元宇宙时代的来临,在线社交、游戏、媒体、学习、医疗、教育、工作、生活等诸多元宇宙场景需要大量收集、存储、分析个人数据(信息),并将上述个人数据(信息)加工、生成数据产品或服务。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。收集是获得个人信息的控制权的行为,包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集行为,以及通过共享、转让、搜集公开信息等间接获取个人信息等行为。如果产品或服务的提供者提供工具供个人信息主体使用,提供者不对个人信息进行访问的,则不属于收集,比如:离线导航软件在终端获取个人信息主体位置信息后,如果不回传至软件提供者,则不属于个人信息主体位置信息的收集。
一、个人信息的分类
《个人信息保护法》规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。个人信息控制者通过个人信息或其他信息加工处理后形成的信息,例如,用户画像或特征标签,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,属于个人信息。匿名化处理是指:通过对个人信息的技术处理,使得个人信息主体无法被识别或者关联,且处理后的信息不能被复原的过程。个人信息经匿名化处理后所得的信息不属于个人信息。判定某项信息是否属于个人信息,应考虑以下两条路径:一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人,个人信息应有助于识别出特定个人。二是关联,即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。符合上述两种情形之一的信息,均应判定为个人信息。
个人信息包括一般个人信息和敏感个人信息,敏感个人信息以外的其他个人信息都属于一般个人信息。敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹、性取向、存款信息、传染病史等信息,以及不满十四周岁未成年人的个人信息。特定身份信息包括姓名、出生日期、身份证件号码、住址、通信通讯联系方式、通信记录和内容等,个人生物识别信息包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等,金融账户信息包括银行账户、存款信息、交易信息、财产信息、征信信息等,医疗健康信息包括问诊信息、健康生理信息、传染病史等,行踪轨迹包括车票信息、住宿信息等。
二、收集个人信息的原则
根据《网络安全法》和《个人信息保护法》的规定,个人信息处理者在收集个人信息时首先应当遵循合法原则,不得通过误导、欺诈、胁迫等方式收集个人信息,不应隐瞒产品或服务所具有的收集个人信息的功能,不应从非法渠道获取个人信息;其次,应当遵循最小必要原则, 应当限于实现处理目的的最小范围,应坚持最少够用原则,不得过度收集个人信息,只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量,在处理目的范围内采取对个人权益影响最小的方式,另外处理敏感个人信息还需要特定的目的和充分的必要性;再其次应当遵循告知同意原则,在收集个人信息前以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名和联系方式、个人信息的处理目的、处理方式,处理的个人信息种类、保存期限、个人行使权利的方式和程序,该同意应当由个人在充分知情的前提下自愿、明确作出;最后,这三个原则是优先顺位关系而非并列关系,首先需要判定是否合法,其次再适用最小必要原则,最后才能是适用告知同意原则。
1、合法原则
《网络安全法》规定,网络运营者收集个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集个人信息。《个人信息保护法》规定,收集个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式收集个人信息。收集个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
《信息安全技术个人信息安全规范》规定,收集个人信息的合法性对个人信息控制者的要求包括:a) 不应以欺诈、诱骗、误导的方式收集个人信息;b) 不应隐瞒产品或服务所具有的收集个人信息的功能;c) 不应从非法渠道获取个人信息。
2、最小必要原则
