如何认定违规收集个人信息

国家市场监督管理总局、国家互联网信息办公室、工业和信息化部、公安部四部门曾联合发布了关于印发《APP违法违规收集使用个人信息行为认定方法》（以下简称 《认定方法》）的通知。专家指出，消费者可以在使用APP时参照上述规定，保护个人信息安全。《认定方法》分为6项认定准则，包含31种场景。其中最重要的是服务方应提供明确的隐私规则。在APP中没有隐私政策或隐私政策中没有收集使用个人信息规则、在APP首次运行时未通过明显方式提示用户收集使用规则等情形，就是“未公开收集使用规则”。《认定方法》中明确提出9种场景属于未经用户同意收集使用个人信息：征得用户同意前就开始收集个人信息或打开可收集个人信息的权限；用户明确表示不同意后，仍收集个人信息或打开可收集个人信息的权限，或频繁征求用户同意、干扰用户正常使用；实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围；以默认选择同意隐私政策等非明示方式征求用户同意；未经用户同意更改其设置的可收集个人信息权限状态，如APP更新时自动将用户设置的权限恢复到默认状态；利用用户个人信息和算法定向推送信息，未提供非定向推送信息的选项；以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限，如故意欺瞒、掩饰收集使用个人信息的真实目的；未向用户提供撤回同意收集个人信息的途径、方式；违反其所声明的收集使用规则，收集使用个人信息。《认定方法》还定义了违反必要原则，收集与其提供的服务无关的个人信息的过度收集信息行为：收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关；因用户不同意收集非必要个人信息或打开非必要权限，拒绝提供业务功能；APP新增业务功能申请收集的个人信息超出用户原有同意范围，若用户不同意，则拒绝提供原有业务功能，新增业务功能取代原有业务功能的除外；收集个人信息的频度等超出业务功能实际需要；仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，强制要求用户同意收集个人信息；要求用户一次性同意打开多个可收集个人信息的权限，用户不同意则无法使用。

此外，《认定方法》还提及，APP接入第三方应用，未经用户同意，向第三方应用提供个人信息；既未经用户同意，也未做匿名化处理，数据传输至APP后台服务器后，向第三方提供其收集的个人信息等情况，将被认定为“未经同意向他人提供个人信息”。