工信部就APP個人信息保護及處理征求意見
邁入數(shù)字化、信息化時代,大數(shù)據(jù)、人工智能等的廣泛應(yīng)用,一方面雖然便捷了人們的生產(chǎn)生活,帶來前所未有的優(yōu)質(zhì)體驗;但另一方面,由此催生出的隱私安全問題卻也引發(fā)全社會的擔(dān)憂。近年來,不少軟件APP相繼引入各種智能化技術(shù),不僅使得人們的隱私日益“裸奔”,同時也滋生了諸多“殺熟”事件。
在此背景下,加強APP管理和整治,強化App個人信息保護,規(guī)范App個人信息處理刻不容緩。早從2019年開始,我國已發(fā)起多次APP侵害用戶權(quán)益專項整治行動,對一大批違規(guī)APP進行警示、約談和處理。而近日,工信部再度就APP個人信息保護及處理征求意見,以期通過法律完善從源頭上進行徹底根治。
4月26日,工信部會同公安部、市場監(jiān)管總局起草了《移動互聯(lián)網(wǎng)應(yīng)用程序個人信息保護管理暫行規(guī)定(征求意見稿)》,并進行為期一個月的意見征集。在征求意見稿中,對APP個人信息保護管理做出了具體詳細要求,并強調(diào)了不同主體對于APP個人信息保護的不同義務(wù),此外還明確了違反規(guī)定的懲罰措施。
具體來看,意見稿提出,進行APP個人信息處理活動時應(yīng)當(dāng)滿足三方面要求:
其一是采用合法、正當(dāng)?shù)姆绞剑裱\信原則,切實保障用戶同意權(quán)、知情權(quán)、選擇權(quán)和個人信息安全,對個人信息處理活動負責(zé)。其二是應(yīng)當(dāng)以清晰易懂的語言告知用戶個人信息處理規(guī)則,由用戶在充分知情的前提下,作出自愿、明確的意思表示。其三是應(yīng)當(dāng)具有明確、合理的目的,并遵循最小必要原則。
其中,在第二點要求中,意見稿著重強調(diào)了在App登錄注冊頁面及App首次運行時,要通過彈窗、文本鏈接及附件等簡潔明顯且易于訪問的方式,向用戶告知個人信息處理規(guī)則;應(yīng)當(dāng)采取非默認勾選的方式征得用戶同意;應(yīng)當(dāng)尊重用戶選擇權(quán),在取得用戶同意前或者用戶明確表示拒絕后,不得處理個人信息。
同時在第三點要求中,意見稿表示,處理個人信息的數(shù)量、頻次、精度等應(yīng)當(dāng)為服務(wù)所必需;個人信息的本地讀取、寫入、刪除、修改等操作應(yīng)當(dāng)為服務(wù)所必需,不得超出用戶同意的范圍;用戶拒絕相關(guān)授權(quán)申請后,不得強制退出或關(guān)閉App;用戶拒絕提供非該類服務(wù)所必需的個人信息時,不得影響用戶使用服務(wù)。
而針對不同APP主體,意見稿也提出了相應(yīng)的義務(wù):
如App開發(fā)運營者。要提升產(chǎn)品和服務(wù)個人信息保護意識,將保護要求落實在產(chǎn)品設(shè)計、開發(fā)及運營環(huán)節(jié);基于個人信息向用戶提供商品或者服務(wù)的搜索結(jié)果的,要保證結(jié)果公平合理;使用第三方服務(wù)的,要制定管理規(guī)則,明示App第三方服務(wù)提供者信息;要加強前端和后端安全保護工作,主動監(jiān)測發(fā)現(xiàn)違規(guī)行為。
App分發(fā)平臺。登記并核驗App開發(fā)運營者、提供者的真實身份、聯(lián)系方式等信息;在顯著位置標(biāo)明App運行所需獲取的用戶終端權(quán)限列表和個人信息收集信息;不得欺騙誤導(dǎo)用戶下載App;對新上架App實行規(guī)范性審核;建立App開發(fā)運營者管理機制;及時配合監(jiān)管部門開展問題App相關(guān)工作;設(shè)置便捷投訴舉報入口。
App第三方服務(wù)提供者。制定并公開個人信息處理規(guī)則;以明確、易懂、合理的方式向App開發(fā)運營者公開其個人信息處理相關(guān)內(nèi)容;未經(jīng)用戶同意或者在無合理業(yè)務(wù)場景下,不得自行進行喚醒、調(diào)用、更新等行為;采取足夠的管理措施和技術(shù)手段保護個人信息;未經(jīng)用戶同意,不得將收集到的用戶個人信息共享轉(zhuǎn)讓。
移動智能終端生產(chǎn)企業(yè)。完善終端權(quán)限管控機制,及時彌補權(quán)限管理漏洞;建立終端啟動和關(guān)聯(lián)啟動App管理機制;持續(xù)優(yōu)化個人信息權(quán)限在用狀態(tài),特別是敏感權(quán)限在用狀態(tài)的顯著提示機制;建立重點App關(guān)注名單管理機制,完善App管理措施;對預(yù)置App進行審核,持續(xù)監(jiān)測個人信息安全風(fēng)險;完善終端設(shè)備標(biāo)識管理機制。
網(wǎng)絡(luò)接入服務(wù)提供者。在為App提供網(wǎng)絡(luò)接入服務(wù)時,登記并核驗App開發(fā)運營者的真實身份、聯(lián)系方式等信息;按照監(jiān)督管理部門的要求,依法對違規(guī)App采取停止接入等必要措施,阻止其繼續(xù)違規(guī)侵害用戶個人信息和其他合法權(quán)益。
一旦相關(guān)主體違反規(guī)定,將受到責(zé)令整改與社會公告、下架、斷開接入、恢復(fù)上架、恢復(fù)接入、信用管理等系列處置措施。如果情節(jié)嚴重,將被采取禁入措施。同時如果從事App個人信息處理活動侵害個人信息權(quán)益的,將依照有關(guān)規(guī)定予以處罰;構(gòu)成犯罪的,公安機關(guān)將依法追究刑事責(zé)任。
