一文看懂《App违法违规收集使用个人信息行为认定方法》

2024-03-15 1,044 0

简述:
首先我们先来简述一下《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号),该发文是19年11月28日发布,又称191号文。是由四部委为落实网安法推出为规范APP收集个人信息的规范要求文,近年来,在移动互联网应用程序(App)得到广泛应用,此文主要是为了让更好想要了解或从事个人隐私合规领域的同伴有深入了解。

话不多说 直接正文开始:
191号文有6项认定准则,下面进行对这六项拆分解读

  • 以下行为可被认定为“未公开收集使用规则”
  • 以下行为可被认定为“未明示收集使用个人信息的目的、方式和范围”
  • 以下行为可被认定为“未经用户同意收集使用个人信息”
  • 以下行为可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”
  • 以下行为可被认定为“未经同意向他人提供个人信息”
  • 以下行为可被认定为“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”

一、以下行为可被认定为“未公开收集使用规则

1.在App中没有隐私政策,或者隐私政策中没有收集使用个人信息规则;

2.在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;

3.隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到;

4.隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等。

解读:

  1. 第一点中,关键词有两处,隐私政策,收集规则,首先你需要确认隐私政策是否存在,当前市场上,没有隐私政策你应用根本上不了应用市场,二,收集规则,什么是收集规则,是指隐私政策文中是否明示列举收集个人信息的业务场景,对个人信息进行增删查改保护措施共享等方面的相关描述,这些都属于收集规则。
  2. 第二点的关键词,是隐私政策弹窗,有人会说上文明述着是有弹窗等明显方式,那肯定不是只单纯指弹窗一种形式啊。是的,虽然文中描述的存在等方式,但实际上我们要结合市场的行情去判断,虽然发文说的是等方式,但市场行情大家都是弹窗,就形成的行业标准,刚安装完成的APP第一次打开都是以弹窗形式向用户展示隐私政策。
  3. 第三点的关键词,四次点击,隐私政策链接,需要在APP内点击四次访问到,如果不能满足,那就会被判定成违规,这四次点击包括了点击打开隐私政策链接的操作。
  4. 第四次的检测就简单的,关键词,简体中文,清晰,对于简洁清晰这块来说 ,肯定会存在个人主观意义上的判断的。

二、以下行为可被认定为“未明示收集使用个人信息的目的、方式和范围

1.未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;

2.收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等;

3.在申请打开可收集个人信息的权限,或申请收集用户个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解;

4.有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等。

解读:

  1. 第一点的关键词是第三方逐一列举,首先是逐一列举,指APP嵌入的第三方SDK、第三方合作商需要逐一列举说明,包括该SDK所收集的具体信息,这里可能需要借助第三方检测机构来核实。
  2. 第二点的关键词是更新隐私政策,指隐私政策文中对于隐私政策发送更新需要用何种方式来进行提醒用户阅读。
  3. 第三点的关键词是敏感信息同步告知,首先要明白什么叫同步,同步是指在触发收集的同时告知收集目的。
  4. 第四点核心,易读,简单来说就是别用一些术语一些权限代码进行描述。

三、以下行为可被认定为“未经用户同意收集使用个人信息

1.征得用户同意前就开始收集个人信息或打开可收集个人信息的权限;

2.用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用;

3.实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围;

4.以默认选择同意隐私政策等非明示方式征求用户同意;

5.未经用户同意更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态;

6.利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项;

7.以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的;

8.未向用户提供撤回同意收集个人信息的途径、方式;

9.违反其所声明的收集使用规则,收集使用个人信息。

解读:

  1. 第一点,重点在于征得用户同意前,在用户没有明确同意收集规则前,APP是不能存在向用户收集索要权限、设备信息及其他个人信息。
  2. 第二点的关键词,频繁、干扰用户,是指APP应用内,通过悬浮广告或弹窗等操作不断的弹窗影响用户体验操作。
  3. 第三点,关键词,超出授权范围,APP实际收集的个人信息,超出了用户对APP授权的范围内,视为超范围收集。
  4. 第四点,关键词,默认同意,既不能说为了帮用户节约,省事,直接不提供隐私政策或者直接默认勾选上同意隐私政策,都会构成违规。
  5. 第五点,APP更新私自变更权限,这类应用大多数在以前低版本安卓系统中出现,现阶段安卓版本中APP都没有能力去变更系统权限。
  6. 第六点,个性化推荐,提供关闭按钮,让用户可以选择去使用。
  7. 第七点,欺诈误导,应用不能存在误导性或刻意引导用户去提供与当前业务无关的个人信息。
  8. 第八点,撤回同意,用户向APP授权提供过的信息都应该提供撤回途径,最好是通过APP内功能方式见撤回。
  9. 第九点,指收集规则中描述声明情形与APP现有业务毫无相关。

