工业和信息化部信息通信管理局公开征求对《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》的意见
为深入贯彻落实党的十九届五中全会精神,加强移动互联网应用程序(以下简称 App)个人信息保护,规范 App 个人信息处理活动,在国家互联网信息办公室的统筹指导下,工业和信息化部会同公安部、市场监管总局起草了《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》(详见附件)。现向社会公开征求意见,请于 2021 年 5 月 26 日前反馈意见。
联系单位:工业和信息化部信息通信管理局
联系电话及传真:010-66011239/66022182
电子邮箱:sqs@miit.gov.cn
通信地址:北京市西城区西长安街 13 号 工业和信息化部信息通信管理局(邮编:100804),请在信封上注明“《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》”。
附件 1:移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)
附件 2:移动互联网应用程序个人信息保护管理暂行规定--起草说明
工业和信息化部信息通信管理局
2021 年 4 月 26 日
附件 1 移动互联网应用程序个人信息保护管理暂行规定
(征求意见稿)
第一条 为保护个人信息权益,规范移动互联网应用程序(以下简称 App) 个人信息处理活动,促进个人信息合理利用,依据《中华人民共和国网络安全 法》等法律法规,制定本规定。
第二条 在中华人民共和国境内开展的 App 个人信息处理活动,应当遵守本规定。法律、行政法规对个人信息处理活动另有规定的,从其规定。
第三条 本规定所称 App 个人信息处理活动,是指移动智能终端中运行的应用程序收集、存储、使用、加工、传输个人信息的活动。
本规定所称App 开发运营者,是指从事 App 开发和运营活动的主体。
本规定所称 App 分发平台,是指通过应用商店、应用市场、网站等方式提供App 下载、升级服务的软件服务平台。
本规定所称 App 第三方服务提供者,是指相对于用户和 App 以外的,为App 提供软件开发工具包(SDK)、封装、加固、编译环境等第三方服务的主体。
本规定所称移动智能终端生产企业,是指生产能够接入公众网络,提供预置App 或者具备安装 App 能力的移动智能终端设备的主体。
本规定所称网络接入服务提供者,是指从事互联网数据中心(IDC)业务、互联网接入服务(ISP)业务和内容分发网络(CDN)业务,为 App 提供网络接入服务的电信业务经营者。
第四条 国家互联网信息办公室负责统筹协调 App 个人信息保护工作和相关监督管理工作,会同工业和信息化部、公安部、市场监管总局建立健全 App 个人信息保护监督管理联合工作机制,统筹推进政策标准规范等相关工作,加强信息共享及对 App 个人信息保护工作的指导。各部门在各自职责范围内负责App 个人信息保护和监督管理工作。
省、自治区、直辖市网信办、通信管理局、公安厅(局)、市场监管局负责本行政区域内App 个人信息保护监督管理工作。
前两款规定的部门统称为App 个人信息保护监督管理部门。
第五条 App 个人信息处理活动应当采用合法、正当的方式,遵循诚信原则,不得通过欺骗、误导等方式处理个人信息,切实保障用户同意权、知情权、选择权和个人信息安全,对个人信息处理活动负责。
相关行业组织和专业机构按照有关法律法规、标准及本规定,开展 App 个人信息保护能力评估、认证。
第六条 从事 App 个人信息处理活动的,应当以清晰易懂的语言告知用户个人信息处理规则,由用户在充分知情的前提下,作出自愿、明确的意思表示。
(一)应当在 App 登录注册页面及 App 首次运行时,通过弹窗、文本链接及附件等简洁明显且易于访问的方式,向用户告知涵盖个人信息处理主体、处理目的、处理方式、处理类型、保存期限等内容的个人信息处理规则;
(二)应当采取非默认勾选的方式征得用户同意;
(三)应当尊重用户选择权,在取得用户同意前或者用户明确表示拒绝后, 不得处理个人信息;个人信息处理规则发生变更的,应当重新取得用户同意;
(四)应当在对应业务功能启动时,动态申请 App 所需的权限,不应强制要求用户一揽子同意打开多个系统权限,且未经用户同意,不得更改用户设置的权限状态;
(五)需要向本 App 以外的第三方提供个人信息的,应当向用户告知其身份信息、联系方式、处理目的、处理方式和个人信息的种类等事项,并取得用户同意;
