迈入数字化、信息化时代,大数据、人工智能等的广泛应用,一方面虽然便捷了人们的生产生活,带来前所未有的优质体验;但另一方面,由此催生出的隐私安全问题却也引发全社会的担忧。近年来,不少软件APP相继引入各种智能化技术,不仅使得人们的隐私日益“裸奔”,同时也滋生了诸多“杀熟”事件。
在此背景下,加强APP管理和整治,强化App个人信息保护,规范App个人信息处理刻不容缓。早从2019年开始,我国已发起多次APP侵害用户权益专项整治行动,对一大批违规APP进行警示、约谈和处理。而近日,工信部再度就APP个人信息保护及处理征求意见,以期通过法律完善从源头上进行彻底根治。
4月26日,工信部会同公安部、市场监管总局起草了《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》,并进行为期一个月的意见征集。在征求意见稿中,对APP个人信息保护管理做出了具体详细要求,并强调了不同主体对于APP个人信息保护的不同义务,此外还明确了违反规定的惩罚措施。
具体来看,意见稿提出,进行APP个人信息处理活动时应当满足三方面要求:
其一是采用合法、正当的方式,遵循诚信原则,切实保障用户同意权、知情权、选择权和个人信息安全,对个人信息处理活动负责。其二是应当以清晰易懂的语言告知用户个人信息处理规则,由用户在充分知情的前提下,作出自愿、明确的意思表示。其三是应当具有明确、合理的目的,并遵循最小必要原则。
其中,在第二点要求中,意见稿着重强调了在App登录注册页面及App首次运行时,要通过弹窗、文本链接及附件等简洁明显且易于访问的方式,向用户告知个人信息处理规则;应当采取非默认勾选的方式征得用户同意;应当尊重用户选择权,在取得用户同意前或者用户明确表示拒绝后,不得处理个人信息。
同时在第三点要求中,意见稿表示,处理个人信息的数量、频次、精度等应当为服务所必需;个人信息的本地读取、写入、删除、修改等操作应当为服务所必需,不得超出用户同意的范围;用户拒绝相关授权申请后,不得强制退出或关闭App;用户拒绝提供非该类服务所必需的个人信息时,不得影响用户使用服务。
而针对不同APP主体,意见稿也提出了相应的义务:
如App开发运营者。要提升产品和服务个人信息保护意识,将保护要求落实在产品设计、开发及运营环节;基于个人信息向用户提供商品或者服务的搜索结果的,要保证结果公平合理;使用第三方服务的,要制定管理规则,明示App第三方服务提供者信息;要加强前端和后端安全保护工作,主动监测发现违规行为。
App分发平台。登记并核验App开发运营者、提供者的真实身份、联系方式等信息;在显著位置标明App运行所需获取的用户终端权限列表和个人信息收集信息;不得欺骗误导用户下载App;对新上架App实行规范性审核;建立App开发运营者管理机制;及时配合监管部门开展问题App相关工作;设置便捷投诉举报入口。
App第三方服务提供者。制定并公开个人信息处理规则;以明确、易懂、合理的方式向App开发运营者公开其个人信息处理相关内容;未经用户同意或者在无合理业务场景下,不得自行进行唤醒、调用、更新等行为;采取足够的管理措施和技术手段保护个人信息;未经用户同意,不得将收集到的用户个人信息共享转让。
移动智能终端生产企业。完善终端权限管控机制,及时弥补权限管理漏洞;建立终端启动和关联启动App管理机制;持续优化个人信息权限在用状态,特别是敏感权限在用状态的显著提示机制;建立重点App关注名单管理机制,完善App管理措施;对预置App进行审核,持续监测个人信息安全风险;完善终端设备标识管理机制。
网络接入服务提供者。在为App提供网络接入服务时,登记并核验App开发运营者的真实身份、联系方式等信息;按照监督管理部门的要求,依法对违规App采取停止接入等必要措施,阻止其继续违规侵害用户个人信息和其他合法权益。
一旦相关主体违反规定,将受到责令整改与社会公告、下架、断开接入、恢复上架、恢复接入、信用管理等系列处置措施。如果情节严重,将被采取禁入措施。同时如果从事App个人信息处理活动侵害个人信息权益的,将依照有关规定予以处罚;构成犯罪的,公安机关将依法追究刑事责任。
