本篇文章2954字,读完约7分钟
今年,应用的个人信息安全引起了热烈的讨论。
12月30日,国家互联网信息办公室、工业和信息化部、公安部和国家市场监管总局联合发布了《app非法收集和使用个人信息认定办法》(以下简称《办法》)。
“方法”定义了应用程序违反法律法规收集和使用个人信息的六种方法。其中,在获得用户同意之前开始收集个人信息或开放收集个人信息的权利;在用户明确表示不同意后收集个人信息或开放收集个人信息的权利,或频繁征求用户同意并干扰用户正常使用的行为,可视为“未经用户同意收集和使用个人信息”。
这六类收集用户信息是非法的!
12月30日,国家互联网信息办公室官方网站发布公告,四部门联合发布《应用程序违法违规收集和使用个人信息认定办法》的通知。通知指出:
根据《关于开展app非法收集和使用个人信息专项治理的公告》,为监督管理部门识别app非法收集和使用个人信息提供参考,为app运营商开展网民自查自纠和社会监督提供指导,为贯彻落实《网络安全法》等法律法规提供依据。
《办法》明确规定了应用违反法律法规收集和使用个人信息的六种方式:
一、下列行为可以认定为“未公开的收集和使用规则”
1.应用程序中没有隐私政策,或者隐私政策中没有收集和使用个人信息的规则;
2.当应用程序第一次运行时,不会通过弹出窗口等明显的方式提示用户阅读隐私政策和其他收集和使用规则;
3.隐私政策等收集和使用规则很难获得。例如,进入应用程序主界面后,需要点击4次以上才能进入;
4.隐私政策等收集和使用规则难以阅读,如文字过小、过密、颜色过淡、模糊,或未提供简体中文版本。
二、下列行为可以认定为“收集和使用个人信息的目的、方法和范围”
1.app收集和使用个人信息(包括委托第三方或嵌入第三方代码和插件)的目的、方法和范围没有一一列出;
2.当收集和使用个人信息的目的、方法和范围发生变化时,不会以适当的方式通知用户,包括更新隐私政策等收集和使用规则,并提醒用户阅读;
3.申请开通个人信息采集权,或者申请采集用户身份证号、银行账号、行踪等个人敏感信息时,用户未同步获知其目的,或者目的不明确、难以理解;
4.收集和使用规则的内容晦涩、繁琐,用户难以理解,例如使用大量的技术术语。
3.以下行为可以认定为“未经用户同意收集和使用个人信息”
1.在获得用户同意之前,开始收集个人信息或开放收集个人信息的权利;
2.在用户明确表示不同意后,他仍然收集个人信息或开放收集个人信息的权利,或经常征求用户的同意并干扰用户的正常使用;
3.实际收集的个人信息或公开收集个人信息的权限超出了用户授权范围;
4.默认情况下寻求用户的同意,如同意隐私政策;
5.更改可以在未经用户同意的情况下收集的个人信息的权限状态,例如在更新应用程序时自动将用户设置的权限恢复到默认状态;
6.用户的个人信息和算法用于定向推送信息,不提供非定向推送信息的选项;
7.误导用户同意收集个人信息或通过欺诈、欺骗等方式公开收集个人信息的权利。,如故意欺骗和隐瞒收集和使用个人信息的真实目的;
8.未向用户提供撤回其收集个人信息的同意的方法和手段;
9.违反公开的收集和使用规则收集和使用个人信息。
四、下列行为可认定为“违反必要性原则,收集与其提供的服务无关的个人信息”
1.收集的个人信息类型或开放的个人信息收集权限与现有的业务功能无关;
2.用户拒绝提供业务功能,因为他不同意收集不必要的个人信息或打开不必要的权限;
3.3.app的新业务功能应用程序收集的个人信息超出了用户的原始同意范围。如果用户不同意,则拒绝提供原业务功能,但新业务功能替代原业务功能的除外;
4.收集个人信息的频率超过了业务职能的实际需求;
