明確“知情同意”“最小必要”兩項重要原則 新規(guī)管住App“亂伸的手”

近年來我國個人信息保護(hù)力度不斷加大，但移動互聯(lián)網(wǎng)應(yīng)用程序(App)個人信息收集使用規(guī)則、目的、方式和范圍仍存在不明確的地方，部分環(huán)節(jié)仍存漏洞。針對上述問題，4月26日，工信部發(fā)布《移動互聯(lián)網(wǎng)應(yīng)用程序個人信息保護(hù)管理暫行規(guī)定(征求意見稿)》(以下簡稱規(guī)定)。

根據(jù)起草說明，為保護(hù)個人信息權(quán)益，規(guī)范App個人信息處理活動，促進(jìn)個人信息合理利用，依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》等法律法規(guī)，在國家網(wǎng)信辦的統(tǒng)籌指導(dǎo)下，工信部會同公安部、市場監(jiān)管總局起草了規(guī)定，在中華人民共和國境內(nèi)開展的App個人信息處理活動應(yīng)當(dāng)遵守該規(guī)定。

明確“知情同意”“最小必要”兩項重要原則

規(guī)定明確指出，App個人信息處理活動應(yīng)當(dāng)采用合法、正當(dāng)?shù)姆绞?，遵循誠信原則，不得通過欺騙、誤導(dǎo)等方式處理個人信息，切實保障用戶同意權(quán)、知情權(quán)、選擇權(quán)和個人信息安全，對個人信息處理活動負(fù)責(zé)。

規(guī)定明確，從事App個人信息處理活動的，應(yīng)當(dāng)以清晰易懂的語言告知用戶個人信息處理規(guī)則，由用戶在充分知情的前提下，作出自愿、明確的意思表示。具體來看，應(yīng)當(dāng)采取非默認(rèn)勾選的方式征得用戶同意;不應(yīng)強(qiáng)制要求用戶一攬子同意打開多個系統(tǒng)權(quán)限;需要向本App以外的第三方提供個人信息的,應(yīng)當(dāng)向用戶告知其身份信息、聯(lián)系方式、處理目的、處理方式和個人信息的種類等事項,并取得用戶同意;處理種族、民族、宗教信仰、個人生物特征、醫(yī)療健康、金融賬戶、個人行蹤等敏感個人信息的，應(yīng)當(dāng)對用戶進(jìn)行單獨(dú)告知，取得用戶同意后，方可處理敏感個人信息。

規(guī)定要求，從事App個人信息處理活動的，應(yīng)當(dāng)具有明確、合理的目的，并遵循最小必要原則，不得從事超出用戶同意范圍或者與服務(wù)場景無關(guān)的個人信息處理活動。具體來看，用戶拒絕相關(guān)授權(quán)申請后，不得強(qiáng)制退出或者關(guān)閉App;在非服務(wù)所必需或者無合理場景下，不得自啟動或者關(guān)聯(lián)啟動其他App;用戶拒絕提供非該類服務(wù)所必需的個人信息時，不得影響用戶使用該服務(wù)。

規(guī)范關(guān)鍵環(huán)節(jié)主體責(zé)任和義務(wù)

規(guī)定對App治理的全鏈條、全主體、全流程予以規(guī)范。根據(jù)要求，App開發(fā)運(yùn)營者基于個人信息向用戶提供商品或者服務(wù)的搜索結(jié)果的，應(yīng)當(dāng)保證結(jié)果公平合理，同時向該用戶提供不針對其個人特征的選項，尊重和平等保護(hù)用戶合法權(quán)益。

使用第三方服務(wù)的App開發(fā)運(yùn)營者，應(yīng)當(dāng)制定管理規(guī)則，明示App第三方服務(wù)提供者的名稱、功能、個人信息處理規(guī)則等內(nèi)容;應(yīng)與第三方服務(wù)提供者簽訂個人信息處理協(xié)議，明確雙方相關(guān)權(quán)利義務(wù)，并對第三方服務(wù)提供者的個人信息處理活動和信息安全風(fēng)險進(jìn)行管理監(jiān)督;App開發(fā)運(yùn)營者未盡到監(jiān)督義務(wù)的，應(yīng)當(dāng)依法與第三方服務(wù)提供者承擔(dān)連帶責(zé)任。

按照規(guī)定要求，App分發(fā)平臺需要對新上架App實行上架前個人信息處理活動規(guī)范性審核，對已上架App在本規(guī)定實施后1個月內(nèi)完成補(bǔ)充審核，并根據(jù)審核結(jié)果進(jìn)行更新或者清理。

移動智能終端生產(chǎn)企業(yè)要建立終端啟動和關(guān)聯(lián)啟動App管理機(jī)制，為用戶提供關(guān)閉自啟動和關(guān)聯(lián)啟動的功能選項;持續(xù)優(yōu)化個人信息權(quán)限在用狀態(tài)，特別是錄音、拍照、視頻等敏感權(quán)限在用狀態(tài)的顯著提示機(jī)制，幫助用戶及時準(zhǔn)確了解個人信息權(quán)限的使用狀態(tài)。

規(guī)定要求，從事App個人信息處理活動的相關(guān)主體，應(yīng)當(dāng)采取加密、去標(biāo)識化等安全技術(shù)措施，防止未經(jīng)授權(quán)的訪問及個人信息泄露或者被竊取、篡改、刪除等風(fēng)險。

對于違反規(guī)定的主體，規(guī)定指出，監(jiān)督管理部門可依次按照通知整改、社會公告、下架處置、斷開接入、信用管理流程進(jìn)行處置，并明確具體時間期限要求。