第三方数据审核不给取 【监管解读】全网第一篇违法违规收集客户信息实操类解读

长按二维码就不清楚的地方进行咨询，更有500人行业大群等你一起来讨论！

App违法违规收集使用个人信息行为认定方法

一、以下行为可被认定为“未公开收集使用规则”

1.在App中没有隐私政策，或者隐私政策中没有收集使用个人信息规则；

隐私政策该怎么写，老兵认为，其实在年初发文的《App违法违规收集使用个人信息自评估指南》中就有明确，具体细节还可以参考全国信息安全标准化技术委员会发布的《个人信息安全规范》。

2.在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；

顾名思义，就是在首次下载打开后，具体功能使用前（点击某一个菜单、窗格、广告前），这个时间间隔内能够通过弹窗或者单独一页屏来要求客户阅读并同意隐私政策。以X商银行app为例，在询问我是否给予网络权限、位置权限和是否允许推送后，跳的第一页就是隐私政策，完全满足了监管要求，尤其需要注意的是，X商银行app给予了暂不同意的选项，合规踩点得分！但是点击暂不同意后的页面却令人失望，我们暂且按下不表。

3.隐私政策等收集使用规则难以访问，如进入App主界面后，需多于4次点击等操作才能访问到；

该要求与年初《App违法违规收集使用个人信息自评估指南》的要求一致，进入大菜单页面后点击四次能够访问到，这里的访问到应该是指能够点开全文。

例如X信财险的app，只要点击我的，点击隐私协议后即可全文阅读，操作步骤消耗2步，完全合规！

4.隐私政策等收集使用规则难以阅读，如文字过小过密、颜色过淡、模糊不清，或未提供简体中文版等。

这条仁者见仁智者见智了，但是如果像素模糊不清或者未提供简体中文版，这么挑战监管的底线，你们公司的合规可能是中了大奖准备提前退休了。

但是我们发现X信财险的隐私政策，未对其中的重点事项，采用加粗、斜体、高亮等方式予以提示，不符合《App违法违规收集使用个人信息自评估指南》第8条的要求“隐私政策应对个人敏感信息类型进行显著标识（如字体加粗、标星号、下划线、斜体、颜色等）”。具体图片如下：

二、以下行为可被认定为“未明示收集使用个人信息的目的、方式和范围”

1.未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等；

一般这些要求在隐私政策中落实，需要在隐私政策中列示诸如人脸识别插件（做人脸识别和身份认证）、SDK获取数据（获取设备信息和其他信息用于反欺诈用途）的插件的目的、方式和范围，老兵觉得第三方的审核职责在金融机构且接的第三方较多，倒不一定把第三方全称进行披露。

2.收集使用个人信息的目的、方式、范围发生变化时，未以适当方式通知用户，适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等；

老兵认为，更新隐私政策有两种方式（新用户撇开不表，按照正常授权流程即可），老用户的两种方式如下，其中第一种实操性更强，也不会让隐私政策逻辑做的过重：

第1，通过app站内信触达的方式告知隐私政策的更新日期和更新内容，并且附链接可阅读；

第2，在隐私政策更新后存量用户首次使用app的时候，再次弹窗获取客户授权。

3.在申请打开可收集个人信息的权限，或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时，未同步告知用户其目的，或者目的不明确、难以理解；

个人敏感信息的获取，一定要告知目的，且通过加粗、颜色、斜体、下划线等方式引起阅读注意

4.有关收集使用规则的内容晦涩难懂、冗长繁琐，用户难以理解，如使用大量专业术语等。

三、以下行为可被认定为“未经用户同意收集使用个人信息”

1.征得用户同意前就开始收集个人信息或打开可收集个人信息的权限；

赶紧找你们的技术同学确认下，你们app抓取不同数据的时间是不是都在对应的弹窗、协议授权之后，还是悄悄的先拿了？结合之前的监管通报，我们发现部分金融类app存在，你授权管你授权，我取数管我取数，时间线没有先后顺序的情况。

例如我们这次测试的X安在线保险app，在同意隐私政策前先让我选择了最关注的什么保险，我同意隐私政策后就给我做了定向推送，那么请问，你们一开始在老兵未授权隐私政策的情况下获取的我的意愿信息难道是不落数据库的么？时间差！不合规！