《个人信息保护法》规定,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。《常见类型移动互联网应用程序必要个人信息范围规定》指出,必要个人信息,是指保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务。具体是指消费侧用户个人信息,不包括服务供给侧用户个人信息。《信息安全技术个人信息安全规范》规定,5.2 收集个人信息的最小必要对个人信息控制者的要求包括:a) 收集的个人信息的类型应与实现产品或服务的业务功能有直接关联;直接关联是指没有上述个人信息的参与,产品或服务的功能无法实现;b) 自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率;c) 间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。
(1)必要个人信息范围规定
《常见类型移动互联网应用程序必要个人信息范围规定》条常见类型App的必要个人信息范围:
(一)地图导航类,基本功能服务为“定位和导航”,必要个人信息为:位置信息、出发地、到达地。
(二)网络约车类,基本功能服务为“网络预约出租汽车服务、巡游出租汽车电召服务”,必要个人信息包括:
1. 注册用户移动电话号码;
2. 乘车人出发地、到达地、位置信息、行踪轨迹;
3. 支付时间、支付金额、支付渠道等支付信息(网络预约出租汽车服务)。
(三)即时通信类,基本功能服务为“提供文字、图片、语音、视频等网络即时通信服务”,必要个人信息包括:
1. 注册用户移动电话号码;
2. 账号信息:账号、即时通信联系人账号列表。
(四)网络社区类,基本功能服务为“博客、论坛、社区等话题讨论、信息分享和关注互动”,必要个人信息为:注册用户移动电话号码。
(五)网络支付类,基本功能服务为“网络支付、提现、转账等功能”,必要个人信息包括:
1. 注册用户移动电话号码;
2. 注册用户姓名、证件类型和号码、证件有效期限、银行卡号码。
(六)网上购物类,基本功能服务为“购买商品”,必要个人信息包括:
1. 注册用户移动电话号码;
2. 收货人姓名(名称)、地址、联系电话;
3. 支付时间、支付金额、支付渠道等支付信息。
(七)餐饮外卖类,基本功能服务为“餐饮购买及外送”,必要个人信息包括:
1. 注册用户移动电话号码;
2. 收货人姓名(名称)、地址、联系电话;
3. 支付时间、支付金额、支付渠道等支付信息。
(八)邮件快件寄递类,基本功能服务为“信件、包裹、印刷品等物品寄递服务”,必要个人信息包括:
1. 寄件人姓名、证件类型和号码等身份信息;
2. 寄件人地址、联系电话;
3. 收件人姓名(名称)、地址、联系电话;
4. 寄递物品的名称、性质、数量。
(九)交通票务类,基本功能服务为“交通相关的票务服务及行程管理(如票务购买、改签、退票、行程管理等)”,必要个人信息包括:
1. 注册用户移动电话号码;
2. 旅客姓名、证件类型和号码、旅客类型。旅客类型通常包括儿童、成人、学生等;
3. 旅客出发地、目的地、出发时间、车次/船次/航班号、席别/舱位等级、座位号(如有)、车牌号及车牌颜色(ETC服务);
4. 支付时间、支付金额、支付渠道等支付信息。
(十)婚恋相亲类,基本功能服务为“婚恋相亲”,必要个人信息包括:
1. 注册用户移动电话号码;
2. 婚恋相亲人的性别、年龄、婚姻状况。
(十一)求职招聘类,基本功能服务为“求职招聘信息交换”,必要个人信息包括:
1. 注册用户移动电话号码;
2. 求职者提供的简历。
(十二)网络借贷类,基本功能服务为“通过互联网平台实现的用于消费、日常生产经营周转等的个人申贷服务”,必要个人信息包括:
1. 注册用户移动电话号码;
2. 借款人姓名、证件类型和号码、证件有效期限、银行卡号码。
(十三)房屋租售类,基本功能服务为“个人房源信息发布、房屋出租或买卖”,必要个人信息包括:
1. 注册用户移动电话号码;
2. 房源基本信息:房屋地址、面积/户型、期望售价或租金。
(十四)二手车交易类,基本功能服务为“二手车买卖信息交换”,必要个人信息包括:
1. 注册用户移动电话号码;
2. 购买方姓名、证件类型和号码;
3. 出售方姓名、证件类型和号码、车辆行驶证号、车辆识别号码。
(十五)问诊挂号类,基本功能服务为“在线咨询问诊、预约挂号”,必要个人信息包括:
1. 注册用户移动电话号码;
2. 挂号时需提供患者姓名、证件类型和号码、预约挂号的医院和科室;
3. 问诊时需提供病情描述。
(十六)旅游服务类,基本功能服务为“旅游服务产品信息的发布与订购”,必要个人信息包括:
1. 注册用户移动电话号码;
2. 出行人旅游目的地、旅游时间;
3. 出行人姓名、证件类型和号码、联系方式。
(十七)酒店服务类,基本功能服务为“酒店预订”,必要个人信息包括:
1. 注册用户移动电话号码;
2. 住宿人姓名和联系方式、入住和退房时间、入住酒店名称。
(十八)网络游戏类,基本功能服务为“提供网络游戏产品和服务”,必要个人信息为:注册用户移动电话号码。
(十九)学习教育类,基本功能服务为“在线辅导、网络课堂等”,必要个人信息为:注册用户移动电话号码。