(六)处理种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等敏感个人信息的,应当对用户进行单独告知,取得用户同意后,方可处理敏感个人信息。
第七条 从事 App 个人信息处理活动的,应当具有明确、合理的目的,并遵循最小必要原则,不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。
(一)处理个人信息的数量、频次、精度等应当为服务所必需,不得超范围处理个人信息;
(二)个人信息的本地读取、写入、删除、修改等操作应当为服务所必需, 不得超出用户同意的操作范围;
(三)用户拒绝相关授权申请后,不得强制退出或者关闭 App,不得提前申请超出其业务功能或者服务外的权限,不得利用频繁弹窗反复申请与当前服务场景无关的权限;
(四)在非服务所必需或者无合理场景下,不得自启动或者关联启动其他App;
(五)用户拒绝提供非该类服务所必需的个人信息时,不得影响用户使用该服务;
(六)不得以改善服务质量、提升使用体验、研发新产品、定向推送信息、风险控制等为由,强制要求用户同意超范围或者与服务场景无关的个人信息处理行为。
第八条 App 开发运营者应当履行以下个人信息保护义务:
(一)切实提升产品和服务个人信息保护意识,将个人信息保护要求落实在产品设计、开发及运营环节;以显著、清晰的方式定期向用户呈现 App 的个人信息收集使用情况;
(二)基于个人信息向用户提供商品或者服务的搜索结果的,应当保证结果公平合理,同时向该用户提供不针对其个人特征的选项,尊重和平等保护用户合法权益;
(三)使用第三方服务的,应当制定管理规则,明示 App 第三方服务提供者的名称、功能、个人信息处理规则等内容;应与第三方服务提供者签订个人信息处理协议,明确双方相关权利义务,并对第三方服务提供者的个人信息处理活动和信息安全风险进行管理监督;App 开发运营者未尽到监督义务的,应当依法与第三方服务提供者承担连带责任;
(四)对于不影响其他服务功能的独立服务功能模块,应当向用户提供关闭或者退出该独立服务功能的选项,不得因用户采取关闭或者退出操作而拒绝提供其他服务;
(五)加强前端和后端安全防护、访问控制、技术加密、安全审计等工作, 主动监测发现个人信息泄露等违规行为,及时响应处置要求;
(六)国家规定的其他个人信息保护义务。
第九条 App 分发平台应当履行以下个人信息保护义务:
(一)登记并核验 App 开发运营者、提供者的真实身份、联系方式等信息;
(二)在显著位置标明 App 运行所需获取的用户终端权限列表和个人信息收集的类型、内容、目的、范围、方式、用途及处理规则等相关信息;
(三)不得欺骗误导用户下载App;
(四)对新上架 App 实行上架前个人信息处理活动规范性审核,对已上架App 在本规定实施后 1 个月内完成补充审核,并根据审核结果进行更新或者清理;
(五)建立 App 开发运营者信用积分、风险 App 名单、平台信息共享及签名验证等管理机制;
(六)按照监督管理部门的要求,完善报送机制,及时配合监督管理部门开展问题App 上报、响应和处置工作;
(七)设置便捷的投诉举报入口,及时处理公众对本平台所分发 App 的投诉举报;
(八)国家规定的其他个人信息保护义务。
第十条 App 第三方服务提供者应当履行以下个人信息保护义务:
(一)制定并公开个人信息处理规则;
(二)以明确、易懂、合理的方式向 App 开发运营者公开其个人信息处理目的、处理方式、处理类型、保存期限等内容,其个人信息处理活动应当与公开的个人信息处理规则保持一致;
(三)未经用户同意或者在无合理业务场景下,不得自行进行唤醒、调用、更新等行为;
(四)采取足够的管理措施和技术手段保护个人信息,发现安全风险或者个人信息处理规则变更时应当及时进行更新并告知App 开发运营者;
(五)未经用户同意,不得将收集到的用户个人信息共享转让;
(六)国家规定的其他个人信息保护义务。
第十一条 移动智能终端生产企业应当履行以下个人信息保护义务:
(一)完善终端权限管控机制,及时弥补权限管理漏洞,持续优化和规范敏感行为的记录能力,主动为用户权限申请和告知提供便利;
(二)建立终端启动和关联启动 App 管理机制,为用户提供关闭自启动和关联启动的功能选项;
(三)持续优化个人信息权限在用状态,特别是录音、拍照、视频等敏感权限在用状态的显著提示机制,帮助用户及时准确了解个人信息权限的使用状态;
(四)建立重点 App 关注名单管理机制,完善移动智能终端 App 管理措施;
