近年来我国个人信息保护力度不断加大,但移动互联网应用程序(App)个人信息收集使用规则、目的、方式和范围仍存在不明确的地方,部分环节仍存漏洞。针对上述问题,4月26日,工信部发布《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》(以下简称规定)。
根据起草说明,为保护个人信息权益,规范App个人信息处理活动,促进个人信息合理利用,依据《中华人民共和国网络安全法》等法律法规,在国家网信办的统筹指导下,工信部会同公安部、市场监管总局起草了规定,在中华人民共和国境内开展的App个人信息处理活动应当遵守该规定。
明确“知情同意”“最小必要”两项重要原则
规定明确指出,App个人信息处理活动应当采用合法、正当的方式,遵循诚信原则,不得通过欺骗、误导等方式处理个人信息,切实保障用户同意权、知情权、选择权和个人信息安全,对个人信息处理活动负责。
规定明确,从事App个人信息处理活动的,应当以清晰易懂的语言告知用户个人信息处理规则,由用户在充分知情的前提下,作出自愿、明确的意思表示。具体来看,应当采取非默认勾选的方式征得用户同意;不应强制要求用户一揽子同意打开多个系统权限;需要向本App以外的第三方提供个人信息的,应当向用户告知其身份信息、联系方式、处理目的、处理方式和个人信息的种类等事项,并取得用户同意;处理种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等敏感个人信息的,应当对用户进行单独告知,取得用户同意后,方可处理敏感个人信息。
规定要求,从事App个人信息处理活动的,应当具有明确、合理的目的,并遵循最小必要原则,不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。具体来看,用户拒绝相关授权申请后,不得强制退出或者关闭App;在非服务所必需或者无合理场景下,不得自启动或者关联启动其他App;用户拒绝提供非该类服务所必需的个人信息时,不得影响用户使用该服务。
规范关键环节主体责任和义务
规定对App治理的全链条、全主体、全流程予以规范。根据要求,App开发运营者基于个人信息向用户提供商品或者服务的搜索结果的,应当保证结果公平合理,同时向该用户提供不针对其个人特征的选项,尊重和平等保护用户合法权益。
使用第三方服务的App开发运营者,应当制定管理规则,明示App第三方服务提供者的名称、功能、个人信息处理规则等内容;应与第三方服务提供者签订个人信息处理协议,明确双方相关权利义务,并对第三方服务提供者的个人信息处理活动和信息安全风险进行管理监督;App开发运营者未尽到监督义务的,应当依法与第三方服务提供者承担连带责任。
按照规定要求,App分发平台需要对新上架App实行上架前个人信息处理活动规范性审核,对已上架App在本规定实施后1个月内完成补充审核,并根据审核结果进行更新或者清理。
移动智能终端生产企业要建立终端启动和关联启动App管理机制,为用户提供关闭自启动和关联启动的功能选项;持续优化个人信息权限在用状态,特别是录音、拍照、视频等敏感权限在用状态的显著提示机制,帮助用户及时准确了解个人信息权限的使用状态。
规定要求,从事App个人信息处理活动的相关主体,应当采取加密、去标识化等安全技术措施,防止未经授权的访问及个人信息泄露或者被窃取、篡改、删除等风险。
对于违反规定的主体,规定指出,监督管理部门可依次按照通知整改、社会公告、下架处置、断开接入、信用管理流程进行处置,并明确具体时间期限要求。