2.用户明确表示不同意后，仍收集个人信息或打开可收集个人信息的权限，或频繁征求用户同意、干扰用户正常使用；

理论上如果客户不同意隐私协议，可以每次打开app征求一次授权，但是对于例如通讯录、推送、**（特地业务场景需要的除外）、网络权限等频率不能过高，不能每次打开都跳一次，应当有一定的时间间隔。

3.实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围；

说啥取啥，这没啥好讲的，超范围收集比虚假营销更可恶！例如当年某东app说是因为系统故障获取了客户照片媒体库浏览的权限，可恶！

4.以默认选择同意隐私政策等非明示方式征求用户同意；

就像上面X商银行的截图一样，你要给与不同意隐私政策的选项，不能只有一个按钮强迫同意，让消费者没有选择权是违规！

让我们来看下没有给客户选择权的具体案例，X安在线保险app就是典型的不给客户选择权的示例，只有同意按钮，不能选择不同意或者回退或者点击X圆圈关闭，不合规！

5.未经用户同意更改其设置的可收集个人信息权限状态，如App更新时自动将用户设置的权限恢复到默认状态；

6.利用用户个人信息和算法定向推送信息，未提供非定向推送信息的选项；

定向推送信息应获得授权！例如下图：

7.以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限，如故意欺瞒、掩饰收集使用个人信息的真实目的；

8.未向用户提供撤回同意收集个人信息的途径、方式；

业内目前的主流做法是在隐私政策中提供撤回授权的方式，例如联系客服电话做撤销处理。

9.违反其所声明的收集使用规则，收集使用个人信息。

四、以下行为可被认定为“违反必要原则，收集与其提供的服务无关的个人信息”

1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关；

例如一个读书类app，你去获取客户的通讯录或者，一个金融类app，你去获取客户的媒体库权限看人家有多少个视频，多少首歌和保存的文件名？说不过去啊！

2.因用户不同意收集非必要个人信息或打开非必要权限，拒绝提供业务功能；

例如刚刚提到的X商银行app，在我不同意隐私协议后，直接关闭了app，作为金融类app，你可以因为获取不到必要的反欺诈信息不给我提供具体业务的服务，但是你不能因为我不同意隐私政策，连主页面都不让我浏览！霸王逻辑！不合规！

3.App新增业务功能申请收集的个人信息超出用户原有同意范围，若用户不同意，则拒绝提供原有业务功能，新增业务功能取代原有业务功能的除外；

4.收集个人信息的频度等超出业务功能实际需要；

5.仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，强制要求用户同意收集个人信息；

6.要求用户一次性同意打开多个可收集个人信息的权限，用户不同意则无法使用。

几个标准的弹屏权限只能一个个弹，例如推送、**、网络、通讯率、麦克风等，不能一次获取多个授权来绑定。

五、以下行为可被认定为“未经同意向他人提供个人信息”

1.既未经用户同意，也未做匿名化处理，App客户端直接向第三方提供个人信息，包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息；

2.既未经用户同意，也未做匿名化处理，数据传输至App后台服务器后，向第三方提供其收集的个人信息；

3.App接入第三方应用，未经用户同意，向第三方应用提供个人信息。

这上面三种写的很清晰了，对外提供数据必须获得客户授权，且传输过程要加密，双方的保存也要加密保存。

六、以下行为可被认定为“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”

1.未提供有效的更正、删除个人信息及注销用户账号功能；

App内置销户功能优先，最次也要允许通过打客服电话人工运营的方式允许注销app。

2.为更正、删除个人信息或注销用户账号设置不必要或不合理条件；

金融类app如果要求提取互联网金融资产或清理金融负债是允许设置的条件，网络贷款不还不能注销app是ok的，但是例如某客户线下存了1万块钱，现在想注销app，你不允许，那就是霸王条款了！

3.虽提供了更正、删除个人信息及注销用户账号功能，但未及时响应用户相应操作，需人工处理的，未在承诺时限内（承诺时限不得超过15个工作日，无承诺时限的，以15个工作日为限）完成核查和处理；

4.更正、删除个人信息或注销用户账号等用户操作已执行完毕，但App后台并未完成的；

5.未建立并公布个人信息安全投诉、举报渠道，或未在承诺时限内（承诺时限不得超过15个工作日，无承诺时限的，以15个工作日为限）受理并处理的。