个人信息保护法相关法律法规学习和梳理

个人信息保护法相关法律法规学习和梳理

全国人大常委会《中国人民共和国网络安全法》

[http://www.npc.gov.cn/wxzl/gongbao/2017-02/20/content_2007531.htm]:

---

网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。

全国人大常委会《个人信息保护法（草案）》

[https://baijiahao.baidu.com/s?id=1681247704615448898&wfr=spider&for=pc]:

---

制定个人信息保护法是维护网络空间良好生态的现实需要。网络空间是亿万民众共同的家园，必须在法治轨道上运行。违法收集、使用个人信息等行为不仅损害人民群众的切身利益，而且危害交易安全，扰乱市场竞争，破坏网络空间秩序。因此，应当制定出台专门法律，以严密的制度、严格的标准、严厉的责任，规范个人信息处理活动，落实企业、机构等个人信息处理者的法律义务和责任，维护网络空间良好生态。

全国信息安全标准化技术委员会《网络安全标准实践指南—移动互联网应用程序（App）个人信息保 护常见问题及处置指南》

[https://www.tc260.org.cn/file/zn7.pdf]:

---

App个人信息保护十大常见问题及处置指南…

.1 未说明收集使用的个人信息目的、类型、方式…

.2 隐私政策未征得用户明示同意…

.3 超范围收集…

.4 强制捆绑授权…

.5 未经用户同意收集个人信息…

.6 申请权限或收集个人敏感信息未同步告知目的…

.7 实际收集使用个人信息行为与声明不一致…

.8 未经同意向第三方提供个人信息…

.9 未提供删除、更正或投诉举报的功能或渠道…

.10 未提供有效的注销用户账号途径…

全国信息安全标准化技术委员会《移动互联网应用程序（APP）系统权限申请使用指南》

[https://max.book118.com/html/2020/0923/5123234030003001.shtm]:

---

本实践指南依据法律法规和政策标准要求,针对App申请使用系统权限存在的强制、频繁、过度索杈,及捆绑授权私自调用权限上传个人信息、敏感权限滥用等典型问题,给出了App申请使用系统权限的基本原则和安全要求,建议App提供者参考本实践指南规范App系统权限申请和使用行为,防范因系统权限不当利用造成的个人信息安全风险

APP专项治理工作组《App申请安卓系统权限机制分析与建议》

[https://www.secrss.com/articles/10974]:

---

工业和信息化部《关于开展纵深推进APP侵害用户权益专项整治行动的通知（工信部信管函 〔2020〕164号）》

[http://www.gov.cn/zhengce/zhengceku/2020-08/02/content_5531975.htm]:

---

各省、自治区、直辖市通信管理局，中国信息通信研究院、中国互联网协会，各相关单位：

按照2020年信息通信行业行风建设暨纠风工作部署，为切实加强用户个人信息保护，为人民群众提供更安全、更健康、更干净的信息环境，我部决定开展纵深推进APP侵害用户权益专项整治行动。专项整治时间为通知印发之日至2020年12月10日。具体事项通知如下：

一、整治目标

依据《网络安全法》、《电信条例》、《规范互联网信息服务市场秩序若干规定》（工业和信息化部令第20号）、《电信和互联网用户个人信息保护规定》（工业和信息化部令第24号）和《移动智能终端应用软件预置和分发管理暂行规定》（工信部信管〔2016〕407号）等规定，深入推进技管结合，加强监督检查，督促相关企业强化APP个人信息保护，及时整改消除违规收集、使用用户个人信息和骚扰用户、欺骗误导用户、应用分发平台管理责任落实不到位等突出问题，净化APP应用空间。2020年8月底前上线运行全国APP技术检测平台管理系统，12月10日前完成覆盖40万款主流APP检测工作。

二、整治对象

（一）APP服务提供者，即互联网信息服务提供者提供的可以下载、安装、升级的应用软件，包括快应用和小程序等新应用形态。

（二）软件工具开发包（SDK）提供者，即集成在手机APP里的第三方工具集合。

（三）应用分发平台，包括网站、应用商店、APP等承担下载、安装、升级等分发服务的各类平台。

三、整治任务

（一）APP、SDK违规处理用户个人信息方面。

1.违规收集个人信息。重点整治APP、SDK未告知用户收集个人信息的目的、方式、范围且未经用户同意，私自收集用户个人信息的行为。

2.超范围收集个人信息。重点整治APP、SDK非服务所必需或无合理应用场景，特别是在静默状态下或在后台运行时，超范围收集个人信息的行为。

3.违规使用个人信息。重点整治APP、SDK未向用户告知且未经用户同意，私自使用个人信息，将用户个人信息用于其提供服务之外的目的，特别是私自向其他应用或服务器发送、共享用户个人信息的行为。