(二十)本地生活类,基本功能服务为“家政维修、家居装修、二手闲置物品交易等日常生活服务”,必要个人信息为:注册用户移动电话号码。
(二十一)女性健康类,基本功能服务为“女性经期管理、备孕育儿、美容美体等健康管理服务”,无须个人信息,即可使用基本功能服务。
(二十二)用车服务类,基本功能服务为“共享单车、共享汽车、租赁汽车等服务”,必要个人信息包括:
1. 注册用户移动电话号码;
2. 使用共享汽车、租赁汽车服务用户的证件类型和号码,驾驶证件信息;
3. 支付时间、支付金额、支付渠道等支付信息;
4. 使用共享单车、分时租赁汽车服务用户的位置信息。
(二十三)投资理财类,基本功能服务为“股票、期货、基金、债券等相关投资理财服务”,必要个人信息包括:
1. 注册用户移动电话号码;
2. 投资理财用户姓名、证件类型和号码、证件有效期限、证件影印件;
3. 投资理财用户资金账户、银行卡号码或支付账号。
(二十四)手机银行类,基本功能服务为“通过手机等移动智能终端设备进行银行账户管理、信息查询、转账汇款等服务”,必要个人信息包括:
1. 注册用户移动电话号码;
2. 用户姓名、证件类型和号码、证件有效期限、证件影印件、银行卡号码、银行预留移动电话号码;
3. 转账时需提供收款人姓名、银行卡号码、开户银行信息。
(二十五)邮箱云盘类,基本功能服务为“邮箱、云盘等”,必要个人信息为:注册用户移动电话号码。
(二十六)远程会议类,基本功能服务为“通过网络提供音频或视频会议”,必要个人信息为:注册用户移动电话号码。
(二十七)网络直播类,基本功能服务为“向公众持续提供实时视频、音频、图文等形式信息浏览服务”,无须个人信息,即可使用基本功能服务。
(二十八)在线影音类,基本功能服务为“影视、音乐搜索和播放”,无须个人信息,即可使用基本功能服务。
(二十九)短视频类,基本功能服务为“不超过一定时长的视频搜索、播放”,无须个人信息,即可使用基本功能服务。
(三十)新闻资讯类,基本功能服务为“新闻资讯的浏览、搜索”,无须个人信息,即可使用基本功能服务。
(三十一)运动健身类,基本功能服务为“运动健身训练”,无须个人信息,即可使用基本功能服务。
(三十二)浏览器类,基本功能服务为“浏览互联网信息资源”,无须个人信息,即可使用基本功能服务。
(三十三)输入法类,基本功能服务为“文字、符号等输入”,无须个人信息,即可使用基本功能服务。
(三十四)安全管理类,基本功能服务为“查杀病毒、清理恶意插件、修复漏洞等”,无须个人信息,即可使用基本功能服务。
(三十五)电子图书类,基本功能服务为“电子图书搜索、阅读”,无须个人信息,即可使用基本功能服务。
(三十六)拍摄美化类,基本功能服务为“拍摄、美颜、滤镜等”,无须个人信息,即可使用基本功能服务。
(三十七)应用商店类,基本功能服务为“App搜索、下载”,无须个人信息,即可使用基本功能服务。
(三十八)实用工具类,基本功能服务为“日历、天气、词典翻译、计算器、遥控器、手电筒、指南针、时钟闹钟、文件传输、文件管理、壁纸铃声、截图录屏、录音、文档处理、智能家居助手、星座性格测试等”,无须个人信息,即可使用基本功能服务。
(三十九)演出票务类,基本功能服务为“演出购票”,必要个人信息包括:
1. 注册用户移动电话号码;
2. 观演场次、座位号(如有);
3. 支付时间、支付金额、支付渠道等支付信息。
(2)遵循最小必要原则和必要个人信息收集规则
《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》
1、遵循最小必要原则
具有明确、合理、具体的个人信息处理目的。
限于实现处理目的所必要的最小范围(含类型、频率、数量、精度等)。
结合个人信息的敏感程度,采取对个人权益影响最小的方式 收集。
与处理目的直接相关 。
仅在用户使用业务功能期间 (用户触发或切换至该功能页面至主动关闭、退出时),收集该业务所需的个人信息。
2、必要个人信息收集规则
必要个人信息为保障移动互联网应用程序 基本业务功能正常运行所必须的个人信息,缺少该信息移动互联网应用程序即无法实现基本业务功能。
要求用户必须提供的个人信息不应超出必要个人信息范围。
确保无须收集用户个人信息即可提供App基本业务功能时,用户在不提供个人信息的情况下可正常使用App基本业务功能。
(3)违反必要原则,收集与其提供的服务无关的个人信息
《App违法违规收集使用个人信息行为认定方法》四、以下行为可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”
1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;
2.因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;
3.App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;
