《App违法违规收集使用个人信息行为认定方法》要点

2019年12月30日四部委联合发布《App违法违规收集使用个人信息行为认定方法》，明确了六类违法违规行为，简要的总结一下。

1、未公开收集使用规则

最近频繁的看到常用的APP更新后，弹出隐私政策更新提示，是的，APP必须要有隐私政策（有些包含在用户协议中），而且在用户第一次登录时主动提示用户阅读，不能使用默认勾选同意的方式。

2、未明示收集使用个人信息的目的、方式和范围

个人信息在其他文件中有明确的定义，包含个人身份信息、健康信息、财产信息、常用设备信息等，前三者属于敏感信息。

APP应当在隐私政策中列明收集了哪些个人信息，如何收集、用于何种业务，且不仅是APP自身收集，也包括APP中嵌入的第三方SDK等的收集行为。

在申请个人信息相关的权限（如使用通讯录），或者需要用户录入个人敏感信息（如填写身份证号）时，应当主动告知申请权限或收集信息的目的。

3、未经用户同意收集使用个人信息、违反必要原则

所有收集个人信息的行为均需要用户许可，且不能超过隐私政策声明的范围。并且向用户提供撤回同意收集个人信息的途径、方式。

提供非定向推送信息的选项（可以让用户设置不基于浏览搜索等记录定向推送）。

4、收集与其提供的服务无关的个人信息

所有收集个人信息的行为均需要用户许可，且不能超过APP业务范围。

不能因为用户不同意收集非必要个人信息或打开非必要权限，拒绝提供业务功能。

5、未经同意向他人提供个人信息

向第三方提供个人信息前需得到用户同意，比如导流APP会向购物网站提供用户信息，提供信息前需经过用户同意。

6、未按法律规定提供删除或更正个人信息功能 或 未公布投诉、举报方式等信息

APP应该提供删除、修改个人信息、注销账号的途径，不能设置不合理的条件（比如注销时要求提供人证合一的照片等）。