2019年12月30日四部委联合发布《App违法违规收集使用个人信息行为认定方法》,明确了六类违法违规行为,简要的总结一下。
1、未公开收集使用规则
最近频繁的看到常用的APP更新后,弹出隐私政策更新提示,是的,APP必须要有隐私政策(有些包含在用户协议中),而且在用户第一次登录时主动提示用户阅读,不能使用默认勾选同意的方式。
2、未明示收集使用个人信息的目的、方式和范围
个人信息在其他文件中有明确的定义,包含个人身份信息、健康信息、财产信息、常用设备信息等,前三者属于敏感信息。
APP应当在隐私政策中列明收集了哪些个人信息,如何收集、用于何种业务,且不仅是APP自身收集,也包括APP中嵌入的第三方SDK等的收集行为。
在申请个人信息相关的权限(如使用通讯录),或者需要用户录入个人敏感信息(如填写身份证号)时,应当主动告知申请权限或收集信息的目的。
3、未经用户同意收集使用个人信息、违反必要原则
所有收集个人信息的行为均需要用户许可,且不能超过隐私政策声明的范围。并且向用户提供撤回同意收集个人信息的途径、方式。
提供非定向推送信息的选项(可以让用户设置不基于浏览搜索等记录定向推送)。
4、收集与其提供的服务无关的个人信息
所有收集个人信息的行为均需要用户许可,且不能超过APP业务范围。
不能因为用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能。
5、未经同意向他人提供个人信息
向第三方提供个人信息前需得到用户同意,比如导流APP会向购物网站提供用户信息,提供信息前需经过用户同意。
6、未按法律规定提供删除或更正个人信息功能 或 未公布投诉、举报方式等信息
APP应该提供删除、修改个人信息、注销账号的途径,不能设置不合理的条件(比如注销时要求提供人证合一的照片等)。
