App违法违规收集使用个人信息行为认定方法

App违法违规收集使用个人信息
自评估指南
（App专项治理工作组二零一九年三月）
本指南主要用于App运营者对其收集使用个人信息的情况进行自查自纠。

App运营者应遵守《网络安全法》、《消费者权益保护法》等法律要求，参考个人信息保护国家标准，持续提升个人信息保护水平。

一、隐私政策文本
评估项1：隐私政策的独立性、易读性
评估项2：清晰说明各项业务功能及所收集个人信息类型
评估项3：清晰说明个人信息处理规则及用户权益保障
评估项4：不应在隐私政策等文件中设置不合理条款
二、A pp收集使用个人信息行为
评估项5：收集个人信息应明示收集目的、方式、范围
评估项6：收集使用个人信息应经用户自主选择同意，不应存在强制捆绑授权行为
评估项7：收集个人信息应满足必要性要求
三、A pp运营者对用户权利的保障
评估项8：支持用户注销账号、更正或删除个人信息
评估项9：及时反馈用户申诉。

违规处理个人敏感信息案例分析与法律合规建议近年来，随着互联网的发展和个人信息的广泛应用，个人敏感信息保护面临着越来越大的挑战。

其中，违规处理个人敏感信息的行为引起了广泛关注和讨论。

本文将通过分析一个违规处理个人敏感信息的案例，探讨其法律合规问题，并提出相应的建议。

案例描述：在某电商平台的APP中，用户在注册账号时需填写真实姓名、身份证号码等个人敏感信息。

然而，该电商平台未明示或收集用户的明示同意，擅自将用户的个人敏感信息用于一些无关的商业行为。

这一举动引发了用户的不满和质疑，随后涉及用户集体维权诉讼。

法律分析：根据我国《中华人民共和国网络安全法》第三十九条的规定，网络运营者收集个人信息应当经过用户明示同意，且在明示同意的范围内进行。

而在该案例中，电商平台未经用户明示同意，擅自使用个人敏感信息，违反了法律规定。

此外，根据《中华人民共和国消费者权益保护法》第十九条的规定，经营者应当依法采取技术措施和其他必要措施，确保个人信息的安全，防止个人信息的泄露、毁损等。

然而，在该案例中，电商平台未能采取充分的技术和管理措施，导致用户个人敏感信息被滥用，违反了《消费者权益保护法》的规定。

法律合规建议：1.明示同意原则：企业在收集个人敏感信息时，应事先向用户清晰明示收集信息的目的、范围和使用方式，并取得用户明示同意。

可以通过用户点击确认或勾选同意按钮等方式，确保用户真实理解个人信息的使用情况。

2.信息安全保护：企业应建立完善的信息安全管理制度，包括提供技术保障、完善内部管理流程等，确保个人敏感信息的安全性和保密性。

同时，企业还应加强员工的信息安全意识培训，增强员工对个人信息保护的重视和意识。

3.合规审查机制：企业应建立合规审查机制，对收集、使用个人敏感信息的行为进行定期审查和评估，确保企业的行为符合法律法规的要求。

如果发现存在违规行为，应及时进行整改和纠正，避免给用户带来损失和侵害。

4.加强监管与执法：相关部门应加强对个人敏感信息保护的监管与执法力度，及时发现和查处违规行为，保护用户的合法权益。

2024年第6期11检察风云 PROSECUTORIAL VIEW弹出等形式发布的广告，应当显著标明关闭标志，确保一键关闭。

同时，《广告法》第六十二条第二款规定了对违反“一键关闭”的处罚，即对广告主处五千元以上三万元以下的罚款。

弹窗广告的违法成本相较于收益而言微乎其微，是弹窗广告屡禁不止的重要原因。

2023年5月1日起施行的《互联网广告管理办法》（以下简称《办法》）第十条第一款，对弹窗广告“一键关闭”的情形进行了细化，为广告主发布弹窗广告的行为提供了具体化、规范化的指引，并且增设了广告发布者的法律责任，强化对违法行为的惩戒力度。

