4月26日,工业和信息化部发布《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》(下称“征求意见稿”)并向社会公开征求意见。
南都记者注意到,征求意见稿细化了App开发运营者、分发平台、第三方服务提供者、终端生产企业、网络接入服务提供者五类主体责任义务。其中App分发平台需在显著位置标明App运行所需获取的用户终端权限列表和个人信息收集的类型、内容、目的、范围、方式、用途及处理规则等相关信息。
针对App自启动和关联启动的问题,征求意见稿明确,在非服务所必需或者无合理场景下,不得自启动或者关联启动其他App,并要求移动智能终端生产企业为用户提供关闭选项。
此外,征求意见稿进一步细化了违规处置流程和具体措施。对于整改反复出现问题且情节严重的App,App分发平台和移动智能终端生产企业可采取禁入措施。相应违规主体还可能被纳入信用管理,实施联合惩戒。
原则
“知情同意”“最小必要”
2019年以来,国家网信办、工信部、公安部、市场监管总局持续开展App违法违规收集使用个人信息治理工作,工信部连续两年开展App侵害用户权益专项整治行动。
征求意见稿起草组指出,作为一项长期性、复杂性的系统治理工作,App治理亟须将近年来成熟的经验做法和管理措施转换为制度性规范文件。为强化App个人信息保护管理的系统性、整体性和协同性,起草形成了征求意见稿。
征求意见稿共计二十条,界定了适用范围和监管主体;确立了“知情同意”“最小必要”两项重要原则;细化了App开发运营者、分发平台、第三方服务提供者、终端生产企业、网络接入服务提供者五类主体责任义务;提出了投诉举报、监督检查、处置措施、风险提示等四方面规范要求。
在监管主体方面,征求意见稿明确,App个人信息保护监督管理部门由国家网信办、工信部、公安部、市场监管总局,以及省、自治区、直辖市网信办、通信管理局、公安厅(局)、市场监管局组成。
乱象
有App每天自启超百次
南都记者注意到,征求意见稿第七条规定,在非服务所必需或者无合理场景下,不得自启动或者关联启动其他App。
据新华社此前调查,安卓系统手机上多款App存在频繁自启动、关联启动,访问、读取手机用户信息的情况。有的App每天自启次数超过100次,有的一分钟内尝试启动15款其他App。还有App启动后会在短时间内高频次访问通讯录、手机照片、文件,多者超万次。
在中国社科院法学研究所副所长周汉华看来,此类行为导致超用户预期的收集、使用个人信息的技术风险明显,同时也大大增加了法律风险。根据个人信息保护的其他相关法规,此类行为也涉嫌违反“知情同意”“最小必要”原则。
事实上,上述两项重要原则也在此次征求意见稿中加以明确。比如“应当采取非默认勾选的方式征得用户同意”“不应强制要求用户一揽子同意打开多个系统权限”等等。
针对自启动和关联启动问题,征求意见稿还要求移动智能终端生产企业为用户提供关闭选项,还要持续优化个人信息权限在用状态,特别是录音、拍照、视频等敏感权限在用状态的显著提示机制,帮助用户及时准确了解个人信息权限的使用状态。
此外,征求意见稿还规定用户拒绝相关授权申请后,不得强制退出或者关闭App,不得提前申请超出其业务功能或者服务外的权限,不得利用频繁弹窗反复申请与当前服务场景无关的权限;用户拒绝提供非该类服务所必需的个人信息时,不得影响用户使用该服务。
亮点
平台需建立风险App名单
征求意见稿的另一个亮点在于,它对App治理的全链条、全主体、全流程予以规范,规定了App开发运营者、App分发平台、App第三方服务提供者、移动智能终端生产企业和网络接入服务提供者在App个人信息保护方面的具体义务。
23日,工信部在关于侵害用户权益行为的App的最新通报中提到,在2021年第一季度检测中,腾讯应用宝、小米应用商店、OPPO软件商店、华为应用市场和vivo应用商店发现问题数量占比均超过11%,存在上架审核不严格,存量问题清理不彻底,登记核验App开发运营者信息不准确,误导用户下载等问题。
对此,征求意见稿明确,App分发平台的个人信息保护义务包括在显著位置标明App运行所需获取的用户终端权限列表和个人信息收集的类型、内容、目的、范围、方式、用途及处理规则等相关信息;对新上架App实行上架前个人信息处理活动规范性审核,对已上架App在本规定实施后1个月内完成补充审核,并根据审核结果进行更新或者清理;建立App开发运营者信用积分、风险App名单、平台信息共享及签名验证等管理机制等七条。
工信部新闻发言人、信息通信管理局局长赵志国此前在一季度工业和信息化发展情况新闻发布会表示,要建立应用商店合规经营监测机制,将违规行为主体纳入到电信业务经营不良名单,组织应用商店开展检测标准培训,推动应用商店形成统一的技术检测体系。
此外,移动智能终端生产企业还需建立重点App关注名单管理机制,完善移动智能终端App管理措施;对预置App进行审核,持续监测预置App的个人信息安全风险,并在安装过程中以显著方式告知用户App申请的个人信息权限列表。
处置
违规主体可纳入信用管理
最新数据显示,今年以来,工信部已累计完成29万款App技术检测,对1862款违规App提出整改要求,公开通报319款整改不到位App,组织下架了107款拒不整改的App。
在细化违规处置流程和具体措施方面,征求意见稿明确,从事个人信息处理活动的有关主体违反要求的,依次按照通知整改、社会公告、下架处置、断开接入、信用管理流程进行处置。
比如对检测发现问题App的开发运营者、App分发平台、第三方服务提供者及相关主体提出整改,要求5个工作日内进行整改及时消除隐患;未完成整改的,向社会公告。
征求意见稿特别提出,若拒绝整改或者整改后仍存在问题,可要求相关主体进行下架处置;对反复出现问题、采取技术对抗等违规情节严重的,将对其进行直接下架,且被下架的App在40个工作日内不得通过任何渠道再次上架。
不过,征求意见稿也给被下架的App设置了救济措施。如果被下架的App完成整改,并完善技术和管理机制及作出企业自律承诺后,可向作出下架要求的监督管理部门申请恢复上架或接入。
征求意见稿还规定,对整改反复出现问题的App及其开发运营者开发的相关App,监督管理部门可以指导组织App分发平台和移动智能终端生产企业在集成、分发、预置和安装等环节进行风险提示,情节严重的采取禁入措施。
值得注意的是,征求意见稿还引入了信用管理的处置措施。对相应违规主体,可纳入信用管理,实施联合惩戒。
据了解,为进一步完善管理政策和标准,工信部还将组织制定《App用户权益保护测评规范》和《App收集使用个人信息最小必要评估规范》等系列行业标准,为App个人信息保护监管提供政策和标准支撑。
采写:南都记者 蒋琳
