《App違法違規收集使用個人信息行為認定方法》的典型案例分析

樊華，寇春曉

（中國網絡安全審查技術與認證中心，北京 100020）

1 引言

2019年1月25日，國家互聯網信息辦公室、工業和信息化部、公安部、市場監管總局發布了《關于開展App違法違規收集使用個人信息專項治理的公告》。隨后，四部委聯合制定發布了《App違法違規收集使用個人信息行為認定方法》（國信辦秘字〔2019〕191號）（本文簡稱《認定方法》）。《認定方法》的出臺，為監督管理部門認定App違法違規收集使用個人信息行為提供了參考，為App運營者自查自糾和網民社會監督提供了指引。明確《認定方法》條款所指，并了解其典型的行為，有利于各方更有針對性地提升個人信息的保護水平和能力。

2 典型“未公開收集、使用規則”行為

2.1 法律法規依據

（1）《中華人民共和國網絡安全法》（本文簡稱《網絡安全法》）第四十一條規定，網絡運營者收集、使用個人信息時，應當“公開收集、使用規則”。

（2）《中華人民共和國消費者權益保護法》（本文簡稱《消費者權益保護法》）第二十九條規定，經營者收集、使用消費者個人信息時，“應當公開其收集、使用規則”。

2.2 典型行為

（1）僅在官網、應用商店中展示隱私政策，而在App內無法找到隱私政策，或隱私政策鏈接無效、文本不能正常顯示，或隱私政策中沒有包含該App收集使用個人信息的規則。

（2）App首次運行時，未通過明顯的方式提示用戶閱讀個人信息收集使用規則；只在注冊/登錄界面展示隱私政策的鏈接，而進入App主界面后，無法找到隱私政策；刻意使用灰色字體、縮小字號、遮擋、置于邊緣與背景顏色相近等方式，未突出顯示隱私政策鏈接如圖1所示；用戶注冊時，注冊/登錄界面無隱私政策鏈接如圖2所示。

（3）隱私政策訪問路徑設置過深，多于四次點擊操作才能訪問到；或者路徑設置過偏，要通過搜索、咨詢客服等方式才能訪問到。

（4）隱私政策文本字號、顏色、行間距、列寬、清晰度等設置造成用戶閱讀困難，如隱私政策文本字號過小如圖3所示，隱私政策文本列寬設置大于屏幕如圖4所示，導致隱私政策無法完整的顯示。

圖1 未突出顯示隱私政策鏈接

圖2 注冊/登錄界面無隱私政策鏈接

圖3 隱私政策文本字號過小

圖4 隱私政策文本列寬設置過大

3 典型“未明示收集使用個人信息的目的、方式和范圍”行為

3.1 法律法規依據

（1）《網絡安全法》第四十一條規定，網絡運營者收集、使用個人信息時，應“明示收集使用個人信息的目的、方式和范圍”。

（2）《消費者權益保護法》第二十九條規定，經營者收集、使用消費者個人信息時，應“明示收集、使用信息的目的、方式和范圍”。

3.2 典型行為

（1）App嵌入第三方SDK、代碼、插件存在收集個人信息的情況，但是未在隱私政策里說明其收集使用個人信息的目的、方式、范圍；隱私政策中未完整的列舉說明App實際業務功能收集使用個人信息的類型、目的、方式。

（2）僅依賴系統彈窗，而在向用戶申請收集個人信息的權限時未告知申請的目的（如圖5所示），或者未同步告知用戶收集使用個人敏感信息的目的（如圖6所示）；App主動進行權限申請的二次彈窗，但僅重復申請權限而未告知目的（如圖7所示），或者目的描述不明確，用戶無法得知App收集該類個人信息的真實目的（如圖8所示）。

（3）隱私政策中的內容晦澀難懂、邏輯結構混亂、用語不符合通用習慣（如圖9、圖10所示）。

圖6 未同步告知收集個人敏感信息目的

圖7 申請權限二次彈窗未說明目的

圖8 權限申請目的描述不明確

圖9 隱私政策內容結構混亂

圖10 隱私政策內容晦澀難懂

4 典型“未經用戶同意收集、使用個人信息”行為

4.1 法律法規依據

（1）《網絡安全法》第四十一條規定，網絡運營者收集、使用個人信息時，應“經被收集者同意”且“不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息”。

（2）《消費者權益保護法》第二十九條規定，經營者收集、使用消費者個人信息時，應“經消費者同意”且“不得違反法律、法規的規定和雙方的約定收集、使用信息”，“經營者未經消費者同意或者請求，或者消費者明確表示拒絕的，不得向其發送商業性信息”。

4.2 典型行為

（1）App安裝后，不經用戶同意就收集設備的MAC地址、軟件列表等個人信息；用戶明確表示不同意后，仍通過收集設備的IP地址、通訊基站、WiFi信息等計算用戶地理位置等個人的敏感信息。

（2）用戶不同意收集非必要的個人信息或打開非必要的權限，在App每次啟動時，仍索要已拒絕的系統權限或個人信息；用戶使用與已拒絕的系統權限或個人信息無關的功能時，頻繁提示用戶進行授權同意。