4.强制用户使用定向推送功能。重点整治APP、SDK未以显著方式标示且未经用户同意，将收集到的用户搜索、浏览记录、使用习惯等个人信息，用于定向推送或广告精准营销，且未提供关闭该功能选项的行为。

（二）设置障碍、频繁骚扰用户方面。

5.APP强制、频繁、过度索取权限。重点整治APP安装、运行和使用相关功能时，非服务所必需或无合理应用场景下，用户拒绝相关授权申请后，应用自动退出或关闭的行为。重点整治短时长、高频次，在用户明确拒绝权限申请后，频繁弹窗、反复申请与当前服务场景无关权限的行为。重点整治未及时明确告知用户索取权限的目的和用途，提前申请超出其业务功能等权限的行为。

6.APP频繁自启动和关联启动。重点整治APP未向用户告知且未经用户同意，或无合理的使用场景，频繁自启动或关联启动第三方APP的行为。

（三）欺骗误导用户方面。

7.欺骗误导用户下载APP。重点整治通过“偷梁换柱”“移花接木”等方式欺骗误导用户下载APP，特别是具有分发功能的移动应用程序欺骗误导用户下载非用户所自愿下载APP的行为。

8.欺骗误导用户提供个人信息。重点整治非服务所必需或无合理场景，通过积分、奖励、优惠等方式欺骗误导用户提供身份证号码以及个人生物特征信息的行为。

（四）应用分发平台责任落实不到位方面。

9.应用分发平台上的APP信息明示不到位。重点整治应用分发平台上未明示APP运行所需权限列表及用途，未明示APP收集、使用用户个人信息的内容、目的、方式和范围等行为。

10.应用分发平台管理责任落实不到位。重点整治APP上架审核不严格、违法违规软件处理不及时和APP提供者、运营者、开发者身份信息不真实、联系方式虚假失效等问题。

四、工作要求

（一）开展检测检查。我部将于即日起组织第三方检测机构对APP、SDK进行技术检测，对应用分发平台的主体责任落实情况进行监督检查。对第一次检查发现存在问题的企业，我部将责令5个工作日内完成整改，对整改不彻底仍然存在问题的，将采取向社会公告、组织下架、行政处罚以及将受到行政处罚的违规主体纳入电信业务经营不良名单或失信名单等措施；对在APP不同版本中反复出现问题的企业，我部将向社会公告，并依法依规开展后续处置工作。

（二）抓好执行落实。各地通信管理局要结合实际开展检查工作，每月15日前将违规线索录入全国APP技术检测平台管理系统，并按照部工作要求开展相关问题处置。相关企业要及时开展自查自纠，对发现的问题立行立改，举一反三，切实有效保护个人信息。APP企业要完善用户权益保障制度，加强对所集成SDK的管理。应用分发平台要强化平台管理责任，积极配合电信主管部门开展相关监管工作。

（三）推动行业自律。鼓励行业协会组织APP开发运营者、应用分发平台、第三方服务提供者、电信设备生产企业、安全厂商等相关单位，制定行业自律公约和技术检测标准，健全第三方评议机制，强化行业规范。

（四）强化手段建设。中国信息通信研究院要大力推进全国APP技术检测平台管理系统建设，进一步凝聚产业力量，鼓励有条件的企业积极参与平台建设，提升自动化检测水平和能力。各地通信管理局要尽快接入，用好相关技术手段，做到关口前移，及时发现解决问题，不断提升行业治理能力和水平。

（五）畅通投诉渠道。专项整治工作期间，各企业应畅通用户投诉渠道，完善投诉处理服务机制和流程。中国互联网协会应通过互联网信息服务投诉平台（https://ts.isc.org.cn/）或12321举报中心接受群众投诉，及时汇总处理用户反映的相关问题。

四部委《App违法违规收集使用个人信息行为认定方法》国信办秘字〔2019〕191号

[http://www.cac.gov.cn/2019-12/27/c_1578986455686625.htm]:

---

根据《关于开展App违法违规收集使用个人信息专项治理的公告》，为监督管理部门认定App违法违规收集使用个人信息行为提供参考，为App运营者自查自纠和网民社会监督提供指引，落实《网络安全法》等法律法规，制定本方法。

一、以下行为可被认定为“未公开收集使用规则”