对于违反“一键关闭”的广告发布者，由县级以上市场监督管理部门责令改正，拒不改正的，处五千元以上三万元以下的罚款。

《办法》的出台，优化、细化了互联网广告行为规范，有利于促进互联网广告行业持续健康发展。

“精准投放”实为“精准骚扰”大数据时代下，各领域泄露公民个人信息的事件频发。

当用户使用手机App浏览网页、选购商品时，扑面而来的弹窗广告似乎总能击中用户的内心：刚刚在浏览器搜索“牙疼怎么办”，立刻弹出一家牙科医院的客服关心疼吃什么药”“矫正牙齿”的广告也随处可见；用户只是在购物App上收藏了几个商品，就会不停地弹出该店铺的链接并收到促销信息。

弹窗广告已经基本涵盖网站、游戏、播放器等绝大多数互联网产品，用户在使用这些App时，各大网络运营公司全方位搜集用户的上网行为数据，包括点击过什么广告、购买过哪类产品等，深入了解用户的消费偏好、购物特征，并将已经生成的用户数据卖给广告发布者。

部分广告经营者使用非法手段获取公民个人信息后，为用户量身定做弹窗广告进行精准营销，强迫用户接收或点击弹窗广告。

互联网信息提供者、广告经营者的行为看似“精准营销”，实为“精准骚扰”，严重的会构成侵犯公民个人信息罪。

《中华人民共和国网络安全法》（以下简称《网络安全法》）第四十一条、第四十二条规定，网络运营者不得收集与其提供服务无关的个人信息，未经被收集者同意，不得向他人提供个人信息。

App违法违规收集使用个人信息行为认定方法根据《关于开展App 违法违规收集使用个人信息专项治理的公告》，为监督管理部门认定App 违法违规收集使用个人信息行为提供参考，为App运营者自查自纠和网民社会监督提供指引，落实《网络安全法》等法律法规，制定本方法。

一、以下行为可被认定为“未公开收集使用规则”1. 在App中没有隐私政策，或者隐私政策中没有收集使用个人信息规则；2. 在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；3. 隐私政策等收集使用规则难以访问，如进入App主界面后，需多于 4 次点击等操作才能访问到；4. 隐私政策等收集使用规则难以阅读，如文字过小过密、颜色过淡、模糊不清，或未提供简体中文版等。

二、以下行为可被认定为“未明示收集使用个人信息的目的、方式和范围”1. 未逐一列出App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等；2. 收集使用个人信息的目的、方式、范围发生变化时，未以适当方式通知用户，适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等；3. 在申请打开可收集个人信息的权限，或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时，未同步告知用户其目的，或者目的不明确、难以理解；4. 有关收集使用规则的内容晦涩难懂、冗长繁琐，用户难以理解，如使用大量专业术语等。

三、以下行为可被认定为“未经用户同意收集使用个人信息”1. 征得用户同意前就开始收集个人信息或打开可收集个人信息的权限；2. 用户明确表示不同意后，仍收集个人信息或打开可收集个人信息的权限，或频繁征求用户同意、干扰用户正常使用；3. 实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围；4. 以默认选择同意隐私政策等非明示方式征求用户同意；5. 未经用户同意更改其设置的可收集个人信息权限状态，如更App 新时自动将用户设置的权限恢复到默认状态；6. 利用用户个人信息和算法定向推送信息，未提供非定向推送信息的选项；7. 以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限，如故意欺瞒、掩饰收集使用个人信息的真实目的；8. 未向用户提供撤回同意收集个人信息的途径、方式；9. 违反其所声明的收集使用规则，收集使用个人信息。

常见类型移动互联网应用程序必要个人信息范围规定内容解读目录常见类型移动互联网应用程序必要个人信息范围规定 (1)第一部分要点解读 (8)第二部分常见误区梳理 (12)常见类型移动互联网应用程序必要个人信息范围规定第一条为了规范移动互联网应用程序（App）收集个人信息行为，保障公民个人信息安全，根据《中华人民共和国网络安全法》，制定本规定。

