2019年12月30日，国家互联网信息办公室、工业和信息化部、公安部及国家市场监督管理总局联合制定的《App违法违规收集使用个人信息行为认定方法》（以下简称“《认定方法》”）公开发布。《认定方法》属于规范性文件，但其在行政管理及行政诉讼领域均有一定的法定效力，往往成为监管部门的执法参考。《认定方法》是对《网络安全法》等法律法规中相关规定的细化，其制定目的是为监督管理部门认定App违法违规收集使用个人信息行为提供参考，各地网信办、通信管理局、公安厅（局）、市场监管局（厅、委）需结合监管和执法工作实际参考执行。同时，《认定方法》亦是网络运营者履行个人信息安全保障义务和自查自纠的重要合规指引。

　　2019年5月5日，App专项工作组曾发布《App违法违规收集使用个人信息行为认定方法（征求意见稿）》（以下简称“《征求意见稿》”）公开向公众征求意见（可微信公众号查阅《团队原创 |<App违法违规收集使用个人信息行为认定方法（征求意见稿）>合规要点解读》）。下文将通过对比《认定方法》相对《征求意见稿》的主要变化，解读《App违法违规收集使用个人信息行为认定方法》。

　　一 《认定方法》主要删除部分

　　相较于《征求意见稿》的七大认定情形，三十九项具体认定方法，《认定方法》删除各违法违规行为项下的兜底条款及原有“七、侵犯未成年人在网络空间合法权益的情形”的相关内容，并整合部分条款，最终形成六类违法违规行为，三十一项具体认定方法。

　　兜底条款的删除，进一步减少文件适用的不确定性，有利于为网络运营者和监管部门提供更明确有力的指引。《认定方法》将每一分类的标题从“没有……的情形”修改为“以下行为可被认定为……”，比如将原有的“没有公开收集使用规则的情形”修改为“以下行为可被认定为‘未公开收集使用规则’”，这一表述的修改亦体现希望《认定方法》更具可操作性的修改思路。

　　而针对儿童个人信息保护，一方面，2019年10月1日实施的《儿童个人信息网络保护规定》对未满十四周岁的未成年人的个人信息安全作出详细规定；另一方面，《儿童个人信息网络保护规定》作为部门规章，法律位阶高于《认定方法》，因此需收集使用儿童个人信息的网络运营者可依据《儿童个人信息网络保护规定》履行相应保护义务，无需在《认定方法》中就类似内容重复规定。

　　《认定方法》删除了《征求意见稿》中对用户协议的相关要求，仅强调没有隐私政策或隐私政策中没有收集使用个人信息规则可被认定为“未公开收集使用规则”。设置用户协议与隐私政策的目的与功能并不相同，收集使用个人信息规则是隐私政策的核心。一般而言，不同于隐私政策需全面细致地说明个人信息保护的各项内容，用户协议只需对收集使用个人信息规则进行简单介绍，同时通过链接或突出显示等方式，提醒用户阅读隐私政策等收集使用个人信息规则即可。

　　二 《认定方法》主要新增或变更内容

　　纵览全文，可以发现《认定方法》仍遵循我国原有的“告知-同意”模式进行制度构建，是《网络安全法》第二十二条“网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意”；第四十一条“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意”与第四十二条“未经被收集者同意，不得向他人提供个人信息”等规则的进一步细化。以下本文亦将通过“告知-同意”路径对《认定方法》新增或变更内容进行解读。

　　（一）《认定方法》在告知方面的主要新增或变更内容

　　·1. 主要新增或变更内容

　　·2. 明确告知时间点

　　《认定方法》明确在App首次运行时即通过弹窗等明显提示方式提示用户阅读隐私政策等收集使用个人信息规则（以下简称“收集使用规则”）。在收集使用个人信息的目的、方式、范围发生变化时，还应以适当方式通知用户，适当方式包括更新收集使用规则并提醒用户阅读等。

　　为降低合规风险，网络运营者可将告知收集使用规则的时间点设置在App首次运行时，即用户下载安装打开App时，直接通过弹窗等明显方式提示用户阅读隐私政策。更新后的收集使用规则在正式实施之前，以弹窗或链接的方式告知用户。此外，亦可根据实际情况通过电子邮件、信函、电话等其他适当方式告知用户，提醒用户阅读并进行重新授权。

　　·3.细化告知的内容要求

　　《认定方法》在《征求意见稿》的基础上，新增告知第三方相关信息的要求。根据《认定方法》，网络运营者需逐一告知App收集使用个人信息的目的、方式、范围等，包括委托的第三方或嵌入的第三方代码、插件收集使用个人信息的目的、方式、范围等。

　　在收集使用规则的内容阅读方面，《认定方法》从“读不了”与“读不懂”两个角度认定违法违规行为。

　　在“读不了”方面，《认定方法》在《征求意见稿》的“难以访问（如进入App主界面后，需多于4次点击等操作才能访问到）”的基础上，增加“难以阅读”的认定标准，若收集使用规则存在文字过小过密、颜色过淡、模糊不清，或未提供简体中文版等情况，将可能被认定为“未公开收集使用规则”。

　　在“读不懂”方面，《认定办法》与《征求意见稿》相似，认为提供“晦涩难懂、冗长繁琐”的收集使用规则可被认定为违法违规行为，并增加“使用大量专业术语”示例。撰写隐私政策应按照《信息安全技术个人信息安全规范》（GB/T 35273-2017）（以下简称“《个人信息安全规范》”）5.6c，做到“内容清晰易懂，符合通用的语言习惯，使用标准化的数字、图示等，避免使用有歧义的语言”，同时注意使用通俗易懂的词汇，在必要情况下使用专业术语时，还需根据实际情况进行适当解释。