1.在App中没有隐私政策，或者隐私政策中没有收集使用个人信息规则；

2.在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；

3.隐私政策等收集使用规则难以访问，如进入App主界面后，需多于4次点击等操作才能访问到；

4.隐私政策等收集使用规则难以阅读，如文字过小过密、颜色过淡、模糊不清，或未提供简体中文版等。

二、以下行为可被认定为“未明示收集使用个人信息的目的、方式和范围”

1.未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等；

2.收集使用个人信息的目的、方式、范围发生变化时，未以适当方式通知用户，适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等；

3.在申请打开可收集个人信息的权限，或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时，未同步告知用户其目的，或者目的不明确、难以理解；

4.有关收集使用规则的内容晦涩难懂、冗长繁琐，用户难以理解，如使用大量专业术语等。

三、以下行为可被认定为“未经用户同意收集使用个人信息”

1.征得用户同意前就开始收集个人信息或打开可收集个人信息的权限；

2.用户明确表示不同意后，仍收集个人信息或打开可收集个人信息的权限，或频繁征求用户同意、干扰用户正常使用；

3.实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围；

4.以默认选择同意隐私政策等非明示方式征求用户同意；

5.未经用户同意更改其设置的可收集个人信息权限状态，如App更新时自动将用户设置的权限恢复到默认状态；

6.利用用户个人信息和算法定向推送信息，未提供非定向推送信息的选项；

7.以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限，如故意欺瞒、掩饰收集使用个人信息的真实目的；

8.未向用户提供撤回同意收集个人信息的途径、方式；

9.违反其所声明的收集使用规则，收集使用个人信息。

四、以下行为可被认定为“违反必要原则，收集与其提供的服务无关的个人信息”

1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关；

2.因用户不同意收集非必要个人信息或打开非必要权限，拒绝提供业务功能；

3.App新增业务功能申请收集的个人信息超出用户原有同意范围，若用户不同意，则拒绝提供原有业务功能，新增业务功能取代原有业务功能的除外；

4.收集个人信息的频度等超出业务功能实际需要；

5.仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，强制要求用户同意收集个人信息；

6.要求用户一次性同意打开多个可收集个人信息的权限，用户不同意则无法使用。

五、以下行为可被认定为“未经同意向他人提供个人信息”

1.既未经用户同意，也未做匿名化处理，App客户端直接向第三方提供个人信息，包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息；

2.既未经用户同意，也未做匿名化处理，数据传输至App后台服务器后，向第三方提供其收集的个人信息；

3.App接入第三方应用，未经用户同意，向第三方应用提供个人信息。

六、以下行为可被认定为“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”

1.未提供有效的更正、删除个人信息及注销用户账号功能；

2.为更正、删除个人信息或注销用户账号设置不必要或不合理条件；

3.虽提供了更正、删除个人信息及注销用户账号功能，但未及时响应用户相应操作，需人工处理的，未在承诺时限内（承诺时限不得超过15个工作日，无承诺时限的，以15个工作日为限）完成核查和处理；

4.更正、删除个人信息或注销用户账号等用户操作已执行完毕，但App后台并未完成的；

5.未建立并公布个人信息安全投诉、举报渠道，或未在承诺时限内（承诺时限不得超过15个工作日，无承诺时限的，以15个工作日为限）受理并处理的。

【工信部】移动互联网应用程序必要个人信息范围规定

https://www.cnblogs.com/renhui/p/14984854.html

第一条 为了规范移动互联网应用程序（App）收集个人信息行为，保障公民个人信息安全，根据《中华人民共和国网络安全法》，制定本规定。

第二条 移动智能终端上运行的App存在收集用户个人信息行为的，应当遵守本规定。法律、行政法规、部门规章和规范性文件另有规定的，依照其规定。

App包括移动智能终端预置、下载安装的应用软件，基于应用软件开放平台接口开发的、用户无需安装即可使用的小程序。

第三条 本规定所称必要个人信息，是指保障App基本功能服务正常运行所必需的个人信息，缺少该信息App即无法实现基本功能服务。具体是指消费侧用户个人信息，不包括服务供给侧用户个人信息。