第二条移动智能终端上运行的App存在收集用户个人信息行为的，应当遵守本规定。

法律、行政法规、部门规章和规范性文件另有规定的，依照其规定。

App包括移动智能终端预置、下载安装的应用软件，基于应用软件开放平台接口开发的、用户无需安装即可使用的小程序。

第三条本规定所称必要个人信息，是指保障App基本功能服务正常运行所必需的个人信息，缺少该信息App即无法实现基本功能服务。

具体是指消费侧用户个人信息，不包括服务供给侧用户个人信息。

第四条App不得因为用户不同意提供非必要个人信息，而拒绝用户使用其基本功能服务。

第五条常见类型App的必要个人信息范围：（一）地图导航类，基本功能服务为“定位和导航”，必要个人信息为：位置信息、出发地、到达地。

（二）网络约车类，基本功能服务为“网络预约出租汽车服务、巡游出租汽车电召服务”，必要个人信息包括：1.注册用户移动电话号码；2.乘车人出发地、到达地、位置信息、行踪轨迹；3.支付时间、支付金额、支付渠道等支付信息（网络预约出租汽车服务）。

（三）即时通信类，基本功能服务为“提供文字、图片、语音、视频等网络即时通信服务”，必要个人信息包括：1.注册用户移动电话号码；2.账号信息：账号、即时通信联系人账号列表。

（四）网络社区类，基本功能服务为“博客、论坛、社区等话题讨论、信息分享和关注互动”，必要个人信息为：注册用户移动电话号码。

（五）网络支付类，基本功能服务为“网络支付、提现、转账等功能”，必要个人信息包括：1.注册用户移动电话号码；2.注册用户姓名、证件类型和号码、证件有效期限、银行卡号码。

公安部等四部门专项治理App违法违规收集使用个人信息作者：来源：《中国防伪报道》2019年第02期在1月25日举行的新闻发布会上，中央网信办、工业和信息化部、公安部和国家市场监管总局介绍，自2019年1月至12月，在全国范围内组织开展App违法违规收集使用个人信息专项治理工作，专项整治的App范围涵盖了电子商务、地图导航、快递外卖、交通票务等多方面。

中央网信办网络安全协调局副局长杨春艳介绍，此次专项治理工作涉及的App范围广，评估更加深入，治理行动也更加体系化。

“我们希望通过这次专项治理，建立个人信息保护的长效监管机制，持续加大个人信息保护力度。

”按照当日发布的《关于开展App违法违规收集使用个人信息专项治理的公告》，App运营者收集使用个人信息时要严格履行网络安全法规定的责任义务，对获取的个人信息安全负责，采取有效措施加强个人信息保护。

遵循合法、正当、必要的原则，不收集与所提供服务无关的个人信息；收集个人信息时要以通俗易懂、简单明了的方式展示个人信息收集使用规则，并经个人信息主体自主选择同意；不以默认、捆绑、停止安装使用等手段变相强迫用户授权，不得违反法律法规和与用户的约定收集使用个人信息。

倡导App运营者在定向推送新闻、时政、广告时，为用户提供拒绝接收定向推送的选项。

据了解，本次专项治理，有关主管部门将加强对违法违规收集使用个人信息行为的监管和处罚。

对强制、过度收集个人信息，未经消费者同意、违反法律法规规定和双方约定收集、使用个人信息，發生或可能发生信息泄露、丢失而未采取补救措施，非法出售、非法向他人提供个人信息等行为，按照《网络安全法》《消费者权益保护法》等依法予以处罚，包括责令App 运营者限期整改；逾期不改的，公开曝光；情节严重的，依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。

