App违法违规收集使用个人信息行为认定方法

《认定方法》主要针对以下行为进行了界定：

强制收集使用个人信息。有些App要求用户一次性同意其收集所有业务功能所需的个人信息，或要求用户授权其运营的其他产品及第三方插件收集用户个人信息，或要求用户授权与所谓的“关联企业”共享个人信息，不同意则不提供服务。有些App在用户明确表示不同意后，仍频繁征求用户同意、干扰用户正常使用，强迫用户提供个人信息。

　　对此，《认定方法》要求App运营者不得通过一揽子征求同意的方式、不同意则拒绝提供无关业务功能、频繁征求同意等强制性方式获得用户授权。

超范围收集使用个人信息。有些App收集与所提供服务无关的个人信息。很多App为了增加产品功能丰富性，通常将多种业务功能集中开发在一款产品中，要求用户同意所有业务功能所需个人信息，不提供任一个人信息，则拒绝提供所有服务；或者以超出业务功能所需频率收集个人信息。有些企业为了宣传产品，未经用户同意将所收集的用户个人信息提供给广告营销商，进行广告推送。

　　对此，《认定方法》要求不得收集无关的个人信息，不得强制收集非必要的个人信息。非必要信息包括“不是业务功能所必需”、“仅为改善服务质量、提升用户体验、定向推送信息、研发新产品所需要”、“新增业务功能所需个人信息”等。

隐瞒用户收集使用个人信息。有些App在用户注册界面默认勾选同意隐私政策，非常容易导致用户在毫不知情的情况下进行授权；有些App在隐私政策中使用“包括但不限于”、“可能用于”等开放式表述，未完整列出具体的个人信息类型，通过要求用户同意隐私政策而获得收集无限制多类个人信息的授权；有些App故意隐瞒、掩饰收集使用个人信息的真实目的，或者使用模糊性语言使得收集个人信息目的不明确、难以理解，误导用户同意收集个人信息；有些App通过其他产品账号登录，未经用户同意，访问用户其他产品中的个人信息；有些App在其界面显示其他产品链接，一旦用户点击即默认注册，未经用户同意将个人信息提供给第三方。

　　对此，《认定方法》要求App运营者通过逐项列举的方式明确App及委托第三方、嵌入第三方代码和插件收集个人信息类型，在收集个人敏感信息或获取权限时同步告知用户目的，确保用户知悉收集个人信息的真实明确目的，收集使用行为要经过用户明确授权等。

未设置有效的更正、删除个人信息及注销用户账号的功能。有些App虽设置相关功能和渠道，但无法及时响应；有些App仍把注销过的账号信息保留于服务器，注销账号机制无效；有些App在用户注销时，要求满足提供超出用户注册时所需信息等不合理条件，否则不予注销。

　　对此，《认定方法》要求App运营者不仅要设置更正、删除个人信息及注销用户账号的功能，还要求能够及时响应，承诺时限不得超过15个工作日并不得设置不合理的前提条件。

App违法违规收集使用个人信息专项治理

成效显著