违规收集个人信息认定方法出炉 App数据使用进入强监管时代

本篇文章2483字，读完约6分钟

如何识别应用程序非法收集和使用个人信息？对此，四个部门联合发文给出了答案。12月30日，由国家互联网信息办公室、工业和信息化部、公安部和市场监管总局联合发布的《app非法收集和使用个人信息认定办法》(以下简称《认定办法》)在中国网通官方网站正式发布。从那以后，31种应用非法收集和使用个人信息都有规则可循。分析人士指出，《认定办法》出台后，司法部门和监管部门可以对app违法违规采集的个人信息进行专项整治，app数据采集也进入了强监管时代。

澄清六类违规行为

《北京商报》记者注意到，《认定办法》对31种非法收集和使用个人信息的行为进行了分类和认定，将其分为6类:未披露收集和使用规则、未披露收集和使用个人信息的目的和范围、未经用户同意收集和使用个人信息、收集与用户违反必要原则提供的服务无关的个人信息、未经用户同意向他人提供个人信息、未依法提供删除或更正个人信息的功能、未披露投诉和举报。

根据身份识别方法，“未公开的收集和使用规则”包括四种行为:应用程序中没有隐私政策，或者隐私政策中没有个人信息收集和使用规则，并且在应用程序首次运行时没有通过弹出窗口提示用户阅读隐私政策等收集和使用规则，隐私政策等收集和使用规则难以阅读，例如文字过细过密、颜色过淡过模糊，或者没有提供简体中文版本。

但是，应用程序收集和使用个人信息的目的、方法和范围没有一一列出，收集和使用规则的内容模糊、繁琐，用户难以理解。例如，使用大量专业术语等四种行为可视为“收集和使用个人信息的目的、方法和范围没有明确说明”。

此外，在用户明确表示不同意后，他仍然收集个人信息或开放收集个人信息的权利，或经常征求用户的同意，干扰用户的正常使用，并以非明确的方式征求用户的同意，如默认选择隐私政策，可视为“未经用户同意收集和使用个人信息”。

苏宁金融研究所金融科技中心主任孙杨指出:“这种鉴定方法经过反复研究和调查，已经得到了认真的确认，具有很强的针对性。细化要求收集所有信息的目的应该明确，信息的范围需要更加具体。其中，“未经用户同意收集和使用个人信息”的识别部分非常具体地定义了各种隐藏的、欺骗性的和欺骗性的个人信息收集。特别是定向信息推送的操作，现在有很多推送，给用户带来了很多麻烦。如果提供了关闭推送的选项，用户将会非常方便。”。

促进对非法应用的监督和识别

《北京商报》记者了解到，《认定办法》是为贯彻落实《网络安全法》等法律法规，根据此前《关于应用程序违法违规收集和使用个人信息专项治理的公告》(以下简称《公告》)制定的。主要是为监管部门认定app违法违规收集和使用个人信息提供参考，也为app运营商开展网民自查自纠和社会监督提供指导。

事实上，自今年1月以来，四个部门联合启动了app违规收集和使用个人信息的治理工作，app专项整治工作有序推进，各工作环节环环相扣。萨克研究所高级研究员苏指出，这次颁布的《认定办法》是对以往专项治理的工作总结和经验提炼；同时，在实际工作中，app收集各种形式的违反法律法规的个人信息，其中一些起到了“边缘球”的作用，一些机构不了解个人信息的违规情况，整改不积极，需要在监管层面进行细化管理。

苏进一步指出，一方面，《认定办法》对各种违法行为进行了分类，便于监管部门有针对性地进行管理；另一方面，通过各种数字标准明确了违法违规行为的认定，使规定更加详细、清晰，有利于组织严格按照标准开展整改工作。

值得注意的是，针对应用违规行为的整改，应用专项治理工作小组还向《今日北京》记者表示，随着今年的临近，监管部门将严厉打击应用违规行为，违规的应用运营商应整改相关问题。逾期未整改的，工作组将向相关部门报告，监管部门将依法处理。其中，对存在严重问题且未及时整改的应用运营商的处罚很多，如暂停相关业务、停业整顿、吊销相关营业执照或吊销营业执照等。

从业人员应尽快进行自我检查

值得注意的是，自近一年前启动针对应用程序违法违规收集和使用个人信息的专项治理以来，相关部门已经联合开展了多轮应用程序违规整改。其中，监管机构、行业专家和其他人士指出，金融应用已成为非法收集和使用个人信息的重灾区。

据《今日北京商报》记者的不完全统计，仅在今年下半年，就有60多个金融应用被命名为违规整改。鉴于金融应用违规的混乱局面，一些监管机构透露，相关部委将对软件商店采取联动措施，并及时采取措施移除不符合要求且存在重大风险的应用。

根据中国信息通信研究院发布的《2019年金融行业移动应用安全观察报告》，截至2019年9月11日，在13万多个金融行业应用中，70.22%存在高风险漏洞。从应用分类来看，互联网第三方支付和信托应用的高风险漏洞较为突出，保险、投资和金融管理类应用的高风险漏洞也较为严重。

《认定办法》发布后，孙杨告诉《今日北京商报》记者，下一步，司法部门和监管部门将对app违法违规收集的个人信息进行专项重锤整治，app数据采集也进入了强监管时代。从业人员必须尽快对个人信息采集违规行为实施自查和规范。

关于组织的自查和规范化，苏表示，“在应用违反法律法规收集和使用个人信息后，组织需要重点澄清哪些收集是必要信息，对于非必要信息，需要征得用户同意；同时，对于涉及外部机构的信息共享、信息访问和其他信息处理，有必要充分保护用户信息。”。

中国银行法学研究会会长肖伟(601988，诊断)(港股03988)进一步建议，应用运营商应提供修改和删除个人信息以及取消用户账户的功能，不要为修改和删除信息创造不必要和不合理的条件；应防止“两张皮”现象，以避免以下事实:虽然表面上个人信息被更正或删除或账户被注销，但原始信息仍保留在应用的背景中；此外，还需要建立和公布个人信息投诉和举报渠道，并在15个工作日内受理和处理投诉和举报。

相关监管机构指出，应用运营商在收集和使用个人信息时，应严格履行《网络安全法》规定的责任和义务，对收集的个人信息的安全负责，并采取有效措施加强个人信息保护。应用运营商可以参照相关规定，对自己收集和使用的个人信息进行自查自纠，积极提高个人信息保护水平。