<samp id="6ko8k"><sup id="6ko8k"></sup></samp><samp id="6ko8k"><label id="6ko8k"></label></samp>
  • 加入收藏 | 设为首页 |

    App违规认定解读:点击四次找不到隐私政策视为未公开

    隐私 时间:2020-01-02 浏览:
    12月30日,国家互联网信息办公室、工业和信息化部、公安部、市场监管总局四部委联合制定了《App违法违规收集使用个人信息行为认定方法》(下称:《认定方法》)

    App违规认定解读:点击四次找不到隐私政策视为未公开


    12月30日,国家互联网信息办公室、工业和信息化部、公安部、市场监管总局四部委联合制定了《App违法违规收集使用个人信息行为认定方法》(下称:《认定方法》)。同日,App个人信息;すぷ餮刑只嵩诰┚侔,研讨会上,App专项治理工作组成员何延哲对《认定方法》进行了解读。

    根据何延哲在研讨会上公布的最新资料,App专项治理工作组建立了微信公众号“App个人信息举报”,截至目前,收到网民举报信息1.23万条,涉及2300余款App,工作组选取了其中用户量大,与民众生活相关的App进行了评估,委托14家测评机构对1000余款App进行了技术测评,督促问题严重的近300款App进行整改,整改问题达800余个。

    何延哲表示,之所以该《认定方法》会出台并在年底发布,个人认为是经过一年工作上的经验积累,从举报、评估、整改到和企业的交流,最终形成了一个可以发挥更长久作用的文件。新京报记者注意到,《认定方法》共划分了六大类行为,为监督管理部门认定App违法违规收集使用个人信息行为提供参考。

    第一类行为

    “未公开收集使用规则”


    包括在1.App中没有隐私政策,或者隐私政策中没有收集使用个人信息规则;2.在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;3.隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到;4.隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等。

    何延哲表示,第一类行为的法律依据为《网络安全法》第四十一条与《消费者权益;しā返诙盘。他表示,在前些年,App没有隐私政策是常态,而现在有隐私政策是常态,这也是现在App的进步。但他也指出,现在依然有中小型、用户量不大的App存在没有隐私政策的情况,也有一些App的隐私政策很不专业,或者和实际情况相差很大,这些情况都视为公开收集使用规则。此外,隐私政策难以访问,找不到视为此类行为,因为经过用户调研,许多用户在点击四次之后还找不到就懒得找了,这说明隐私政策在App里的优先级是垫底的,所以我们认为这对公开这个词表现的不够,视为未公开。

    第二类行为


    “未明示收集使用个人信息的目的、方式和范围”


    包括:1.未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;2.收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等;3.在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解;4.有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等。

    何延哲解读称,目前App和App中嵌入代码的第三方收集使用个人信息,都需要采取适当方式通知用户!拔颐窃褂眉觳夤ぞ呒觳獾揭豢預pp中嵌入了54个sdk,这么多sdk有没有个人信息泄露的风险,这些都要提。目前有一些App在整改后就做的很到位,有些专门列出了sdk的列表,甚至把第三方共享的接收方都列出来了,如果把明示工作做到这个程度,相信用户也会对App的信任度有很大的提升。此外,目前二次弹窗索取权限的情况非常多,有时用户对电话权限等的索取不理解,这方面的举报非常多。我们经过研究发现电话权限可能和设备信息相关,这需要企业和用户说清楚!

    第三类行为


    “未经用户同意收集使用个人信息”


    包括:1.征得用户同意前就开始收集个人信息或打开可收集个人信息的权限;2.用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用;3.实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围;4.以默认选择同意隐私政策等非明示方式征求用户同意;5.未经用户同意更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态;6.利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项;7.以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的;8.未向用户提供撤回同意收集个人信息的途径、方式;9.违反其所声明的收集使用规则,收集使用个人信息。

    何延哲解读称,有时App会通过一些途径不经过用户同意收集个人信息,如一个公司旗下有很多App,一个App没有收集,但另一个App有,通过各类方法绕过用户同意。此外,默认勾选隐私政策也存在一些争议,“虽然默认这一行为现在比较少了,但有一些案例是App使用非常浅的颜色来提示用户,此时用户可能看不见或略过,这种情况我们就认为是默认了!

    第四类行为


    “违反必要原则,收集与其提供的服务无关的个人信息”


    包括:1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;2.因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;3.App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;4.收集个人信息的频度等超出业务功能实际需要;5.仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;6.要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。

    何延哲解读称,要求用户一次性同意打开多个可收集个人信息的权限的行为,在今年各部门的治理工作下基本得到遏制,新上线的App基本不存在此类问题。而在收集范围方面,例如视频类App要地理位置、中介类应用要用户银行卡身份证、借贷类频繁要用户的通话记录和手机号,我们认为可能超出了必要的范围。

    第五类行为


    “未经同意向他人提供个人信息”


    加拿大28老群