《App违法违规收集使用个人信息行为认定方法》简析

魏书音 李东格

摘   要：近年来，App强制授权、过度索权、超范围收集个人信息的现象大量存在，违法违规使用个人信息的问题十分突出，广大网民对此反映强烈。国家互联网信息办公室、工业和信息化部、公安部、市场监管总局根据《关于开展App违法违规收集使用个人信息专项治理的公告》，在近一年专项治理工作基础上，依据《中华人民共和国网络安全法》（本文简称《网络安全法》）等法律法规，制定发布了《App违法违规收集使用个人信息行为认定方法》，为App评估和处置提供参考，为App运营者自查自纠提供指引。文章分析了认定方法的制定背景、意义及主要规范内容，认为《认定方法》从源头根治个人信息安全问题，啃个人信息保护的“硬骨头”，标志着个人信息保护工作进入更为深入阶段。

关键词：App;收集使用个人信息;网络安全法

中图分类号：DF92          文献标识码：A

Abstract： In recent years， there have been a large number of phenomena such as mandatory collection of personal information， excessive collection of personal information by Apps， and the illegal use of personal information is very prominent， which has aroused strong reactions from netizens.Cyberspace Administation of China， Ministry of Industry and Information Technology of Peoples Republic of China， State Administration for market Regulation， The Ministry of Public Security of the Peoples Republic of China based on the special governance work nearly a year， according to the network security law and other laws and regulations， formulate released 《Identification Methods of App's Illegal Collection and Use of Personal Information》， provide a reference for assessment and treatment of App， provide guidance to operators of self-check App.This paper analyzes the background， significance and main contents of the identification method， and holds that the identification method can root out the problem of personal information security at the source， gnaw the "hard bone" of personal information protection， marking the work of personal information protection has entered a deeper stage.

Key words： Data on cross-border;Free flow of data; Cross-border data flow regime

1 引言

近年来，App强制授权、过度索权、超范围收集个人信息的现象大量存在，違法违规使用个人信息的问题十分突出，广大网民对此反映强烈。为落实《网络安全法》《消费者权益保护法》的要求，为保障个人信息安全，维护广大网民合法权益[1]。中央网信办、工业和信息化部、公安部、市场监管总局决定，自2019年1月至12月，在全国范围组织开展App违法违规收集使用个人信息专项治理。根据《关于开展App违法违规收集使用个人信息专项治理的公告》，在近一年专项治理工作基础上，四部门制定发布了《App违法违规收集使用个人信息行为认定方法》（本文简称“《认定方法》”），为App评估和处置提供参考，为App运营者自查自纠提供指引。

2 《认定方法》：啃个人信息保护的“硬骨头”

《认定方法》结合App功能特性，针对移动互联网行业现存的个人信息收集使用方面存在的突出问题，对《网络安全法》关于个人信息保护的原则性要求进行了细化说明。一是明确违法违规行为的具体表现形式，如“未经用户同意收集使用个人信息”不仅包括了根本没有征求用户同意的情况，还有收集完信息再征求用户同意、实际收集的信息超出用户授权范围、App更新时自动更改用户设置的权限状态等情况;二是细化解释法律规定的原则性要求，如明确了《网络安全法》规定的“必要”“明示”等的具体含义和要求。“必要”是指实现业务功能所必需，如改善服务质量、提升用户体验等不属于必要范围，“明示”要求逐项列举、目的明确、易于理解，收集使用规则更新时提示用户等;三是指明以不正当方式逃避监管，实际上并未履行法律责任的情况，如《网络安全法》要求网络运营者公开收集使用规则，而有些App虽然有隐私政策，但是并未充分履行告知义务。隐私政策中几乎不涉及收集使用规则，或隐私政策在App中十分隐蔽、难以找到，或隐私政策不是在App中公布，而是在官网等用户无法直接查看的地方公布，或没有提供简体中文版本，用户难以阅读。《认定方法》明确要求收集使用规则必须在App中以用户便于访问和阅读的形式展现，并且根据行业和监管实际，规定进入主界面后，通过少于四次点击等操作即可访问到。

值得说明的是，《认定方法》主要针对App收集使用个人信息的行为，至于个人信息安全保护措施、非法买卖等犯罪行为不是其重点规范对象。目前，个人信息收集使用方面的法律规定较为单一，执法监管经验不足，服务模式、业务功能复杂多样，很多收集使用个人信息的做法处于灰色地带，监管难度较大，尤其过度收集行为更是个人信息安全的根源性问题。《认定方法》在App违法违规收集使用个人信息评估工作的基础上，通过深入行业进行调研，根据法律法规划定出违法违规行为界限，尤其着力探索破解强制收集、超范围收集、隐蔽收集个人信息等现存突出问题和治理难题，从源头根治个人信息安全问题，啃个人信息保护的“硬骨头”，标志着个人信息保护工作进入更为深入的阶段。

3 《认定方法》主要内容

3.1 强制收集使用个人信息

有些App要求用户一次性同意其收集所有业务功能所需的个人信息，或要求用户授权其运营的其他产品及第三方插件收集用户个人信息，或要求用户授权与所谓的“关联企业”共享个人信息，不同意则不提供服务。较为典型的是将TargetSdkVersion值设置小于23，要求用户一次性同意开启多个可收集个人信息的权限，用户不同意则无法安装使用;有些App在用户明确表示不同意后，仍频繁征求用户同意进而干扰用户正常使用，强迫用户提供个人信息。