此外，此次专项治理行动将组织相关机构，对用户数量大、与民众生活密切相关的App 隐私政策和个人信息收集使用情况进行评估。

App过度收集与使用个人信息的法律规制问题研究作者：韩德民汪子辰来源：《现代交际》2020年第13期摘要：保护公民个人信息已经成为信息化时代的重要课题，为推动《个人信息保护法》的出台，完善我国个人信息保护体系，促使信息合理流通，通过整理App过度收集与使用个人信息的问题，分析我国现有保护个人信息体系的不足，在此基础上有针对性地借鉴国外优秀做法和实践经验，结合我国国情在推动立法、引入行业自律模式、设立专门机构方面提出建议。

关键词：App 个人信息立法借鉴法律保护中图分类号：F832; 文献标识码：A; 文章编号：1009-5349（2020）13-0084-02随着科技进步和互联网的发展，大数据技术在诸多领域得到应用。

而个人信息作为大数据技术的基础和核心，在“数据是黄金”的利益驱动下，有关公民个人信息泄露的侵权案件大量出现，其中App成为过度收集与使用个人信息的重灾区，具体表现为过度索取权限以收集用户个人信息。

国家高度重视这一问题，四部委联合发布公告，决定开展为期一年的治理App过度收集使用个人信息的专项行动。

本文拟从治理App过度收集与使用个人信息乱象的视角，分析现有个人信息保护方面存在的问题，研究保护个人信息的对策。

一、App过度收集与使用个人信息的问题整理（一）申请权限和与业务功能无关部分App申请的权限与其对应的产品功能不能明确挂钩，甚至超出用户合理预期。

中消协发布的测评报告显示，位置信息、访问通讯录、读取电话等权限存在被广泛申请并有过度使用的嫌疑。

如短视频App要索取日历、通讯录等权限和信息涉嫌过度收集。

（二）隐私政策不明确、不规范隐私条款是数据运营商向用户说明自己要如何收集、使用、存储、共享、转让个人信息[1]。

但是部分App存在隐私条款模糊不清的问题。

在告知的方式上，缺乏对重点内容的提示。

在内容方面，有的隐私政策内容晦涩冗长，文本专业性强可读性差，普通用户没有耐心读完或是读不懂内容。

App违法违规收集使用个人信息行为认定方法根据《关于开展App违法违规收集使用个人信息专项治理的公告》，为监督管理部门认定App违法违规收集使用个人信息行为提供参考，为App运营者自查自纠和网民社会监督提供指引，落实《网络安全法》等法律法规，制定本方法。

一、以下行为可被认定为“未公开收集使用规则”1.在App中没有隐私政策，或者隐私政策中没有收集使用个人信息规则；2.在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；3.隐私政策等收集使用规则难以访问，如进入App主界面后，需多于4次点击等操作才能访问到；4.隐私政策等收集使用规则难以阅读，如文字过小过密、颜色过淡、模糊不清，或未提供简体中文版等。

二、以下行为可被认定为“未明示收集使用个人信息的目的、方式和范围”1.未逐一列出App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等；2.收集使用个人信息的目的、方式、范围发生变化时，未以适当方式通知用户，适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等；3.在申请打开可收集个人信息的权限，或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时，未同步告知用户其目的，或者目的不明确、难以理解；4.有关收集使用规则的内容晦涩难懂、冗长繁琐，用户难以理解，如使用大量专业术语等。

三、以下行为可被认定为“未经用户同意收集使用个人信息”1.征得用户同意前就开始收集个人信息或打开可收集个人信息的权限；2.用户明确表示不同意后，仍收集个人信息或打开可收集个人信息的权限，或频繁征求用户同意、干扰用户正常使用；3.实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围；4.以默认选择同意隐私政策等非明示方式征求用户同意；5.未经用户同意更改其设置的可收集个人信息权限状态，如App更新时自动将用户设置的权限恢复到默认状态；6.利用用户个人信息和算法定向推送信息，未提供非定向推送信息的选项；7.以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限，如故意欺瞒、掩饰收集使用个人信息的真实目的；8.未向用户提供撤回同意收集个人信息的途径、方式；9.违反其所声明的收集使用规则，收集使用个人信息。

