2021年4月26日,工业和信息化部发布《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》(以下简称“《征求意见稿》”),公开向社会征求意见。《征求意见稿》适用于在中华人民共和国境内开展的App个人信息处理活动,包括移动智能终端中运行的应用程序收集、存储、使用、加工、传输个人信息等活动,但该文件未对“App”作出明确定义。目前大多数观点认为,可结合即将于2021年5月1日生效的《常见类型移动互联网应用程序必要个人信息范围规定》,将“App”理解为移动智能终端预置、下载安装的应用软件,以及基于应用软件开放平台接口开发的、用户无需安装即可使用的小程序。
一、与App个人信息处理活动直接相关的法律文件汇总
随着互联网和移动智能终端的普及,各类App已渗透到人们生活的方方面面。但由于App个人信息处理规则的不完善,App开发运营者、分发平台、移动智能终端企业等主体为了自身商业利益违规处理个人信息、强制索权、个人信息泄露、预装软件难以删除等问题仍屡屡出现。
除已产生广泛影响力的《信息安全技术个人信息安全规范》和《App违法违规收集使用个人信息行为认定方法》外,全国信息安全标准化技术委员会针对App个人信息保护、权限申请、SDK使用等相继出台网络安全实践指南,为从事App个人信息处理活动的相关主体提供了极具参考价值的操作指引。2020年9月,“App个人信息保护合规评估工具”上线,助力相关主体提高个人信息保护能力。下文整理了目前与App个人信息处理活动直接相关的主要法律文件,《征求意见稿》吸收了这些文件的相关规定,并在此基础上有了进一步发展。
文件名称 | 发布部门 | 发布时间/ 生效时间 |
国家互联网信息办公室 工业和信息化部 公安部 国家市场监督管理总局 | 2021.03.12/ 2021.05.01 | |
《APP违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号) | 2019.11.28/ 2019.11.28 | |
《关于纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管函(2020)164号) | 工业和信息化部 | 2020.07.22/ 2020.07.22 |
《关于开展APP侵害用户权益专项整治行动》(工信部信管函(2019)337号) | 2019.10.31/ 2019.10.31 | |
2016.12.16/ 2017.07.01 | ||
国家互联网信息办公室 | 2016.06.28/ 2016.08.01 | |
《信息安全技术移动互联网应用服务器安全技术要求》(GB/T 35281-2017) | 国家质量监督检验检疫总局(已撤销) 国家标准化管理委员会 | 2017.12.29/ 2018.07.01 |
《信息安全技术移动智能终端应用软件安全技术要求和测试评价方法》(GB/T 34975-2017) | 2017.11.01/ 2018.05.01 | |
《网络安全标准实践指南—移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》 | 全国信息安全标准化技术委员会秘书处 | 2020.11/ 2020.11 |
《网络安全标准实践指南—移动互联网应用程序(App)个人信息保护常见问题及处置指南》 | 2020.09/ 2020.09 | |
《网络安全标准实践指南—移动互联网应用程序(App)系统权限申请使用指南》 | 2020.09/ 2020.09 | |
《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》 | 2020.07/ 2020.07 | |
《网络安全实践指南—移动互联网应用基本业务功能必要信息规范(V1.0)》 | 2019.06/ 2019.06 | |
《移动互联网应用程序(App)安全认证实施规则》(CNCA-App-001) | 国家认证认可监督管理委员会 | 2019.03.13/ 2019.03.15 |
《App违法违规收集使用个人信息自评估指南》 | App违法违规收集使用个人信息专项治理工作组 | 2019.03.03/ 2019.03.03 |
征求意见稿 | ||
工业和信息化部 | 2021.04.26 | |
《信息安全技术移动互联网应用程序(APP)个人信息安全测评规范(征求意见稿)》 | 全国信息安全标准化技术委员会秘书处 | 2021.04.19 |
《信息安全技术移动互联网应用程序(APP)SDK安全指南(征求意见稿)》 | 2021.04.19 | |
《网络安全标准实践指南—移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》 | 2020.03.30 | |
《信息安全技术移动互联网应用(App)收集个人信息基本规范(征求意见稿)》 | 2020.01.20 | |
《信息安全技术移动互联网应用(App)收集个人信息基本规范(草案)》最新版草案 | App违法违规收集使用个人信息专项治理工作组 | 2019.10.25 |
《信息安全技术移动互联网应用(App)收集个人信息基本规范(草案)》 | 全国信息安全标准化技术委员会 | 2019.08.08 |
二、落实“知情同意”与“最小必要”原则
知情同意原则与最小必要原则是我国个人信息保护法律体系中的两项基本原则。2012年发布的《全国人民代表大会常务委员会关于加强网络信息保护的决定》即规定,“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息”。之后这两个原则在《网络安全法》《民法典》等各法律法规、国家标准中得到贯彻,正在审议中的《个人信息保护法(草案)》亦纳入前述原则。
