关于工信部191号文《App违法违规收集使用个人信息行为认定方法》的评估

APP认定方法评估的初步总结---2020/10/16

APP认定方法评估主要依据191号文《App违法违规收集使用个人信息行为认定方法》(规定了什么行为被认定为337中的违规)、337号文《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》(定义了某种违规的含义)。

其中，专业术语可以参考《个人信息安全规范》(规范个人信息控制者在收集、存储、使用、共享、转让、公开披露等信息处理环节中的相关行为)、APP权限问题可以参考《信息安全技术 移动互联网应用（App）收集个人信息基本规范-最新征求意见稿》(附录中规定了30种APP的最小必要权限及个人信息)、《网信办-个人信息相关权限26项》(说明了涉及个人信息权限的种类)。

191号文条例原文及评估注意事项

1、未公开收集使用个人信息规则

1.1在App中没有隐私政策，或者隐私政策中没有收集使用个人信息规则（检查APP所有地方，只要没有隐私政策的相关内容就算。隐私政策的存在不一定是单独一个文件，也可以是用户协议的一部分。合规条件一定是隐私政策+收集使用规则）

1.2在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则（现在较为通用的明显方式有弹窗、特殊字体和颜色等，明显不合规的方式有使用灰色字体、小字号、遮挡、与背景色相近等）

1.3隐私政策等收集使用规则难以访问，如进入App主界面后，需多于4次点击等操作才能访问到

1.4隐私政策等收集使用规则难以阅读，如文字过小过密、颜色过淡、模糊不清，或未提供简体中文版等

 

2.未明示收集使用个人信息的目的、方式和范围      

2.1未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等(“逐一”很重要，《个人信息安全规范》的附录中给了隐私政策模板，很少有APP能达到此项要求。在已使用过APP的情况下，查看APP的动态行为过程，检查是否有第三方SDK等使用权限收集个人信息。隐私政策要与行为一致。