App违法违规收集使用个人信息行为认定方法根据《关于开展App违法违规收集使用个人信息专项治理的公告》，为监督管理部门认定App违法违规收集使用个人信息行为提供参考，为App运营者自查自纠和网民社会监督提供指引，落实《网络安全法》等法律法规，制定本方法。

一、以下行为可被认定为“未公开收集使用规则”1.在App中没有隐私政策，或者隐私政策中没有收集使用个人信息规则；2.在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；3.隐私政策等收集使用规则难以访问，如进入App主界面后，需多于4次点击等操作才能访问到；4.隐私政策等收集使用规则难以阅读，如文字过小过密、颜色过淡、模糊不清，或未提供简体中文版等。

二、以下行为可被认定为“未明示收集使用个人信息的目的、方式和范围”1.未逐一列出App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等；2.收集使用个人信息的目的、方式、范围发生变化时，未以适当方式通知用户，适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等；3.在申请打开可收集个人信息的权限，或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时，未同步告知用户其目的，或者目的不明确、难以理解；4.有关收集使用规则的内容晦涩难懂、冗长繁琐，用户难以理解，如使用大量专业术语等。

三、以下行为可被认定为“未经用户同意收集使用个人信息”1.征得用户同意前就开始收集个人信息或打开可收集个人信息的权限；2.用户明确表示不同意后，仍收集个人信息或打开可收集个人信息的权限，或频繁征求用户同意、干扰用户正常使用；3.实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围；4.以默认选择同意隐私政策等非明示方式征求用户同意；5.未经用户同意更改其设置的可收集个人信息权限状态，如App 更新时自动将用户设置的权限恢复到默认状态；6.利用用户个人信息和算法定向推送信息，未提供非定向推送信息的选项；7.以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限，如故意欺瞒、掩饰收集使用个人信息的真实目的；8.未向用户提供撤回同意收集个人信息的途径、方式；9.违反其所声明的收集使用规则，收集使用个人信息。

APP 违法违规收集使用个人信息专项治理报告20192019 年1 月，中央网信办、工业和信息化部、公安部、市场监管总局四部门联合发布《关于开展APP 违法违规收集使用个人信息专项治理的公告》，在全国范围组织开展APP 违法违规收集使用个人信息专项治理，并成立APP 违法违规收集使用个人信息专项治理工作组（以下简称“APP 专项治理工作组”）。

一年来，专项治理工作成效显著，《APP 违法违规收集使用个人信息行为认定方法》《个人信息安全规范》等标准规范相继出台完善，用户规模大、与生活关系密切、问题反映集中的千余款APP 经深度评估后进行了有效整改，无隐私政策、强制索权、无注销渠道等问题明显改善，APP 运营者履行个人信息保护责任义务的能力和水平明显提升，全社会关注和重视个人信息安全的氛围基本形成。

本报告介绍了治理工作开展情况，包括技术规范制定、举报信息受理、专业机构检测评估、问题督促整改及处置，以及四部门全面推进深化治理等。

报告引用多方数据，客观分析了个人信息保护相关突出问题、企业能力、民众意识、社会影响等方面的发展变化趋势，展示了治理工作成效。

最后，在总结2019 年治理工作经验的基础上，就持续开展治理工作、培育良好移动互联网生态，提出了具体建议。

序言（一）专项治理整体工作思路（二）四部门多措并举深化治理0305三、2019 年专项治理工作成效分析07（一）评估和举报数据显示，典型违法违规问题得到遏制07（二）不同时期数据对比显示，企业个人信息保护能力水平显著提升11（三）媒体报道和问卷调查显示，专项治理初见成效14（四）APP 个人信息保护相关技术文件、科普知识等得到广泛传播19四、持续开展专项治理工作的建议22附件一 :《关于开展 APP 违法违规收集使用个人信息专项治理的公告》26附件二 : 关于印发《APP 违法违规收集使用个人信息行为认定方法》的通知28一、加强 APP 个人信息保护势在必行01二、2019 年专项治理工作概述03一、加强 APP 个人信息保护势在必行当前，我国已经全面进入移动互联网时代，近9 亿网民中手机上网比例高达99.1%，移动互联网服务便捷、即时、普惠的特点在移动互联网应用程序（APP）中得到充分体现。