　　（二）《认定方法》在同意方面的主要新增或变更内容

　　·1.主要新增或变更内容

　　·2.增加用户同意获取新要求

　　用户同意为《网络安全法》规定的收集使用个人信息的法定基础。网络运营者要合法合规收集使用个人信息，应证明已取得用户同意，且能证明用户同意的时间点先于收集使用行为。相较于《征求意见稿》，《认定方法》明确明示同意的要求，将“以默认选择同意隐私政策等非明示方式征求用户同意”认定为违法违规行为。明示同意指用户通过书面声明或主动做出肯定性动作，对其个人信息进行特定处理做出明确授权的行为。由此可见，明示同意需由用户主动作出肯定性动作，包括主动作出电子或纸质形式的声明、主动勾选、主动点击“同意”、“注册”、“发送”、“拨打”等。实践中，对于“主动勾选、主动点击”的行为，我们理解应不仅限于“手动勾选”、“点击”等行为，比如用户通过“语音识别”功能用声音发出指令的行为也应视为明示同意。

　　同时，《认定方法》还增加了“欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限”的认定标准，这是对《网络安全法》第四十一条的合法标准的细化，是对《个人信息安全规范》5.1a的沿用，强调应如实、全面、准确告知收集使用个人信息的目的，不得以欺诈、诱骗等不正当方式诱导用户同意收集个人信息或打开可收集个人信息的权限。

　　《认定方法》第五部分主要规定“未经同意向他人提供个人信息”的违法违规行为认定标准，其前两条认定标准与《征求意见稿》无实质性区别。在未经用户同意，且未做匿名化处理的情况下，运营者不得从客户端直接向第三方提供个人信息，包括App客户端嵌入第三方代码、插件（如sdk）等方式向第三方提供；也不得在此情况下，在数据传输至App服务器后向第三方提供其收集的个人信息。

　　此外，《认定方法》还明确了向第三方应用提供个人信息前需征求用户同意的要求，这是对《网络安全法》第四十二条的具体落实。根据《网络安全法》第四十二条“网络运营者……未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外”可以发现，若网络运营者在向他人提供个人信息之前，已对个人信息进行匿名化处理而使其无法识别特定个人且不能复原的，则无需征求用户同意。《个人信息安全规范》亦指出，个人信息经匿名化处理后所得的信息不属于个人信息。

　　因此，网络运营者可采取两种路径向第三方提供其收集的个人信息：一是征求用户的明示同意；二是对个人信息进行匿名化处理使其无法识别特定个人且不能复原。需注意仅仅对个人信息进行“去标识化”处理的，仍应在提供给第三方前征求用户的同意。

　　·3.增加用户权利保障新要求

　　《认定方法》第三部分第八项要求网络运营者向用户提供撤回同意收集个人信息的途径、方式。此为新增内容，有利于降低一次同意终身使用的负面影响，从相反角度保障用户同意的自主性。参考《个人信息安全规范》7.7，网络运营者应向用户主体提供方法撤回收集、使用其个人信息的同意授权。同时，网络运营者应保障用户拒绝接收基于其个人信息推送的商业广告的权利。对外共享、转让、公开披露个人信息，应向用户提供撤回同意的方法。撤回同意后，网络运营者不得再处理相应个人信息，但不影响撤回前基于同意的个人信息处理。

　　《认定方法》的第六部分界定了“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”的违法违规行为认定方法，亦可视为对用户同意自主性的一种保障。该部分要求可简要概括为可操作性、及时性、有效性三个方面：

　　首先，网络运营者需提供更正、删除个人信息，注销用户账号的功能并不得设置不必要或不合理条件。《认定方法》亦要求建立并公布个人信息安全投诉、举报渠道。上述功能或渠道应具备可操作性，不能通过隐蔽位置、操作步骤繁琐等方式影响用户权利的实现。

　　其次，要保证权利实现的及时性。网络运营者需确保能够响应用户更正、删除个人信息及注销用户账号的操作请求。需人工处理的，应在承诺期限内完成核查和处理。《认定方法》明确承诺时限不得超过15个工作日，无承诺时限的，则以15个工作日为限。受理或处理个人信息安全投诉、举报的承诺期限亦为相同要求。

　　最后，要保证权利实现的有效性。不得出现在更正、删除个人信息或注销用户账号等用户操作已执行完毕，但App后台并未完成的情况。

　　三 结语

　　《App违法违规收集使用个人信息行为认定方法》与《征求意见稿》相比，删除兜底条款，整合关联条款，并新增条款进一步细化个人信息安全保护要求，整体改动幅度较大。但其依然延续“告知-同意”的规制模式，在《网络安全法》《个人信息安全规范》《App违法违规使用个人信息自评估指南》等法律文件的规范要求基础上，提供更具可操作性的指引。网络运营者可根据《认定办法》等相关规定，及时开展合规自查工作，以隐私政策等收集使用规则的合规性为出发点，对个人信息收集使用行为、向第三方提供个人信息行为、提供用户撤回同意功能以及建立投诉、举报渠道等各个行为进行审查，以降低违法违规风险。

　　作者 | 吴丹君律师 张振君律师助理 黄梁实习生

　　来源 | 微信公众号“大数据法律研究”