圖11 以視頻觀看功能要求電話權限

圖12 以加密登錄功能要求電話權限

（3）在申請可收集個人信息權限時，聲明只使用其中與業務相關的信息，實際上卻收集并上傳了該權限可允許的所有信息；實際收集的個人信息特別是個人敏感信息超出隱私政策等相關規則的范圍；未真實披露收集使用個人信息的目的，欺騙用戶打開可收集個人信息的權限（如圖11、圖12所示）。

（4）采用默認勾選同意隱私政策（如圖13所示）等非明示方式，使用戶略過隱私政策；注冊或登錄的選項與同意隱私政策的因果邏輯關系不清楚（如圖14所示），使用戶易略過隱私政策。

5 典型 “違反必要原則，收集與其提供的服務無關的個人信息”行為

5.1 法律法規依據

（1）《網絡安全法》第四十一條規定，“網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則”。

（2）《消費者權益保護法》第二十九條規定，“經營者收集、使用消費者個人信息，應當遵循合法、正當、必要的原則”。

5.2 典型行為

圖13 默認勾選同意隱私政策

（1）App收集的個人信息類型或打開可收集個人信息的權限，超出其業務功能所需。如輸入法類App申請打開通訊錄權限，計算器工具類App申請打開位置權限等（如圖15、圖16所示）。

（2）強制索要系統的權限或個人信息非App運行所需的必要條件。如金融類App不同意打開通訊錄和位置權限，地圖類App不同意打開短信權限，則App會拒絕提供所有業務功能，中介類App拒絕提供銀行卡號、持卡人身份證號、銀行預留手機號等信息進行銀行卡認證，則App不允許發布信息等。

（3）App后臺自動收集用戶設備IMEI號、IMSI號、地理位置等信息過于頻繁，超出業務功能的實際需要。如某App平均每秒獲取2.2次IMEI號，非地圖導航類App平均每秒上傳6.8次GPS定位信息。

（4）安卓版A p p將軟件安裝包中的targetSDKversion屬性值設置為低于23，安裝時，要求用戶一次性打開多個可收集個人信息的權限（如圖17所示）。

6 典型“未經同意向他人提供個人信息”行為

6.1 法律法規依據

圖14 選項與同意隱私政策的因果邏輯關系不清楚

圖15 輸入法申請通訊錄權限

圖16 計算器要求位置權限

圖17 安裝時強制打開權限系統彈窗

（1）《網絡安全法》第四十二條規定，網絡運營者“未經被收集者同意，不得向他人提供個人信息。但是，經過處理無法識別特定個人信息且不能復原的除外”。

6.2 典型行為

（1）未告知用戶對外提供、轉讓個人信息的目的、類型及接收方身份，且數據未經處理即通過客戶端或嵌入的代碼、插件等提供給了第三方。

（2）未告知用戶個人信息出境情形，將數據傳輸至境外。

（3）未告知也未經用戶同意，將個人信息提供給接入的小程序、公眾號、服務應用等第三方主體。

7 典型“未按法律規定提供刪除或更正個人信息功能”或“未公布投訴、舉報方式等”行為

7.1 法律法規依據

（1）《網絡安全法》第四十三條規定，“個人發現網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的，有權要求網絡運營者刪除其個人信息；發現網絡運營者收集、存儲的其個人信息有錯誤時，有權要求網絡運營者予以更正。網絡運營者應當采取措施予以刪除或者更正”。

（2）《網絡安全法》第四十九條規定，“網絡運營者應當建立網絡信息安全投訴、舉報制度，公布投訴、舉報方式等信息，及時受理并處理有關網絡安全的投訴和舉報。”

（3）《電信和互聯網用戶個人信息保護規定》第十二條規定，“電信業務經營者、互聯網信息服務提供者應當建立用戶投訴處理機制，公布有效的聯系方式，接受與用戶個人信息保護有關的投訴，并自接到投訴之日起15日內答復投訴人”。

7.2 典型行為

（1）App中提供的更正、刪除個人信息及注銷用戶賬號渠道無法完成相應的操作；未在承諾時間內完成相應操作；客戶端提示用戶注銷成功后，原賬號相關信息仍保留在App后臺服務器上。

（2）注銷時，要求用戶提供手持身份證正反面照片，更正個人信息時要求提供人臉認證信息等個人敏感信息。

（3）未建立并公布個人信息安全投訴、舉報渠道；未按照法律法規要求或App承諾時限受理并處理用戶個人信息投訴、舉報。

8 結束語

為破解App強制索權、過度索權、超范圍收集、違法違規使用個人信息的問題，《認定方法》根據法律法規定出違法違規行為的界限，主要從六個方面對違法違規的情形做出了具體規定。結合案例分析的方式，明確《認定方法》界定的違法違規行為的具體表現形式，便于各方加深對《認定辦法》的理解，為判別違法違規收集使用個人信息行為提供參考。值得說明的是，本文所列舉的典型行為僅為研究人員在工作中遇到的突出問題，隨著個人信息保護工作的推進，App收集個人信息的手段也將更隱蔽，如何有效地識別《認定方法》中界定違法違規行為，還需要監管部門、行業協會、專家團隊多方共同協作，探索適應于當前安全態勢的持續監督機制。