APP应用隐私合规性实施方案目录一、背景 (3)二、法律法规和其他规范要求 (3)《消费者权益保护法》 (4)《中华人民共和国网络安全法》 (4)《GB/T-2020-35273 信息安全技术-个人信息安全规范》 (7)《App违法违规收集使用个人信息行为认定方法》 (7)三、APP隐私合规怎么做 (7)1）、隐私政策文本 (7)2）、App 收集使用个人信息行为 (11)3）、App 运营者对用户权利的保障 (14)四、总结 (15)附录 (16)个人信息举例 (16)个人敏感信息举例 (18)目前，大量的移动app在使用过程中，涉及个人隐私信息和敏感信息。

在个人信息处理、共享、转让、公开披露过程中，管理流程和技术手段不规范造成个人信息泄露的安全事件层出不穷。

中央网信办、工信部、公安部、市场监管总局指导成立App违法违规收集使用个人信息专项治理工作组（App专项治理工作组），组织开展的App收集使用个人信息评估工作，收到举报信息超过3480条，其中实名举报1040余条，涉及1300余款App。

被举报App主要集中在金融借贷、社区社交、网上购物、短视频与直播、即时通讯等领域。

26%的App没有隐私条款或未在隐私条款中明确收集个人信息的目的、方式、范围；31%的App在申请打开收集个人信息相关权限时，未明确告知用户；20%的App收集与业务功能无关的个人信息，如金融借贷App收集用户通信录；19%的App未经用户同意，向他人提供设备ID、应用程序列表等个人信息；13%的App强制索要与业务功能无关的权限，如计算器、手电筒App强制要求打开地理位置权限。

从以上数据可以看出，个人信息保护还需要技术加强。

好消息的是，APP专项治理工作组发布了《App违法违规收集使用个人信息行为认定方法》，细化了判定app违法违规使用个人信息的方法。

后面将以此作为判定，法律法规约束处罚。

《消费者权益保护法》第二十九条经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。

App非法获取其用户数据的刑法适用研究作者：冉植权来源：《西部学刊》2020年第24期随着互联网技术和通讯技术的快速发展，我国已进入移动互联网时代。

近9亿网民手机上网比例高达99.1%，移动互联网服务便捷、即时、普惠的特点在移动互联网应用程序（以下简称“APP”）中得到充分体现①。

然而，一些APP非法获取其用户数据的行为严重地损害了用户的数据安全和个人信息权益，其中不乏一些拥有广大用户群体的APP。

侵犯用户APP内的数据安全和个人信息权益的行为涉及到两个罪名，分别是《刑法》第二百五十三条之侵犯公民个人信息罪和第二百八十五条非法获取计算机信息系统数据罪，但该类行为是否构成犯罪还需要探讨以下问题：一是APP用户数据的内涵应当如何辨析;二是APP非法获取用户数据行为的入罪思路;三是罪名选择适用以及刑法适用边界的分析。

一、APP用户数据的内涵辨析（一）APP用户数据本质属于计算机信息系统数据APP是指通过预装、下载等方式获取并运行在移动智能终端上、向用户提供信息服务的应用软件，其用户数据包括APP内用户的数据和移动智能终端内的数据。

《网络安全法》第七十六条规定：网络数据，是指通过网络收集、存储、传输、处理和产生的各种电子数据。

依据该规定，APP用户数据符合网络数据的定义，但我国刑法以及司法解释尚未采用网络数据这一概念，而是以计算机信息系统数据作为保护对象。

2011年《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（以下简称《危害计算机信息系统安全刑事案件解释》）将“计算机信息系统”“計算机系统”界定为“具备自动处理数据功能的系统，包括计算机、网络设备、通信设备、自动化控制设备等。

