条文

汇业黄春林律师解读

6.1

未提供有效的更正、删除个人信息及注销用户账号功能。

（1） 有效的方式包括但不限于：在线自动化；便捷的、及时的客服人工支持；等；

（2） 在此之前，上海市通管局因该条合规要求已经约谈了多家公司；

（3） 按照电商法要求，toB的电商类APP亦应当提供注销的方式；

（4）建议加强客服部门培训；等。

6.2

为更正、删除个人信息或注销用户账号设置不必要或不合理条件。

（1）APP设置等待期、身份核验等条件的，应当满足必要性、合理性，例如交易未结束（7天无理由退货期）、预存资金未提现等；

（2）其他法律有明确规定不得删除、注销的；等

6.3

虽提供了更正、删除个人信息及注销用户账号功能，但未及时响应用户相应操作，需人工处理的，未在承诺时限内（承诺时限不得超过15个工作日，无承诺时限的，以15个工作日为限）完成核查和处理。

（1）建议及时（一般建议不超过3个工作日）响应用户的权利实现请求；

（2）与《个人信息安全规范》和工信部24号令要求不同，需要APP在15个工作日内完成核查及处理；

（3）“处理”是否等于“执行完毕”，需要执法实践中进一步明确；

（4）用户注销后，企业应当明确如何处理账户内积分、虚拟商品，以及新用户注册后问题；

（5）账户正式注销后信息删除的，建议要求用户二次确认，包括账户内权益处置方式；等

6.4

更正、删除个人信息或注销用户账号等用户操作已执行完毕，但App后台并未完成的

（1）其他法律法规对用户信息保存有特别规定的，从其规定；

（2）APP应当准确理解《个人信息安全规范》意义上的“删除”含义；

（3）APP应当建立用户信息删除、注销后的处置策略及方式；等

6.5

未建立并公布个人信息安全投诉、举报渠道，或未在承诺时限内（承诺时限不得超过15个工作日，无承诺时限的，以15个工作日为限）受理并处理的。

（1）该时间放宽了工信部24号令的合规要求；

（2）建议隐私政策中增加专门的投诉、举报条款；

（3）建议加强客服部门培训及执行；等