随着移动互联网技术的高速发展,手机App违规、越权收集和使用个人信息问题日益突出,严重威胁公民信息安全和个人隐私。为充分履行网络安全保卫职责,近期,湖南网警根据公安部统一部署,省市县三级联动,针对APP违法采集个人信息网络乱象开展集中打击整治,深入推进“净网2019”专项行动纵深开展。

此次集中整治以网购平台、手机游戏、教育培训、交通出行、金融服务等领域下载量大、活跃用户多的APP为重点检查对象,以APP未公开收集使用规则、未明示收集使用个人信息的目的、方式和范围、未经用户同意收集使用个人信息、违反必要原则,收集与其提供的服务无关的个人信息、非法获取公民个人信息5大类违法情形为重点检查内容,属地公安机关依据《中华人民共和国网络安全法》、《公安机关互联网安全监督检查规定》(公安部令第151号)对多款违法APP运营企业作出行政处罚:

1.湖南某化妆品网购APP和某手游APP无隐私协议

长沙市公安局高新网安大队通过技术检测发现该2款APP均无隐私协议,该行为违反了《网络安全法》第41条“网络运营者收集、使用个人信息应当公开收集、使用规则”相关规定,公安机关依据《网络安全法》第41条、第64条,对该2款APP运营单位分别予以行政警告,并责令立即整改到位。

2.湖南某环保产品网购APP和在线漫画APP隐私协议未明示搜集用户个人信息的范围及用途

长沙市公安局高新网安大队、天心网安大队通过技术检测发现该2款APP隐私协议不规范,未向用户明示搜集个人信息的范围及用途,该行为违反了《网络安全法》第41条“网络运营者收集、使用个人信息应当明示收集、使用信息的目的、方式和范围”相关规定,公安机关依据《网络安全法》第41条、第64条,分别对该2款APP运营单位予以行政警告,并责令立即整改到位。

3.湖南某在线教育APP未经用户同意获取权限

长沙市公安局高新网安大队通过技术检测发现该款APP在未征得用户同意情况下获取录音、读取联系人等权限,该行为违反了《网络安全法》第41条“网络运营者收集、使用个人信息应当征得被收集者同意”相关规定,公安机关依据《网络安全法》第41条、第64条,对该款APP运营单位予以行政警告,并责令立即整改到位。

4.湖南某公共出行APP和移动金融APP过度索取权限

长沙市公安局岳麓网安大队、芙蓉网安大队通过技术检测发现该2款APP违反必要原则,频繁向用户索取与其提供服务无关的读取联系人和短信、检索正在运行的应用、录音等权限,该行为违反了《网络安全法》第41条关于“网络运营者收集、使用个人信息应当遵循合法、正当、必要的原则”相关规定,公安机关依据《网络安全法》第41条、第64条,分别对该2款APP运营单位予以行政警告,并责令立即整改到位。

下一步,湖南网警将持续打击整治APP违规收集个人信息乱象,坚持“以打促管、标本兼治、生态治理”思路,引导我省移动互联网行业自律,督促APP运营企业牢固树立“隐私权限合规”和“个人信息保护”法律意识,全面保障人民群众的网络空间合法权益。

警方提示

APP运营企业等网络服务提供者不得出现以下5大类违法采集公民个人信息的情形:

一、不得存在“未公开收集使用规则”的情形:在APP中没有隐私协议,或者隐私协议中没有收集使用个人信息规则的相关内容;在APP首次运行时未通过弹窗等明显方式提示用户阅读隐私政策;隐私协议难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等。

二、不得存在“未明示收集使用个人信息的目的、方式和范围”的情形:收集使用个人信息的目的、方式和范围发生变化时,未以适当方式通知用户(更新隐私协议未提醒用户阅读及授权);收集用户身份证号、银行账号、行踪轨迹等个人敏感信息,未同步说明目的;有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解等。

三、不得存在“未经用户同意收集使用个人信息”的情形:征得用户同意前就开始收集个人信息,或打开可收集个人信息的权限;用户明确表示不同意后仍收集个人信息,或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用;实际收集的个人信息或收集个人信息权限超出用户授权范围;以默认选择同意隐私协议等非明示方式征求用户同意;未经同意更改用户设置的收集个人信息权限(如APP更新时自动将用户设置的权限恢复到默认状态);以欺诈、诱骗等不正当方式误导用户同意收集个人信息或收集个人信息权限(如故意欺瞒、掩饰个人信息收集使用的真实目的);未向用户提供撤回同意收集个人信息的途径、方式;违反其所声明的收集使用规则,收集使用个人信息;未通过APP隐私协议方式,仅通过手机自带操作系统提示授权访问用户个人信息。

四、不得存在“违反必要原则,手机与其提供的服务无关的个人信息”的情形:收集的个人信息类型或打开可收集个人信息的权限与现有业务功能无关;因用户不同意收集非必要个人信息,或打开非必要权限,拒绝提供业务功能;APP新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;收集个人信息的频度等超出业务功能实际需要;以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集其个人信息;要求用户一次性同意开启多个可收集个人信息的权限,用户不同意则无法使用。

五、不得存在“非法获取公民个人信息”的情形:未经用户同意获取用户行踪轨迹信息、通信内容、征信信息、财产信息;未经用户同意获取用户住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息;其他符合法律法规规定非法获取公民个人信息行为。

声明:本文来自湖南省网络与信息安全通报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。