”这也实质上将已经广泛运用到各个领域的内置有操作系统的具备自动处理数据功能的设备都归为了“计算机信息系统”，手机、平板这一类移动智能终端也属于计算机信息系统。

APP内的数据是储存在移动智能终端中或者服务器中，根据《解释》，服务器也是属于计算机信息系统，而“计算机信息系统数据”包括计算机信息系统中存储、处理或者传输的数据，因此无论是APP 内的数据还是手机等移动端内的数据在本质上都属于计算机信息系统数据的范畴。

论个人信息保护行政处罚制度《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）第66条对个人信息保护领域的行政处罚制度作出规定。

相较于《全国人民代表大会常务委员会关于维护互联网安全的决定》第4条、《消费者权益保护法》第56条、《网络安全法》第64 条等先期规范，《个人信息保护法》第66条有了质的突破。

广度上，其打击对象不再限于侵害他人电子邮件等数据资料行为，保护对象亦不再限于消费者，而是涵盖所有违法处理个人信息行为和个人信息主体；深度上，其新增责任人员从业禁止和高额罚款等处罚措施，强化违法威慑。

然而，既有研究或聚焦网络安全领域的行政处罚，或论证对严重个人信息侵权行为处以高额罚款的必要性与可行性，或介绍欧美个人信息保护领域的处罚制度。

以《个人信息保护法》第66条为切入点，探讨我国个人信息保护行政处罚制度的文献迄今仍付之阙如。

本文试图填补此空白，从“谁处罚” “罚什么” “怎么罚”三方面展开初步讨论。

一、谁处罚：处罚主体与管辖协调（一）处罚主体《个人信息保护法》第66条规定由“履行个人信息保护职责的部门”实施处罚。

根据该法第60条，此类部门包括“国家网信部门” “国务院有关部门”以及“县级以上地方人民政府有关部门“。

除网信部门外，还有哪些机构属于“履行个人信息保护职责的部门”？《网络安全法》第8条、《数据安全法》第6条将电信、公安、国安、交通、金融、自然资源、卫生健康、教育、科技部门列为网络安全、数据安全监管部门，但也采用“其他有关机关”和“等”的措辞来表明列举是不穷尽的。

事实上，由于个人信息的泛在性，大量部门皆负有个人信息保护职责。

例如人社部门依据《人力资源市场暂行条例》第三章监管人力资源服务机构，由此对线上人力资源服务处理个人信息具有监管职责。

又如文旅部门是旅游经营活动的监管主体，由此对该类活动中的个人信息保护负有监管职责。

简言之，举凡监管对象处理个人信息的机构皆属于“履行个人信息保护职责的部门”。

Open Journal of Legal Science 法学, 2021, 9(3), 295-302Published Online May 2021 in Hans. /journal/ojlshttps:///10.12677/ojls.2021.93041隐私权视角下手机APP过度收集利用个人信息的法律规制郑兆钧，马锐，宋阁阁，张钰松温州大学，浙江温州收稿日期：2021年3月25日；录用日期：2021年4月6日；发布日期：2021年5月12日摘要APP对用户个人信息的过度收集利用已经成为当代侵犯公民个人隐私的重要因素，甚至诱发诸如信息贩卖、信息网络诈骗等违法犯罪行为。

而APP过度收集个人信息原因包含信息的经济利益链条驱使、法律法规尚未完善、司法救济尚不成熟、行政监管难以到位以及民众维权意识尚浅等因素。

为了保护公民对个人信息的隐私权，应当加强行政监管，集中监督权力、提高监督效力，建立黑名单制度，设立民事公益诉讼制度，帮助用户维护合法权益，同时完善和补充刑法关于侵犯公民个人信息罪的规定，加强宣传教育，建立行业协会，更好地对APP行业发展进行引导和规制。

