临近2020年，终于赶在年关前有了一个关于个人隐私保护的国家级通知。

说明2019年相关部门也不是啥事都没干。

我的解读

不过，这个《认定方法》，没有谈一个最最关键的问题。

——什么信息是“个人信息”？

在第二条，第三款中有提到：

“在申请打开可收集个人信息的权限，或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时，未同步告知用户其目的，或者目的不明确、难以理解。”

这些当然是个人信息，不过，另外一些东西呢？算不算个人信息呢？

这些我们更在乎的东西包括：

• 这个app打开时候，能够收集用户收集的设备ID，比如IMEI号，这个算个人信息吗？
• App在苹果手机上打开，一般情况下可以收集这个收集的IDFA或者IDFV，这个算个人信息吗？
• 在微信app内，打开微信公众号，微信帮你设置了一个ID，也就是OpenID，这个算个人信息吗？
• App内如果内嵌了webview，而且这个webview如果生成了cookie的话，这个算个人信息吗？

这几个问题，也是很核心的。

毕竟，不是所有的app都需要收集用户的电话、身份证之类。

按照目前国家已经生效的法律法规来看，上面我所说的这些ID，都还不能明确被认定为个人信息。而国标35273（《信息安全技术个人信息安全规范》），则认为上面的这些ID都算个人信息。

应该听谁的？

我的观点

上面这些ID到底算不算个人信息这个问题，至少在2019年并没有得到解决。2020年我预测也不会给出一个明确的答复。

为什么呢？

三个现象可以让你揣测原因：

1. 目前的个人隐私侵犯的问题，还是很严重的，主要是在电话号码泄露和身份证泄露，造成了很多社会问题，民怨很大。这一部分是高优先级要搞定的。
2. 其次是个人信息数据出境的问题，也很敏感。这个也是要先抓的。
3. 这些硬件ID和软件ID，如果不直接转化为电话号码或者身份证号码，哪怕就是转变为邮箱，对消费者的影响也还是有限的，危害相对要小。如果你回忆一下2019年3·15晚会上对探针的曝光，实际上就是因为探针收集到MAC地址（一种硬件ID），又把它转成电话号码并电话或者短信骚扰消费者，才引起很大关注的。

因此，显然，电话号码和身份证这些信息，是事实上最敏感的信息。

这类信息之外的信息，保持一定的灰色，既不完全禁止，也不完全放开——当需要管制的时候拿出来管制，当需要搞活市场的时候搞活市场，这样一个可以相对“自由裁量”的空间，其实对管理者来说也是有利的，难道不是吗？

最后，附这个《认定方法》的全文。

App违法违规收集使用个人信息行为认定方法

根据《关于开展App违法违规收集使用个人信息专项治理的公告》，为监督管理部门认定App违法违规收集使用个人信息行为提供参考，为App运营者自查自纠和网民社会监督提供指引，落实《网络安全法》等法律法规，制定本方法。

一、以下行为可被认定为“未公开收集使用规则”

1.在App中没有隐私政策，或者隐私政策中没有收集使用个人信息规则；

2.在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；

3.隐私政策等收集使用规则难以访问，如进入App主界面后，需多于4次点击等操作才能访问到；

4.隐私政策等收集使用规则难以阅读，如文字过小过密、颜色过淡、模糊不清，或未提供简体中文版等。

　二、以下行为可被认定为“未明示收集使用个人信息的目的、方式和范围”

1.未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等；

2.收集使用个人信息的目的、方式、范围发生变化时，未以适当方式通知用户，适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等；

3.在申请打开可收集个人信息的权限，或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时，未同步告知用户其目的，或者目的不明确、难以理解；

4.有关收集使用规则的内容晦涩难懂、冗长繁琐，用户难以理解，如使用大量专业术语等。

三、以下行为可被认定为“未经用户同意收集使用个人信息”

1.征得用户同意前就开始收集个人信息或打开可收集个人信息的权限；

2.用户明确表示不同意后，仍收集个人信息或打开可收集个人信息的权限，或频繁征求用户同意、干扰用户正常使用；

3.实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围；

4.以默认选择同意隐私政策等非明示方式征求用户同意；

5.未经用户同意更改其设置的可收集个人信息权限状态，如App更新时自动将用户设置的权限恢复到默认状态；

6.利用用户个人信息和算法定向推送信息，未提供非定向推送信息的选项；

7.以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限，如故意欺瞒、掩饰收集使用个人信息的真实目的；

8.未向用户提供撤回同意收集个人信息的途径、方式；

9.违反其所声明的收集使用规则，收集使用个人信息。

四、以下行为可被认定为“违反必要原则，收集与其提供的服务无关的个人信息”

1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关；

2.因用户不同意收集非必要个人信息或打开非必要权限，拒绝提供业务功能；

3.App新增业务功能申请收集的个人信息超出用户原有同意范围，若用户不同意，则拒绝提供原有业务功能，新增业务功能取代原有业务功能的除外；

4.收集个人信息的频度等超出业务功能实际需要；

5.仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，强制要求用户同意收集个人信息；

6.要求用户一次性同意打开多个可收集个人信息的权限，用户不同意则无法使用。

　五、以下行为可被认定为“未经同意向他人提供个人信息”

1.既未经用户同意，也未做匿名化处理，App客户端直接向第三方提供个人信息，包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息；

2.既未经用户同意，也未做匿名化处理，数据传输至App后台服务器后，向第三方提供其收集的个人信息；

3.App接入第三方应用，未经用户同意，向第三方应用提供个人信息。

六、以下行为可被认定为“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”

1.未提供有效的更正、删除个人信息及注销用户账号功能；

2.为更正、删除个人信息或注销用户账号设置不必要或不合理条件；

3.虽提供了更正、删除个人信息及注销用户账号功能，但未及时响应用户相应操作，需人工处理的，未在承诺时限内（承诺时限不得超过15个工作日，无承诺时限的，以15个工作日为限）完成核查和处理；

4.更正、删除个人信息或注销用户账号等用户操作已执行完毕，但App后台并未完成的；

5.未建立并公布个人信息安全投诉、举报渠道，或未在承诺时限内（承诺时限不得超过15个工作日，无承诺时限的，以15个工作日为限）受理并处理的。