此次《征求意见稿》第五条、第六条和第七条亦明确,从事App个人信息处理活动的,应具有明确、合理的目的,需以清晰易懂的语言告知用户个人信息处理规则,由用户在充分知情的前提下,作出自愿、明确的意思表示,同时遵循最小必要原则,不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。《征求意见稿》在明确前述两个原则的基础上,对知情同意原则和最小必要原则的落实分别提出了六项细化要求,使得原则的落实更具可操作性。同时,从事App个人信息处理活动的相关主体可结合前文汇总中的各法律文件,将个人信息保护要求落实在App产品设计、开发、推广、运营等各个环节。比如App开发运营者可结合《常见类型移动互联网应用程序必要个人信息范围规定》《网络安全实践指南—移动互联网应用基本业务功能必要信息规范(V1.0)》《网络安全标准实践指南—移动互联网应用程序(App)系统权限申请使用指南》划分产品的基本业务功能和必要个人信息范围,以符合最小必要原则要求。
三、细化App生命周期各主体责任
与以往侧重规范App开发运营者的个人信息保护责任不同,《征求意见稿》将App生命周期内的主要责任主体均纳入规制范围,在第八条至第十二条中对App开发运营者、App分发平台、App第三方服务提供者、移动智能终端生产企业以及网络接入服务提供者分别施加了针对性的个人信息保护责任。
以App分发平台为例,其指通过应用商店、应用市场、网站等方式提供App下载、升级服务的软件服务平台。工信部于2021年4月23日发布的《关于侵害用户权益行为的APP通报(2021年第4批总第13批)》[1]通报腾讯应用宝、小米应用商店、OPPO软件商店、华为应用市场和vivo应用商店存在上架审核不严格,存量问题清理不彻底,登记核验APP开发运营者信息不准确,误导用户下载等问题。此前,工信部在2020年8月31日的《关于侵害用户权益行为的APP通报(2020年第四批)》[2]中,亦对应用宝、豌豆荚、小米应用商店等部分移动应用分发平台管理主体责任缺位,对上架App审核把关不严等问题进行通报。《征求意见稿》吸收《移动智能终端应用软件预置和分发管理暂行规定》的有关规定,并进一步对App分发平台个人信息保护义务提出六项要求。
此外,《征求意见稿》第十三条对从事App个人信息处理活动的相关主体提出了共同的个人信息保护要求,要求各主体均应加强人员教育培训,制定个人信息保护内部管理制度,落实网络安全等级保护和应急预案等制度要求;采取加密、去标识化等安全技术措施,防止未经授权的访问及个人信息泄露或者被窃取、篡改、删除等风险;需认证用户真实身份信息的,应通过国家统一建设的公民身份认证基础设施所提供的网上公民身份核验认证服务进行。
四、明确监管主体,细化处置措施
2020年10月21日发布的《个人信息保护法(草案)》明确由国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作,但只规定由国务院有关部门依照该法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。
《征求意见稿》则明确规定由国家互联网信息办公室负责统筹协调App个人信息保护工作和相关监督管理工作,会同工业和信息化部、公安部、市场监管总局三个部门建立健全App个人信息保护监督管理联合工作机制,统筹推进政策标准规范等相关工作,加强信息共享及对App个人信息保护工作的指导。各部门在各自职责范围内负责App个人信息保护和监督管理工作。省、自治区、直辖市网信办、通信管理局、公安厅(局)、市场监管局则负责本行政区域内App个人信息保护监督管理工作。由此确定了App个人信息保护监督管理部门的具体所指。
在违规处置流程和具体法律责任方面,《征求意见稿》第十六条明确当监督管理部门发现从事个人信息处理活动的相关主体违反相关规定时,可依据各自职责采取通知整改、社会公告、下架处置、断开接入、信用管理等措施。
(一)责令整改与社会公告 | 对检测发现问题App的开发运营者、App分发平台、第三方服务提供者及相关主体提出整改,要求5个工作日内进行整改及时消除隐患;未完成整改的,向社会公告。 |
(二)下架处置 | 对社会公告5个工作日后,仍拒绝整改或者整改后仍存在问题的,可要求相关主体进行下架处置; |
对反复出现问题、采取技术对抗等违规情节严重的,将对其进行直接下架;被下架的App在40个工作日内不得通过任何渠道再次上架。 | |
(三)断开接入 | 下架后仍未按要求完成整改的,将对其采取断开接入等必要措施。 |
(四)恢复上架 | 被下架的App完成整改,并完善技术和管理机制及作出企业自律承诺后,可向作出下架要求的监督管理部门申请恢复上架。 |
(五)恢复接入 | 被断开网络接入的App完成整改后,可向作出断开接入要求的监督管理部门申请恢复接入。 |
(六)信用管理 | 对相应违规主体,可纳入信用管理,实施联合惩戒。 |
结 语
随着我国对App侵害用户合法权益现象的日益重视,不仅与App治理相关的法律文件相继出台,工信部、公安部、市场监督管理总局、国家互联网信息办公室、国家计算机病毒应急处理中心、App专项治理工作组等部门亦相继开展各项治理工作,推进相应制度落地。
《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》施行后,将成为我国App治理工作中的一个重要突破。从事App个人信息处理活动的相关主体应及时开展合规自查工作,以隐私政策等收集使用规则的合规性为出发点,对个人信息收集使用行为、向第三方提供个人信息行为、提供用户撤回同意功能以及建立投诉、举报渠道等各个行为进行自查整改,以有效应对《征求意见稿》正式生效后的监管要求。
[1] 工业和信息化部信息通信管理局:《关于侵害用户权益行为的APP通报(2021年第4批总第13批)》.[ 2021-04-23](2021-04-29). https://www.miit.gov.cn/xwdt/gxdt/sjdt/art/2021/art_c0c8251beb824b78b299fad84773bfde.html.
[2] 工业和信息化部信息通信管理局:《关于侵害用户权益行为的APP通报(2020年第四批)》.[2020-08-31](2021-04-29). https://www.miit.gov.cn/jgsj/xgj/fwjd/art/2020/art_a061e2d06a724ecb9891fba85db9c14c.html.