关键词个人信息，过度收集，隐私权The Legal Regulation of OverCollection and Utilization ofPersonal Information byMobile APP from thePerspective of PrivacyZhaojun Zheng, Rui Ma, Gege Song, Yusong ZhangWenzhou University, Wenzhou ZhejiangReceived: Mar. 25th, 2021; accepted: Apr. 6th, 2021; published: May 12th, 2021郑兆钧 等AbstractThe excessive collection and utilization of user’s personal information by APP has become an im-portant factor that infringes citizens’ privacy, and even leads to illegal and criminal behaviors such as information trafficking, information network fraud and so on. The reasons for the exces-sive collection of personal information by APP include the drive of economic interest chain, the imperfection of laws and regulations, the immature judicial relief, the difficulty of administrative supervision and the shallow awareness of people’s rights protection. In order to protect citizens' right to privacy of personal information, we should strengthen administrative supervision, cen-tralize supervision power, improve supervision effectiveness, establish blacklist system, establish civil public interest litigation system, help users safeguard their legitimate rights and interests, improve and supplement the provisions of criminal law on the crime of infringing citizens’ per-sonal information, strengthen publicity and education, and establish industry associations, so as to better promote the development of APP industry to guide and regulate. KeywordsPersonal Information, Over Collection, Rights of PrivacyCopyright © 2021 by author(s) and Hans Publishers Inc. This work is licensed under the Creative Commons Attribution International License (CC BY 4.0). /licenses/by/4.0/1. APP 对于公民个人信息收集及处理现状(一) 过度收集个人信息屡禁不止截至2021年1月22日，工信部共发布10批“关于侵害用户权益行为的APP ”报，在最近五期共512个被通报的APP 名单中，“违规收集个人信息”占82.65%，“违规使用个人信息”占比25.89%，“APP 强制、频繁、过度索取权限”占比23.79%，其中不乏存在芒果TV 、京东、腾讯动漫等高知名度和受众的APP 违规收集或使用个人信息问题。

App违法违规收集使用个人信息监测分析报告国家计算机网络应急技术处理协调中心中国网络空间安全协会2021年12月App违法违规收集使用个人信息监测分析报告2021年，国家计算机网络应急技术处理协调中心会同中国网络空间安全协会，发挥网络安全技术力量优势和行业组织特点，有力支撑国家App个人信息保护工作。

近期，根据App违法违规收集使用个人信息技术监测和举报受理数据，对我国App收集使用个人信息情况进行了态势分析，具体如下：一、App收集使用个人信息总体状况目前全国主流安卓应用商店在架App去重后总数为112万款。

从运营者地域分布方面看，App运营者主要分布在广东、北京、上海等信息产业发达的地区，占到了总数的一半以上（52.8%），中西部省份分布较少，不足总数的四分之一（21.8%）。

从应用类型分布方面看，数量最多的三类为网络游戏类（24.0%）、本地生活类（14.6%）、实用工具类（12.4%），大部分类型应用数量较少，全部39类常见类型应用中有21类应用数量占比不到1%。

从下载量分布方面看，下载量在亿级、千万级、百万级的分别有1127款（占比0.1%）、5317款（占比0.5%）、1.9万款（占比1.7%），其余下载量不到百万的App占比97.7%。

（一）个人信息保护法律法规体系日趋完善，App违法违规收集使用个人信息治理取得阶段性成果2021年11月1日起，《个人信息保护法》正式颁布实施，标志着我国个人信息保护立法体系进入新的阶段。

《个人信息保护法》的出台为个人信息权益保护、信息处理者的义务以及主管机关的职权范围提供了全面的、体系化的法律依据，涵盖个人信息收集、存储、使用、加工、传输、提供、公开、删除等多个环节以及自动化决策、个人信息跨境提供等特定场景，与《民法典》《网络安全法》《数据安全法》等共同构成了我国个人信息保护的法律框架。

此外，多项个人信息保护相关法规面向社会公众发布或公开征求意见，我国个人信息保护领域法律法规体系日趋完善。