对此，《认定方法》要求App运营者不得通过一揽子征求同意的方式、不同意则拒绝提供无关业务功能、频繁征求同意等强制性方式获得用户授权。

3.2 超范围收集使用个人信息。

有些App收集与所提供服务无关的个人信息。很多App为了增加产品功能丰富性，通常将多种业务功能集中开发在一款产品中，要求用户同意所有业务功能所需个人信息，不提供任一个人信息，则拒绝提供所有服务;有些App在不使用相关功能时，仍频繁收集仅为此项功能所需的个人信息，或者超出业务功能所需频率收集个人信息。

目前，利用个人信息和算法进行定向推送已成为一些互联网行业的一大营利模式，有些企业为实现精准推送，往往以改善程序功能、提高用户体验、定向推送等目的强迫用户提供并非实现业务功能所必需的个人信息。有些企业为了宣传产品，未经用户同意将所收集的用户个人信息提供广告营销商处理，进行广告推送。

对此，《认定方法》要求不得收集无关的个人信息，不得强制收集非必要的个人信息。非必要信息包括“不是业务功能所必需”“仅为改善服务质量、提升用户体验、定向推送信息、研发新产品所需要”“新增业务功能所需个人信息”等。

3.3 隐瞒用户收集使用个人信息。

有些App在用户注册界面默认勾选同意隐私政策，非常容易导致用户在毫不知情的情况下进行授权;有些App在隐私政策中使用“包括但不限于”“可能用于”等开放式表述，未完整列出具体的个人信息类型，通过要求用户同意隐私政策而获得收集无限制多类个人信息的授权;有些App在安装后，未征得用户同意，就开始使用Cookie等同类技术收集用户设备IMEI号、MAC地址等个人信息;有些App为降低成本、提升效率，通过嵌入各类第三方插件（如SDK）实现产品功能的多样化，而这些第三方插件成为“隐形扒手”，在用户不知情的情况下收集个人信息，甚至将个人信息传至境外服务器;有些App故意隐瞒、掩饰收集使用个人信息的真实目的，或者使用模糊性语言使得收集个人信息目的不明确、难以理解，误导用户同意收集个人信息;有些App通过其他产品账号登录，未经用户同意，访问用户其他产品中的个人信息;有些App在其界面显示其他产品链接，一旦用户点击即默认注册，未经用户同意将个人信息提供第三方。

对此，《认定方法》要求App运营者通过逐项列举的方式明确App及委托第三方、嵌入第三方代码和插件收集个人信息类型，在收集个人敏感信息或获取权限时同步告知用户目的[2]，确保用户知悉收集个人信息的真实明确目的，收集使用行为要经过用户明确授权等。

4.4 未设置有效的更正、删除个人信息及注销用户账号的功能。

有些App虽设置相关功能和渠道，但是无法及时响应;有些App仍把注销过的账号信息保留于服务器，注销账号机制无效;有些App在用户注销时，要求满足提供超出用户注册时所需信息等不合理條件，否则不予注销。

对此，《认定方法》要求App运营者不仅要设置更正、删除个人信息及注销用户账号的功能，还有要求能够给及时响应，并不得设置不合理的前提条件。

4 结束语

近年来，个人信息逐渐成为互联网行业最具价值的核心资源，最大限度地收集个人信息成为行业普遍现象。国家高度重视个人信息保护，中央网信办、工信部等部门开展专项治理、重拳出击，并不再仅局限于个人信息买卖等犯罪行为，将治理目标前移，全力整治个人信息收集使用方面存在的违法违规行为[3]。目前，个人信息收集使用方面的法律规定较为单一，执法监管经验不足，服务模式、业务功能复杂多样，很多做法处于灰色地带，监管难度较大，尤其过度收集行为更是个人信息安全的根源性问题[4]。《认定方法》对《网络安全法》所确认的六类违法违规行为进行分解细化，为监管部门明确统一认定标准、企业自查自纠确立了指导性标准，对个人信息保护工作具有重要意义。同时，《认定方法》也是监管部门深入治理的标志，监管部门不仅要关注App运营者的行为，还深入分析背后的利益链和问题动因，不仅要治理客户端的问题，更要深入后台发现问题，不仅要关注一款App，还要关注同一运营者旗下的多款App以及嵌入App的SDK等第三方插件、数据处理者等合作方等行为[5]。

参考文献

[1] 彭晴菲.网络环境下用户隐私权的宪法保护探析[J].北京工业职业技术学院学报，2019，18（04）：104-108.

[2] 张新宝.个人信息收集：告知同意原则适用的限制[J].比较法研究，2019（06）：1-20.

[3] 刘文林.大数据时代背景下个人信息安全问题与对策[J].通讯世界，2019，26（11）：59-60.

[4] 丁可宁.明确法律解释 保护个人信息安全[J].中国防伪报道， 2019（11）：76.

[5] 魏波，刘晓昊.个人信息数据网络收集与管理的行政规制[J].网络空间安全，2019，10（05）：12-17.