唐小信微普法 |《App违法违规收集使用个人信息行为认定方法》

1.细化相关认定标准

　　《认定方法》中的合规要求十分具体，比如：明确隐私政策必须提供简体中文版，明确隐私政策难以访问的标准是多于4次点击等操作才能访问，明确App响应用户更正、删除个人信息及注销功能的承诺时限最长不得超过15个工作日等等。

2.明确了个人信息收集使用应建立在“知情同意”这一根本原则上

　　纵观全文，可以发现《认定方法》是在遵循“知情同意”原则下进行制度构建，所谓“知情同意”原则，就是要求数据主体在收集用户个人信息前，告知用户个人信息的处理状况（包括目的、方式、范围等等），在网络服务的语境中通常表现为发布隐私声明，用户在阅读声明后作出同意的意思表示，作为对个人信息收集及利用的合法授权。我国《网络安全法》第二十二条、第四十一条、第四十二条以及《数据安全管理条例（草案）》第九条均对此有所规定。

3.明确了“默认保护数据”原则

　　《认定方法》第三部分明确规定了“以默认选择同意隐私政策等非明示方式征求用户同意”的行为可以被认定为未经用户同意收集使用个人信息，这是默认保护数据原则的体现。默认保护数据原则是个人信息保护或个人数据保护中的一项重要原则，主要是指在IT系统或业务实践中，其默认设置便可以确保数据安全，而不需要用户手动设置来保护自己的个人数据。也就是说，用户在使用App时，App默认相关数据收集使用是关闭的，只有用户同意后才能开启。

4.明确了数据最小化原则

　　《认定方法》第四部分明确规定“收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关”的行为可以被认定为违反必要原则，收集与其提供的服务无关的个人信息。数据最小化原则同样是个人信息保护中的一项重要原则，其主要是指在数据收集过程中，应将数据的收集严格保持在最低限度，只收集用于实现其系统目的的数据，与其系统目的无关的数据一律禁止收集，将其所需要收集的数据量控制在最小的程度，以此来降低数据风险和隐私风险，因为最容易保护的数据就是未被收集的数据。

5.明确了向第三方提供时需要获得用户的二次授权

　　《认定方法》第五部分明确规定，App在未获得用户授权的情况下，向第三方提供个人信息的，可以被认定为未经同意向他人提供个人信息。需要注意的是，《认定方法》中除了二次授权外，也提供了一种替代方法，那就是对个人信息进行匿名化（Anonymization）处理，所谓匿名化处理，是指一种使个人数据在任何情况下都不指向特定数据主体的个人数据处理方式，即使该处理后的数据与其他额外信息结合，凭技术性和组织性措施也无法指向一个可识别或被识别的自然人。被处理后的数据不再具有可识别性，因此也不再具有个人信息的特征。

6.明确了用户对其个人信息的更正权和删除权

　　《认定方法》第六部分明确规定了“未提供有效的更正、删除个人信息及注销用户账号功能”的行为可以被认定为未按法律规定提供删除或更正个人信息功能。更正权和删除权都是用户对其个人信息所享有的权利，主要是指用户更正或删除其个人信息的权利。