第四条 App不得因为用户不同意提供非必要个人信息，而拒绝用户使用其基本功能服务。

第五条 常见类型App的必要个人信息范围：

（一）地图导航类，基本功能服务为“定位和导航”，必要个人信息为：位置信息、出发地、到达地。

（二）网络约车类，基本功能服务为“网络预约出租汽车服务、巡游出租汽车电召服务”，必要个人信息包括：

1.注册用户移动电话号码；

2.乘车人出发地、到达地、位置信息、行踪轨迹；

3.支付时间、支付金额、支付渠道等支付信息（网络预约出租汽车服务）。

（三）即时通信类，基本功能服务为“提供文字、图片、语音、视频等网络即时通信服务”，必要个人信息包括：

1.注册用户移动电话号码；

2.账号信息：账号、即时通信联系人账号列表。

（四）网络社区类，基本功能服务为“博客、论坛、社区等话题讨论、信息分享和关注互动”，必要个人信息为：注册用户移动电话号码。

（五）网络支付类，基本功能服务为“网络支付、提现、转账等功能”，必要个人信息包括：

1.注册用户移动电话号码；

2.注册用户姓名、证件类型和号码、证件有效期限、银行卡号码。

（六）网上购物类，基本功能服务为“购买商品”，必要个人信息包括：

1.注册用户移动电话号码；

2.收货人姓名（名称）、地址、联系电话；

3.支付时间、支付金额、支付渠道等支付信息。

（七）餐饮外卖类，基本功能服务为“餐饮购买及外送”，必要个人信息包括：

1.注册用户移动电话号码；

2.收货人姓名（名称）、地址、联系电话；

3.支付时间、支付金额、支付渠道等支付信息。

（八）邮件快件寄递类，基本功能服务为“信件、包裹、印刷品等物品寄递服务”，必要个人信息包括：

1.寄件人姓名、证件类型和号码等身份信息；

2.寄件人地址、联系电话；

3.收件人姓名（名称）、地址、联系电话；

4.寄递物品的名称、性质、数量。

（九）交通票务类，基本功能服务为“交通相关的票务服务及行程管理（如票务购买、改签、退票、行程管理等）”，必要个人信息包括：

1.注册用户移动电话号码；

2.旅客姓名、证件类型和号码、旅客类型。旅客类型通常包括儿童、成人、学生等；

3.旅客出发地、目的地、出发时间、车次/船次/航班号、席别/舱位等级、座位号（如有）、车牌号及车牌颜色（ETC服务)；

4.支付时间、支付金额、支付渠道等支付信息。

（十）婚恋相亲类，基本功能服务为“婚恋相亲”，必要个人信息包括：

1.注册用户移动电话号码；

2.婚恋相亲人的性别、年龄、婚姻状况。

（十一）求职招聘类，基本功能服务为“求职招聘信息交换”，必要个人信息包括：

1.注册用户移动电话号码；

2.求职者提供的简历。

（十二）网络借贷类，基本功能服务为“通过互联网平台实现的用于消费、日常生产经营周转等的个人申贷服务”，必要个人信息包括：

1.注册用户移动电话号码；

2.借款人姓名、证件类型和号码、证件有效期限、银行卡号码。

（十三）房屋租售类，基本功能服务为“个人房源信息发布、房屋出租或买卖”，必要个人信息包括：

1.注册用户移动电话号码；

2.房源基本信息：房屋地址、面积/户型、期望售价或租金。

（十四）二手车交易类，基本功能服务为“二手车买卖信息交换”，必要个人信息包括：

1.注册用户移动电话号码；

2.购买方姓名、证件类型和号码；

3.出售方姓名、证件类型和号码、车辆行驶证号、车辆识别号码。

（十五）问诊挂号类，基本功能服务为“在线咨询问诊、预约挂号”，必要个人信息包括：

1.注册用户移动电话号码；

2.挂号时需提供患者姓名、证件类型和号码、预约挂号的医院和科室；

3.问诊时需提供病情描述。

（十六）旅游服务类，基本功能服务为“旅游服务产品信息的发布与订购”，必要个人信息包括：

1.注册用户移动电话号码；

2.出行人旅游目的地、旅游时间；

3.出行人姓名、证件类型和号码、联系方式。

（十七）酒店服务类，基本功能服务为“酒店预订”，必要个人信息包括：

1.注册用户移动电话号码；

2.住宿人姓名和联系方式、入住和退房时间、入住酒店名称。

（十八）网络游戏类，基本功能服务为“提供网络游戏产品和服务”，必要个人信息为：注册用户移动电话号码。

（十九）学习教育类，基本功能服务为“在线辅导、网络课堂等”，必要个人信息为：注册用户移动电话号码。

（二十）本地生活类，基本功能服务为“家政维修、家居装修、二手闲置物品交易等日常生活服务”，必要个人信息为：注册用户移动电话号码。

