QQ在线
企业微(wēi)信
资讯
320根据起草(cǎo)说明,为(wéi)保护个人信息权益,规范移动(dòng)互联网应用程(chéng)序(APP)个人信息(xī)处理活动,促进个人(rén)信息合(hé)理利用,依据《中华人民共和国网(wǎng)络安全法》等法律(lǜ)法(fǎ)规,在国家网(wǎng)信(xìn)办的统筹(chóu)指导下,工信部(bù)会同公安部(bù)、市(shì)场监管(guǎn)总局起草了规定,在中(zhōng)华人民共(gòng)和国境内(nèi)开展(zhǎn)的(de)APP个人信息处(chù)理活(huó)动应当遵守(shǒu)规定。
图片来源:视(shì)觉中国(guó)
明确“知情(qíng)同意”“最小必要”两项(xiàng)重要原则(zé)
规定明确指出,APP个(gè)人信息处理活动应当采用(yòng)合法、正当的方式,遵循诚信原则,不(bú)得(dé)通(tōng)过(guò)欺骗、误导等(děng)方式处理个人信(xìn)息,切实保障用户同(tóng)意权、知情权、选(xuǎn)择权和个人信(xìn)息安全,对(duì)个人信息处理活动(dòng)负责。
规定明确,从事APP个人信息处理活动(dòng)的(de),应当以清晰易懂(dǒng)的语言告知用户个人信息处理规则,由用户在充分知情的前提下(xià),作(zuò)出自愿、明确的意思表(biǎo)示(shì)。具体来看,应(yīng)当采取非(fēi)默(mò)认勾选的方式征得(dé)用户同意;不应强制要求用户一揽子同(tóng)意打开多个(gè)系统权限;需(xū)要向本APP以外的第三(sān)方提供个人信息的,应当向用(yòng)户告知其身份(fèn)信息、联系(xì)方式、处理(lǐ)目的、处理方式和个人信息的种(zhǒng)类等事项,并取得用(yòng)户同意;处理种族、民族(zú)、宗教信仰、个人生物特征、医疗健康、金融(róng)账(zhàng)户、个人行踪等敏(mǐn)感个人信(xìn)息的(de),应(yīng)当对用户进(jìn)行单独告知,取得(dé)用户同意(yì)后,方可(kě)处理敏(mǐn)感(gǎn)个人信息。
规定(dìng)要(yào)求(qiú),从事APP个人信息处(chù)理活(huó)动的,应当具有明(míng)确、合理(lǐ)的目的,并遵(zūn)循最小必要原(yuán)则,不得从事超(chāo)出用(yòng)户(hù)同意范围或(huò)者与服(fú)务(wù)场景无关的个人信息处理活(huó)动。具(jù)体来看,用户拒绝相关授权申请后,不得(dé)强制退出或者关闭APP;在非服务所必需或者无合理场景下,不得自启动或者关联(lián)启动其他APP;用户拒绝提供非该类服务所必需的个人信息时(shí),不得影(yǐng)响用户使(shǐ)用该(gāi)服(fú)务。
规范关键环节主(zhǔ)体责任义(yì)务(wù)
规(guī)定(dìng)对APP治理的全(quán)链(liàn)条、全主体、全流程予以规范。根据要求,APP开发运营(yíng)者基于个人信息向用户(hù)提供商品或者服务的搜索结果的,应当保证结果公平合理,同时向(xiàng)该用户提供不针对其个人特征的选项,尊重和(hé)平等保(bǎo)护用户合法权益。
使用第三方服务的(de)APP开发运营(yíng)者(zhě),应当制定管理(lǐ)规(guī)则,明示(shì)APP第三方服务(wù)提供者的名称、功能、个(gè)人信息处(chù)理规则等内容;应与第(dì)三方服务(wù)提供(gòng)者签订(dìng)个(gè)人信(xìn)息(xī)处理协议,明确双方相关权利(lì)义务,并对第三方服务提供者的个(gè)人(rén)信息处理活动和信息安全风险进行管理监督(dū);APP开发运营者未(wèi)尽(jìn)到监(jiān)督义务的,应当依(yī)法(fǎ)与第三(sān)方服务提供者承担(dān)连带责任。
按(àn)照规(guī)定要求,APP分(fèn)发平台(tái)需要对新上(shàng)架APP实行上架前个人信息(xī)处理(lǐ)活动(dòng)规范性审核,对已上架APP在本规定实施后1个月(yuè)内完成(chéng)补充审(shěn)核,并根据(jù)审核结果(guǒ)进行更新或者清理。
移动智能终端生产(chǎn)企业要建(jiàn)立终端启动(dòng)和(hé)关联启动APP管理机制,为(wéi)用(yòng)户(hù)提(tí)供关闭自启动和关联启(qǐ)动的功能选项;持续优化(huà)个人信息权(quán)限在用(yòng)状态,特别是(shì)录音(yīn)、拍照、视频等(děng)敏感权限在用状态的(de)显著提示机制,帮助用户(hù)及(jí)时准确了解个人信息(xī)权(quán)限的使(shǐ)用状态。
规定(dìng)要求,从(cóng)事APP个人(rén)信息处理活动的相关主体,应当采取加密、去标识化(huà)等(děng)安全技术措施(shī),防止未经授权的访问及个人(rén)信息泄露或者被窃取、篡改、删除(chú)等(děng)风险。
对于(yú)违反规定的主体,规(guī)定指出,监督管理部门可依次按照通知整改、社会公(gōng)告、下(xià)架处置、断开接入、信用管理流程进行(háng)处置(zhì),并(bìng)明确具体时间期限要求。