四、以下行为可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”

1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;

2.因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;

3.App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;

4.收集个人信息的频度等超出业务功能实际需要;

5.仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;

6.要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。

解读:

  1. 第一点关键词,与现有业务无关,这类描述就是指产品部门在设计产品的时候会考虑添加很多功能进去,这些功能会收集很多很多信息,但实际上APP成行后,所设计实现的功能并没有收集到声明的那么多信息,就会导致问题的出现。
  2. 第二点关键词,拒绝提供非必要信息,拒绝服务,指用户在不同意提供信息后,APP不能闪退或无法使用的情形。
  3. 第三点关键词,超出原有授权范围,APP更新会上架其他功能提供更多服务,如这些服务超出了原有收集规则的范围收集其他额外的信息,就会构成违规。
  4. 第四点,关键词在在频率上,在一段时间上,APP大量收集或反复收集用户信息,就会导致被检测出违规。
  5. 第五点,字面意思不要出现以上诉理由描述,否则被检索到就会构成违规。
  6. 第六点,关键词 一次性,多个权限,如开发者为了省事一进入APP就直接将所有权限弹窗让用户授权,那这种就构成违规场景。

五、以下行为可被认定为“未经同意向他人提供个人信息”

1.既未经用户同意,也未做匿名化处理,App客户端直接向第三方提供个人信息,包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息;

2.既未经用户同意,也未做匿名化处理,数据传输至App后台服务器后,向第三方提供其收集的个人信息;

3.App接入第三方应用,未经用户同意,向第三方应用提供个人信息。

解读:

  1. 第一点,关键词,未经用户同意,向第三方传输,收集规则没有说明过这类第三方、在从客户端传送到服务器端的过程中明文传输用户信息,会被视为风险。
  2. 第二点,这个需要APP后台进行管控,禁止在用户未知情未授权状态 下向第三方提供用户的个人信息。
  3. 第三点关键词,接入第三方应用,开发者为了丰富APP内功能,会集成了其他厂商产业的应用来丰富APP功能,但这些接入的第三方都需要向用户明示。

六、以下行为可被认定为“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”

1.未提供有效的更正、删除个人信息及注销用户账号功能;

2.为更正、删除个人信息或注销用户账号设置不必要或不合理条件;

3.虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理;

4.更正、删除个人信息或注销用户账号等用户操作已执行完毕,但App后台并未完成的;

5.未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理的。

解读:

  1. 第一点关键在提供上诉中对更正(或者叫修改)、删除个人信息、注销用户账号有效的功能。
  2. 第二点在第一点提供的基础上进行了验证是否在进行更正、删除、注销账号操作的时候提供额外条件,比如在注册的时候直接短信验证码注册了账号,但是去注销的时候不仅要短信验证码确认了还要收集用户其他敏感信息,那这就是不合理的额外收集。
  3. 第三点就一个 日期,收集规则中说明承诺响应处理期限就行。
  4. 第四点需要后台及时响应用户的操作
  5. 第五点,关键词个人信息投诉渠道、承诺期限,两个点,要建立个人信息投诉反馈联系方式,并且说明这个渠道响应处理期限。

看到这里也就代表着我们的办法191号文解读完成了,后续有空的话再来分享一些其他文章吧,感谢诸君阅读至此。


4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

办事处网络安全监控与事件响应;国外员工终端安全性怎么保障 | FB甲方群话题讨论
拿不下总统之位,那就用热加载拿下验证码识别与爆破好了!
Sooty:一款SoC分析一体化与自动化CLI工具
shiro CVE-2016-6802 路径绕过(越权)
Apache Solr 身份验证绕过漏洞(CVE-2024-45216)详解
llama_index的CVE-2024-4181漏洞根因分析

发布评论