4.收集个人信息的频度等超出业务功能实际需要;
5.仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;
6.要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。
(4)不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动
《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》规定,从事APP个人信息处理活动的,应当具有明确、合理的目的,并遵循最小必要原则,不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。(一)处理个人信息的数量、频次、精度等应当为服务所必需,不得超范围处理个人信息;(二)个人信息的本地读取、写入、删除、修改等操作应当为服务所必需,不得超出用户同意的操作范围;(三)用户拒绝相关授权申请后,不得强制退出或者关闭APP,不得提前申请超出其业务功能或者服务外的权限,不得利用频繁弹窗反复申请与当前服务场景无关的权限;(四)在非服务所必需或者无合理场景下,不得自启动或者关联启动其他APP;(五)用户拒绝提供非该类服务所必需的个人信息时,不得影响用户使用该服务;(六)不得以改善服务质量、提升使用体验、研发新产品、定向推送信息、风险控制等为由,强制要求用户同意超范围或者与服务场景无关的个人信息处理行为。
(5)是否遵循必要原则,仅收集与其提供的服务相关的个人信息
《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》
评估点四:是否遵循必要原则,仅收集与其提供的服务相关的个人信息
4.1 是否收集与业务功能无关的个人信息
a) 不收集与业务功能无关的个人信息。
b) 不申请打开与业务功能无关的可收集个人信息权限。
4.2 用户是否可拒绝收集非必要信息或打开非必要权限
a) 收集与业务功能相关但非必要的个人信息或申请打开相关但非必要的可收集个人信息权限时,需由用户自主选择同意,如用户不同意,不影响其使用现有业务功能或相关服务。
b) 不将同意收集其他业务功能所需的个人信息或同意打开其他业务功能所需的可收集个人信息权限,作为用户使用当前业务功能的前提条件。
c) 如提供无需注册即可使用的服务模式(如仅浏览、游客模式),当用户拒绝同意该类服务模式以外的个人信息收集行为时,不影响其使用仅浏览等功能。
注 1:必要信息指与业务功能直接相关的个人信息,缺少该个人信息则无法提供最基本的服务。必要信息范围可参考《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范》,如果服务类型不在该标准内,则可根据其业务特点,参考该标准相关定义和理念自行分析。
注 2:相关内容和实践案例可参考GB/T 35273-2020《信息安全技术 个人信息安全规范》5.3 节及其附录C。
4.3 是否以非正当方式强迫收集用户个人信息
a) 根据用户主动填写、点击、勾选等自主行为,作为各个业务功能收集使用个人信息的前提条件。
b) 新增业务功能申请收集的个人信息超出用户原有同意范围时,不因用户拒绝新增业务功能收集个人信息的请求,拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外。
c) 不仅以改善服务质量、提升使用体验、研发新产品、定向推送信息、增强安全性等为由,强制要求个人信息主体同意收集个人信息。
d) 不以捆绑方式强制要求用户一次性同意打开多个可收集个人信息权限。
注:例如将安卓版App的targetSdkVersion值设置低于 23,通过声明机制,在安装App时要求用户一次性同意打开多个可收集个人信息权限属于捆绑方式。
4.4 收集个人信息的频度是否超出业务功能实际需要
a) 收集个人信息的频度不超出业务功能实际需要,在用户使用某业务功能过程中,仅收集与当前业务功能相关的个人信息。
b) 在App未打开或处于后台运行状态时,不收集用户个人信息,除非业务功能需要后台运行时继续提供服务,如导航功能等。
注:在用户主动关闭App后,未经用户同意不采用自启动、关联启动方式收集个人信息。
c) 接入第三方应用时,不私自截留第三方应用收集的个人信息。
注:例如信息查询类App,在用户向第三方应用提交相关个人信息时,截留用户个人信息并上传至其后端服务器的行为属于私自截留个人信息。
(6)超范围收集,实际收集使用个人信息行为与声明不一致
《移动互联网应用程序(App)个人信息保护常见问题及处置指南》
2.3 超范围收集
2.3.1 问题描述
App 超范围收集,是指违反必要原则,收集与业务功能无关的个人信息,或收集个人信息的范围、频度等超出实现 App 业务功能实际需要,其典型问题情形包括但不限于:
情形一:收集无关个人信息。收集的个人信息类型与 App 提供的业务功能无关,例如未提供短信功能的 App 读取短信数据。
情形二:强制收集非必要个人信息。因用户不同意收集非必要个人信息,App 拒绝提供业务功能。例如:因用户拒绝提供某服务类型最小必要个人信息以外的信息,App 拒绝提供该类型服务基本业务功能;仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;在非必需的服务场景,诱导或强制采集个人生物识别信息、手持身份证照片等个人敏感信息,如可以通过密码方式验证而确保安全性的,却诱导用户使用指纹识别或人脸识别的方式验证。
情形三:过度索权。App 超范围索取权限3,例如:申请打开与App 所提供业务功能无关的权限;App 安装和运行时,向用户申请当前服务类型非必要权限,用户拒绝授权申请后,App 退出、关闭或拒绝提供该类型服务基本业务功能;App 在用户未使用相关功能或服务时,提前申请开启通讯录、位置、短信、麦克风、相机等权限。
注:服务类型的必要系统权限,可参考《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范》的常见服务类型最小必要个人信息进行判断。
情形四:收集时机和频度不合理。例如:收集个人信息的频度超出 App 业务功能实际需要,特别是在静默状态或在后台运行时,收集个人信息的频度和数量超出业务需要,如预订车票功能场景下每1秒上传一次用户精确定位信息;用户关闭 App 后,App 未经用户同意通过自启动、关联启动方式收集个人信息。
2.3.2 处置指南
该问题的处置建议,包括但不限于:
a) 结合实际的业务功能和场景所需,App收集的个人信息类型应与业务功能有直接关联,不收集与所提供业务功能无关的个人信息。
b)遵循最小必要原则,仅申请App业务功能所必需的权限,不申请与App业务功能无关的权限(即使用户可选择拒绝)。
c) 参考《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范》,明确App所提供的服务类型和最小必要个人信息范围,且不因用户拒绝提供最小必要个人信息以外的信息,拒绝提供该类型服务的基本业务功能。
注 1:《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范》,给出了常见服务类型的最小必要个人信息。
注 2:《网络安全标准实践指南—移动互联网应用程序(App)系统权限申请使用指南》,给出了权限相关的业务功能示例,及与常见服务类型相关程度较低,不建议申请的安卓系统权限。
d)如用户拒绝或撤回授予某服务类型非必要系统权限,App不应强制退出或关闭,且不影响与此权限无关的业务功能使用。
e) App所需的权限应在对应业务功能执行时动态申请,在用户未触发相关业务功能时,不提前申请与当前业务功能无关的权限。
f) 权限申请获得授权后,自动采集个人信息的频率应在实现App业务功能所必需的最低合理频率范围内,且仅访问满足业务功能需要的最少个人信息。
g)除为满足法律法规规定、保护公共利益和个人重要人身财产权利之外,App开展业务活动时不应限定使用个人生物识别信息作为唯一实现业务目标的方式。
2.7 实际收集使用个人信息行为与声明不一致
2.7.1 问题描述
App 实际收集使用个人信息行为与声明不一致,是指 App 实际收集使用的个人信息超出用户授权范围,或实际行为与其所声明的隐私政策等收集使用规则存在偏差、不一致,其典型问题情形包括但不限于:
情形一:实际收集使用个人信息的范围与隐私政策所述不一致。
例如,实际收集使用个人信息范围超出隐私政策所述,即实际收集的个人信息未在隐私政策中或以其他形式说明;实际收集使用个人信息的范围少于隐私政策所述,即声明了实际并未收集的个人信息、权限或并未提供的业务功能。
情形二:故意欺瞒、掩饰收集使用个人信息的真实目的,诱骗用户同意收集个人信息或申请打开权限。例如以添加联系人为由申请通讯录权限,用户打开权限后上传整个通讯录,并将该类信息用于发送商业广告或其它目的;又如通过积分、奖励、优惠等方式欺骗误导用户提供身份证号码以及个人生物特征信息。
情形三:隐私政策所述存在明显偏差、错误。即隐私政策所述与实际情况存在明显偏差、错误,甚至出现大篇幅抄袭导致隐私政策内容不实等。
2.7.2 处置指南
该问题的处置建议,包括但不限于:
a) 实际收集的个人信息类型、申请打开可收集使用个人信息的权限、提供的业务功能等,与隐私政策等收集使用规则中相关内容一致,不超出隐私政策等收集使用规则所述范围。
b)严格遵守隐私政策等收集使用规则,App收集或使用个人信息的功能设计同隐私政策保持一致、同步调整。
c) 明示收集使用个人信息的目的需真实、准确,不故意欺瞒、掩饰收集使用个人信息的真实目的,不诱骗用户同意收集个人信息或打开可收集个人信息权限。
