近年来，移动互联网应用程序（App）得到广泛应用，在促进经济社会发展、服务民生等方面发挥了不可替代的作用。同时，强制授权、过度索权、超范围收集个人信息的现象大量存在，违法违规使用个人信息的问题十分突出，广大网民对此反应强烈。针对以上问题，国家互联网信息办公室、工业和信息化部、公安部、市场监管总局发布《关于开展App违法违规收集使用个人信息专项治理的公告》，在全国范围组织开展App违法违规收集使用个人信息专项治理，并制定发布了《App违法违规收集使用个人信息行为认定方法》。

为落实《网络安全法》要求，保障个人信息安全，严格落实省厅文件要求，维护广大师生合法权益，现提出以下要求：

1、针对现有因工作、学习需要，要求师生员工安装的APP进行检查梳理，针对不符合《认定方法》的，要拒绝安装使用，并向相关部门、企业进行反馈。未能整改完毕的要通知销毁师生数据并删除相关移动互联网应用程序。

2、自即日起，因工作、教育、培训等要求我院师生员工安装使用移动互联网应用程序（App）的，需经过“合肥滨湖职业技术学院网络信息安全领导小组”检查梳理，并于省厅相关系统进行备案。未经过检查不得发布通知安装使用。

各部门处室要严格落实相关规定，严守数据安全不放松，切实保障师生合法利益不受侵害。

合肥滨湖职业技术学院

网络信息安全领导小组

2020.04.23

附件. 《App违法违规收集使用个人信息行为认定方法》

一、典型“未公开收集使用规则”行为

1、仅在官网、应用商店中展示隐私政策而在App内无法找到隐私政策的，或隐私政策链接无效、文本不能正常显示的，或隐私政策中没有包含该App收集使用个人信息规则。

2、App首次运行，未通过明显方式提示用户阅读个人信息收集使用规则；只在注册/登录界面展示隐私政策链接，进入App主界面后，无法找到隐私政策；刻意使用灰色字体、缩小字号、遮挡、置于边缘与背景颜色相近等方式未突出显示隐私政策链接；用户注册时，注册/登录界面无隐私政策链接。  

3、隐私政策访问路径设置过深，多于4次点击操作访问到；或路径设置过偏，要通过搜索、咨询客服等方式才能访问到。

4、隐私政策文本字号、颜色、行间距、列宽、清晰度等设置造成用户阅读困难，如隐私政策文本字号过小，隐私政策文本列宽设置大于屏幕，隐私政策无法完整显示。

二、典型“未明示收集使用个人信息的目的、方式和范围”行为

1、App嵌入第三方SDK存在收集个人信息的情况，但未在隐私政策里说明其收集使用个人信息的目的、方式、范围。

2、App隐私政策中未完整列举逐项说明App实际业务功能收集使用个人信息类型、目的、方式。

3、仅依赖系统弹窗但未在向用户申请收集个人信息的权限时告知申请的目的或未同步告知用户收集使用个人敏感信息的目的。

4、App主动进行权限申请的二次弹窗，但仅重复申请权限而未告知目的，或目的描述不明确，用户无法得知App收集该类个人信息真实目的。

5、隐私政策内容晦涩难懂、逻辑结构混乱、用语不符合通用习惯。

三、典型“未经用户同意收集使用个人信息”行为

1、App安装后，未经用户同意就收集设备MAC地址、应用程序列表等个人信息；用户明确表示不同意提供位置信息后，仍通过收集设备IP地址、通讯基站、Wifi信息等计算出用户地理位置等个人信息。

2、用户不同意收集非必要的个人信息或打开非必要权限，App每次启动仍索要用户已明确拒绝提供的系统权限或个人信息；用户使用与已拒绝的系统权限或个人信息无关的功能时频繁提示用户授权同意。

3、在申请可收集个人信息权限时，声明只使用其中与业务相关信息，实际上却收集并上传了该权限可允许的所有信息；实际收集的个人信息特别是个人敏感信息超出隐私政策等相关规则的范围；未真实披露收集使用个人信息的目的，欺骗用户打开可收集个人信息的权限。

4、采用默认勾选同意隐私政策等非明示方式使用户略过隐私政策；注册或登录的选项与同意隐私政策的因果逻辑关系不清楚，使用户易略过隐私政策。

四、典型 “违反必要原则，收集与其提供的服务无关的个人信息”行为

1、App收集的个人信息类型或打开可收集个人信息的权限，超出其业务功能所需，如计算器工具类App申请打开位置权限、输入法类App申请打开通讯录权限等。

2、强制索要的系统权限或个人信息非App运行所需的必要条件，如金融类App不同意打开通讯录和位置权限、地图类App不同意打开短信权限，则拒绝提供所有业务功能，中介类App拒绝提供银行卡号、持卡人身份证号、银行预留手机号等信息进行银行卡认证，则不允许发布任何信息等。

3、App后台自动收集用户设备IMEI号、IMSI号、地理位置等信息过于频繁，超出业务功能实际需要，如某App平均每秒获取10次IMEI号，非地图导航类App平均每秒上传6次GPS定位信息。

4、安卓版App将软件安装包中的targetSDKversion属性值设置为低于23，安装时，要求用户一次性打开多个可收集个人信息的权限。

五、典型“未经同意向他人提供个人信息”行为

1、未告知用户对外提供、转让个人信息的目的、类型及接收方身份，且数据未经处理即通过客户端或嵌入的SDK等代码、插件提供给了第三方。

2、未告知用户个人信息出境情形，将数据传输至境外。

3、未告知也未经用户同意，将个人信息直接提供给接入的小程序、公众号、服务应用等第三方主体。

六、典型“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”行为

1、App中提供的更正、删除个人信息及注销用户账号渠道无法完成相应的操作；未在承诺时间内完成相应操作；客户端提示用户注销成功后，原账号相关信息仍保留在App后台服务器上。

2、注销时，要求用户提供手持身份证正反面照片，更正个人信息时要求提供人脸认证信息等个人敏感信息；

3、未建立并公布个人信息安全投诉、举报渠道；未按照法律法规要求或App承诺时限受理并处理用户个人信息投诉、举报。