5.以提高服务质量、改善用户体验、有针对性地推送信息、开发新产品为由,强行要求用户同意收集个人信息;
6.用户需要同意一次打开多个权限来收集个人信息,未经同意用户不能使用。
V.下列行为可被视为“未经同意向他人提供个人信息”
1.未经用户同意或匿名,应用客户端直接向第三方提供个人信息,包括通过嵌入客户端的第三方代码和插件向第三方提供个人信息;
2.未经用户同意,它没有被匿名化。数据传输到应用后台服务器后,提供第三方收集的个人信息;
3 .未经用户同意,app访问第三方应用程序并向第三方应用程序提供个人信息。
6.下列行为可认定为“未依法提供删除或更正个人信息的功能”或“未公布投诉、举报方式等信息”
1.未提供有效的个人信息更正、删除和用户账户注销功能;
2.设置不必要或不合理的条件,用于更正或删除个人信息或取消用户帐户;
3.虽然提供了修改、删除个人信息、取消用户账户的功能,但是用户的相应操作没有及时响应,需要手工处理,验证和处理没有在承诺的期限内完成(承诺的期限不得超过15个工作日,如果没有承诺的期限,则以15个工作日为限);
4.更正、删除个人信息或取消用户账户等用户操作已经完成,但应用后台尚未完成;
5.未建立和公布个人信息安全投诉和举报渠道,或者未在承诺期限内受理和处理(承诺期限不得超过15个工作日;如果没有承诺的时间限制,则限制为15个工作日)。
个人信息保护文件集中发布,实施效果有待验证
“个人信息安全保护趋于严格,但目前相关监管办法草案很多,仍难以细化和实施。”北京一家消费金融公司的风险控制负责人告诉中国券商记者,上述《办法》澄清了app非法收集和使用个人信息的各种具体情况,最后一条要求app建立个人信息安全投诉和举报渠道。用户可以直接向应用抱怨不合理的信息收集,但具体效果还有待验证。例如,个人用户是否知道他们的信息被非法获取?如果你直接向应用程序投诉,你能有效地保护自己的权益,甚至依法对非法应用程序进行惩罚性赔偿吗?
今年下半年,一些应用涉嫌非法收集用户个人信息的风险事件频频吸引市场关注,不仅涉及金融应用,甚至涉及整个互联网行业。
今年12月6日,国家网络安全通报中心表示,将集中调查和整改100个非法和违法应用及其互联网公司、移动银行,如光大银行(601818,诊断)、天津银行(港股01578)和樊登读书俱乐部。知名应用如淘无忧和锦江小说都在名单上。侵犯的主要原因是没有隐私协议,对收集和使用个人信息的范围描述不清,以及收集范围过大
与此相对应,监管也受到了沉重的打击。自2019年5月以来,关于个人信息保护监管的文件已经密集发布。
券商中国记者注意到,今年5月至8月,监管部门集中发布了《数据安全管理办法(征求意见稿)》、《应用程序非法收集和使用个人信息识别方法(征求意见稿)》、《个人信息安全规范(征求意见稿)》、《信息安全技术和移动互联网应用基本规范(草案)》。据官方初步统计,到目前为止,我国已有近40部法律、30多部法规、200多部部门规章涉及个人信息保护,形成了多层次、多领域、内容分散、体系复杂的个人信息保护模式。
在业内人士看来,金融业应用信息使用的安全监管是一个漫长的多方博弈过程,需要监管机构、各种应用商店运营商、应用运营商和机构的参与。苏宁金融研究院副院长薛洪言告诉记者,虽然app非法收集用户位置信息,但必须严格调查和控制,但从大环境的角度来看,监管仍在合规的前提下鼓励和重视大数据产业的发展。
标题:App违法违规收集使用个人信息认定标准来了,四部门监管划定红线,明确这6种
地址:http://www.boaoxuexiao.com/bqxw/5643.html