（二十一）女性健康类，基本功能服务为“女性经期管理、备孕育儿、美容美体等健康管理服务”，无须个人信息，即可使用基本功能服务。

（二十二）用车服务类，基本功能服务为“共享单车、共享汽车、租赁汽车等服务”，必要个人信息包括：

1.注册用户移动电话号码；

2.使用共享汽车、租赁汽车服务用户的证件类型和号码，驾驶证件信息；

3.支付时间、支付金额、支付渠道等支付信息；

4.使用共享单车、分时租赁汽车服务用户的位置信息。

（二十三）投资理财类，基本功能服务为“股票、期货、基金、债券等相关投资理财服务”，必要个人信息包括：

1.注册用户移动电话号码；

2.投资理财用户姓名、证件类型和号码、证件有效期限、证件影印件；

3.投资理财用户资金账户、银行卡号码或支付账号。

（二十四）手机银行类，基本功能服务为“通过手机等移动智能终端设备进行银行账户管理、信息查询、转账汇款等服务”，必要个人信息包括：

1.注册用户移动电话号码；

2.用户姓名、证件类型和号码、证件有效期限、证件影印件、银行卡号码、银行预留移动电话号码；

3.转账时需提供收款人姓名、银行卡号码、开户银行信息。

（二十五）邮箱云盘类，基本功能服务为“邮箱、云盘等”，必要个人信息为：注册用户移动电话号码。

（二十六）远程会议类，基本功能服务为“通过网络提供音频或视频会议”，必要个人信息为：注册用户移动电话号码。

（二十七）网络直播类，基本功能服务为“向公众持续提供实时视频、音频、图文等形式信息浏览服务”，无须个人信息，即可使用基本功能服务。

（二十八）在线影音类，基本功能服务为“影视、音乐搜索和播放”，无须个人信息，即可使用基本功能服务。

（二十九）短视频类，基本功能服务为“不超过一定时长的视频搜索、播放”，无须个人信息，即可使用基本功能服务。

（三十）新闻资讯类，基本功能服务为“新闻资讯的浏览、搜索”，无须个人信息，即可使用基本功能服务。

（三十一）运动健身类，基本功能服务为“运动健身训练”，无须个人信息，即可使用基本功能服务。

（三十二）浏览器类，基本功能服务为“浏览互联网信息资源”，无须个人信息，即可使用基本功能服务。

（三十三）输入法类，基本功能服务为“文字、符号等输入”，无须个人信息，即可使用基本功能服务。

（三十四）安全管理类，基本功能服务为“查杀病毒、清理恶意插件、修复漏洞等”，无须个人信息，即可使用基本功能服务。

（三十五）电子图书类，基本功能服务为“电子图书搜索、阅读”，无须个人信息，即可使用基本功能服务。

（三十六）拍摄美化类，基本功能服务为“拍摄、美颜、滤镜等”，无须个人信息，即可使用基本功能服务。

（三十七）应用商店类，基本功能服务为“App搜索、下载”，无须个人信息，即可使用基本功能服务。

（三十八）实用工具类，基本功能服务为“日历、天气、词典翻译、计算器、遥控器、手电筒、指南针、时钟闹钟、文件传输、文件管理、壁纸铃声、截图录屏、录音、文档处理、智能家居助手、星座性格测试等”，无须个人信息，即可使用基本功能服务。

（三十九）演出票务类，基本功能服务为“演出购票”，必要个人信息包括：

1.注册用户移动电话号码；

2.观演场次、座位号（如有）；

3.支付时间、支付金额、支付渠道等支付信息。

第六条 任何组织和个人发现违反本规定行为的，可以向相关部门举报。

相关部门收到举报后，应当依法予以处理。

第七条 本规定自2021年5月1日起施行。
本功能服务。

（三十六）拍摄美化类，基本功能服务为“拍摄、美颜、滤镜等”，无须个人信息，即可使用基本功能服务。

（三十七）应用商店类，基本功能服务为“App搜索、下载”，无须个人信息，即可使用基本功能服务。

（三十八）实用工具类，基本功能服务为“日历、天气、词典翻译、计算器、遥控器、手电筒、指南针、时钟闹钟、文件传输、文件管理、壁纸铃声、截图录屏、录音、文档处理、智能家居助手、星座性格测试等”，无须个人信息，即可使用基本功能服务。

（三十九）演出票务类，基本功能服务为“演出购票”，必要个人信息包括：

1.注册用户移动电话号码；

2.观演场次、座位号（如有）；

3.支付时间、支付金额、支付渠道等支付信息。

第六条 任何组织和个人发现违反本规定行为的，可以向相关部门举报。

相关部门收到举报后，应当依法予以处理。

第七条 本规定自2021年5月1日起施行。