网信办新规征求意见：向过度索权的手机App“开刀”

手机APP（应用程序）过度索权、注销难等导致个人信息“裸奔”的现象，近年来屡屡被曝光并引发关注。针对手机APP违法违规收集和使用个人信息问题，有关部门连出重拳。今年，中央网信办、工信部、公安部、市场监管总局等四部门开展专项治理行动，向违法违规手机APP“开刀”。

手机APP的哪些伎俩属于违法违规收集个人信息？根据国家网信办官网消息，《APP违法违规收集使用个人信息行为认定方法（征求意见稿）》（以下简称《征求意见稿》）近日公开征求社会意见，对相关行为给出了较为明确的界定。

7种APP情形被认定为违法违规

根据《征求意见稿》，APP违法违规收集使用个人信息共有7种情形，包括没有公开收集使用规则；没有明示收集使用个人信息的目的、方式和范围；未经同意收集使用个人信息；违反必要性原则收集与其提供的服务无关的个人信息；未经同意向他人提供个人信息；未按法律规定提供删除或更正个人信息功能；侵犯未成年人在网络空间合法权益。

针对上述7种情形，《征求意见稿》有进一步的详细规定。例如，APP没有隐私政策、用户协议，在安装、使用等过程中均未通过弹窗、链接等方式提示用户阅读隐私政策，进入APP主功能界面后，多于4次点击、滑动才能访问到隐私政策等，都算作违法违规行为。

业内人士指出，《征求意见稿》的制定和公开征求意见，标志着APP违法违规专项治理行动又向前迈进了一步。这一规定既为手机APP运营者自查自纠提供了指引，也为有关监管部门评估和处置违法违规APP提供了参考，内容更加细化，同时切中了专项治理过程中的突出问题，有利于行业的有序发展，也利于公民的个人隐私得到更完善的保护。

“强制授权”等将受到严厉处罚

针对用户“吐槽”已久的一些违法违规情形，《征求意见稿》作出了明确的认定。例如，一些APP仅以改善程序功能、提高用户体验为由，收集用户个人信息；不少APP在申请调阅通讯录等权限时，未告知用户收集使用的目的；很多APP收集使用规则的内容晦涩难懂、长如“天书”；一些APP利用个人信息定向推送新闻、广告，却不提供终止推送的选项……以上这些行为，都被认定为违法违规。

与此同时，强制授权、过度索权、超范围收集、注销难等诸多行为都有明确的认定规则，如收集与现有业务无关的个人信息、收集频率等超出业务功能需要，未提供更正、删除个人信息和注销用户账号功能等。

中央网信办网络安全协调局巡视员兼副局长杨春艳表示，对于存在的问题和消费者反映强烈的问题，APP监管部门将重拳出击。对强制、过度收集个人信息，未经消费者同意、违反法律法规规定和双方约定收集、使用个人信息，发生或可能发生信息泄露、丢失而未采取补救措施，非法出售、非法向他人提供个人信息等行为，按照《网络安全法》《消费者权益保护法》等依法予以处罚。公安机关开展打击整治网络侵犯公民个人信息违法犯罪专项工作，依法严厉打击针对和利用个人信息的违法犯罪行为。

彻底打破滥取用户信息的潜规则

据悉，自APP违法违规收集使用个人信息专项治理工作组成立以来，至今年4月上旬，举报信息已近3500条，涉及1300余款APP。其中，对于30款用户量大、问题严重的APP，工作组已向其运营者发出了整改通知。

移动安全专家田铭表示，在大数据时代，一些互联网企业将手机APP用户视为重要资源，过度、过量索取用户隐私已成潜规则。企业获取的消费者信息越多，能绘制的消费者画像就越精准，从而达到流量变现的目的。

而获取消费者信息后，企业的数据保存和利用也存在安全隐患。一些企业的数据库缺乏有力的安全防护，在遭遇网络攻击时容易造成用户数据泄露。因此，专家指出，在认定方法最终出台后，要让相关规范在行业中得到严格执行，还需要一个循序渐进的过程。应通过技术性、长效性的个人信息保护解决方案，从源头上规范APP运营商的研发和推广，有效解决APP违规违法使用个人信息问题。

有APP运营者表示，运营团队十分关注认定方法的提出，也正在按照法律法规要求进行自查自纠。未来，将根据《征求意见稿》的进展做好合规准备，及时按照规定的要求查漏补缺，保护好用户的个人信息安全。

以下为《关于征求<App违法违规收集使用个人信息行为认定方法（征求意见稿）>意见的通知》全文：

落实《关于开展App违法违规收集使用个人信息专项治理的公告》，依据《网络安全法》等法律法规，参照国家标准《个人信息安全规范》，制定本文件。

一、没有公开收集使用规则的情形

1.没有隐私政策、用户协议，或者隐私政策、用户协议中没有相关收集使用规则的内容；

2.在App安装、使用等过程中均未通过弹窗、链接等方式提示用户阅读隐私政策，或隐私政策链接无效、文本无法正常显示；

3.进入App主功能界面后，多于4次点击、滑动才能访问到隐私政策；

4.其他违反公开收集使用规则要求的情形。

二、没有明示收集使用个人信息的目的、方式和范围的情形

1.收集使用信息的目的违反合法、正当、必要原则，如仅仅以改善程序功能、提高用户体验、定向推送等为目的收集用户个人信息；

2.没有逐一列出收集个人信息的类型、频率，特别是针对个人敏感信息；

3.收集使用个人信息的目的、方式和范围发生变化，未以适当方式通知用户，适当方式包括更新隐私政策并提醒用户重新阅读授权等；

4.在申请可收集个人信息的权限时，未告知收集使用的目的，如在申请调阅通讯录时没有说明原因；

5.每次要求用户提供个人敏感信息时，如身份证号、银行卡号等，未同步实时说明原因；

6.有关收集使用规则的内容晦涩难懂、冗长繁琐；

7.其他没有明示收集使用个人信息的目的、方式和范围的情形。

三、未经同意收集使用个人信息的情形

1.未经同意就开始收集个人信息，如App首次运行、提示用户阅读隐私政策前就开始收集个人信息；

2.用户明确拒绝后，仍收集个人信息，如用户不同意被收集地理位置信息时仍然收集；

3.实际收集使用的个人信息超出用户授权的范围；

4.利用用户信息和算法定向推送新闻、广告等，未提供终止定向推送的选项；

5.未经用户同意，私自调用可收集用户个人信息权限；

6.在未打开或使用App时，App后台调用用户个人信息；

7.未经用户同意私自更改用户设置的权限，包括App更新时将用户设置的权限恢复到默认状态；

8.用户明确拒绝App收集个人信息请求，App仍频繁征求用户同意，干扰用户正常使用；

9.违背与用户约定，不按隐私政策中的收集使用规则收集使用个人信息；

10.其他未经同意收集使用个人信息的情形。

四、违反必要性原则，收集与其提供的服务无关的个人信息的情形

1.实际收集的个人信息类型与现有业务功能无关，无关是指该类信息并非实现现有业务功能所必需；

2.在用户使用业务功能时，收集个人信息的频率等超出所使用的业务功能需要；

3.捆绑多项业务功能一揽子征求用户同意，不同意则不提供任何单一服务；

4.当用户拒绝某一业务功能收集个人信息的请求时，App停止提供其他业务功能；

5.如提供未经注册即可使用（如支持浏览、游客模式）的业务功能，用户若不同意收集此类业务功能所需以外的个人信息，App拒绝提供所有服务；

6.新增业务功能时，需收集的个人信息超出原有同意范围，如用户不同意收集，则拒绝提供原有业务功能，新增业务功能将取代原有业务功能的除外；

7.申请打开可收集无关信息的权限；

8.其他收集与其提供的服务无关的个人信息的情形。

五、未经同意向他人提供个人信息的情形

1.未经同意，且未做匿名化处理，从客户端直接向第三方提供个人信息，包括App客户端嵌入第三方代码、插件（如sdk）等方式向第三方提供；

2.数据传输至App服务器后，未经同意，且未经匿名化处理，向第三方提供其收集的个人信息；

3.其他未经同意向他人提供个人信息的情形。

六、未按法律规定提供删除或更正个人信息功能的情形

1.未提供更正、删除个人信息，注销用户账号的功能；

2.对于提供在线操作方式、客服电话、电子邮件等方式的，进行相关操作未响应的；

3.需人工处理的，受理后未在承诺时限内（无承诺时限的，以15个工作日为限）完成核查和处理的；

4.更正、删除或注销操作提示完成后，依然未能更正、删除个人信息，注销用户账号的；

5.其他未采取措施予以删除或者更正的情形。

七、侵犯未成年人在网络空间合法权益的情形

1.未经监护人同意，收集使用14周岁以下(含)未成年人个人信息；

2.未经监护人同意，利用14周岁以下(含)未成年人信息和算法开展个性化推送新闻、时政信息、广告等定向推送活动。

来源：人民日报海外版