(五)对预置App 进行审核,持续监测预置App 的个人信息安全风险;
(六)在安装过程中以显著方式告知用户App 申请的个人信息权限列表;
(七)完善终端设备标识管理机制;
(八)国家规定的其他个人信息保护义务。
第十二条 网络接入服务提供者应当履行以下个人信息保护义务:
(一)在为 App 提供网络接入服务时,登记并核验 App 开发运营者的真实身份、联系方式等信息;
(二)按照监督管理部门的要求,依法对违规 App 采取停止接入等必要措施,阻止其继续违规侵害用户个人信息和其他合法权益;
(三)国家规定的其他个人信息保护义务。
第十三条 从事 App 个人信息处理活动的相关主体,应当加强人员教育培训,制定个人信息保护内部管理制度,落实网络安全等级保护和应急预案等制度要求;采取加密、去标识化等安全技术措施,防止未经授权的访问及个人信息泄露或者被窃取、篡改、删除等风险;需要认证用户真实身份信息的,应当通过国家统一建设的公民身份认证基础设施所提供的网上公民身份核验认证服务进行。
第十四条 任何组织和个人发现违反本规定行为的,可以向监督管理部门或者中国互联网协会、中国网络空间安全协会投诉举报,监督管理部门和相关组织应当及时受理并调查处理。
从事 App 个人信息处理活动的相关主体应当自觉接受社会监督。
第十五条 根据公众投诉举报情况和监管中发现的问题,监督管理部门可以对存在问题和风险的 App 实施个人信息保护检查。
从事 App 个人信息处理活动的相关主体应当对监督管理部门依法实施的监督检查予以配合。
第十六条 发现从事个人信息处理活动的相关主体违反本规定的,监督管理部门可依据各自职责采取以下处置措施:
(一)责令整改与社会公告。对检测发现问题 App 的开发运营者、App 分发平台、第三方服务提供者及相关主体提出整改,要求 5 个工作日内进行整改及时消除隐患;未完成整改的,向社会公告。
(二)下架处置。对社会公告 5 个工作日后,仍拒绝整改或者整改后仍存在问题的,可要求相关主体进行下架处置;对反复出现问题、采取技术对抗等违规情节严重的,将对其进行直接下架;被下架的 App 在 40 个工作日内不得通过任何渠道再次上架。
(三)断开接入。下架后仍未按要求完成整改的,将对其采取断开接入等必要措施。
(四)恢复上架。被下架的 App 完成整改,并完善技术和管理机制及作出企业自律承诺后,可向作出下架要求的监督管理部门申请恢复上架。
(五)恢复接入。被断开网络接入的 App 完成整改后,可向作出断开接入要求的监督管理部门申请恢复接入。
(六)信用管理。对相应违规主体,可纳入信用管理,实施联合惩戒。
第十七条 对整改反复出现问题的 App 及其开发运营者开发的相关 App, 监督管理部门可以指导组织 App 分发平台和移动智能终端生产企业在集成、分发、预置和安装等环节进行风险提示,情节严重的采取禁入措施。
第十八条 从事 App 个人信息处理活动侵害个人信息权益的,将依照有关规定予以处罚;构成犯罪的,公安机关依法追究刑事责任。
第十九条 监督管理部门应当对履行职责中知悉的用户个人信息予以保密, 不得泄露、篡改或者毁损,不得出售或者非法向他人提供。
第二十条 本规定自 年 月 日起施行。
附件 2 关于《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》的起草说明
一、起草背景
近年来,我国个人信息保护力度不断加大,但 App 个人信息收集使用规则、目的、方式和范围仍存在不明确的地方,部分环节仍存漏洞,个人信息保护面临诸多问题和挑战。党中央、国务院高度重视App 个人信息保护治理工作,党的十九届五中全会明确提出,维护人民根本利益,保障国家数据安全,加强个人信息保护。国家互联网信息办公室、工业和信息化部、公安部、市场监管总局持续深入开展App 违法违规收集使用个人信息治理工作,工业和信息化部连续两年开展App 侵害用户权益专项整治行动,社会反映热烈,取得阶段性明显成效。
考虑到App 治理是一项具有长期性、复杂性的系统治理工作,有必要将近年来成熟的经验做法和管理措施转换为制度性规范文件。同时,为强化App 个人信息保护管理的系统性、整体性和协同性,在总结专项治理工作经验基础上, 起草形成了《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》(以下简称《征求意见稿》),并向社会公开征求意见。
二、关于起草的主要情况和把握要点
《征求意见稿》在国家互联网信息办公室的统筹指导下,由工业和信息化部会同公安部、市场监管总局联合制定完成。起草过程中,就重点问题组织有关单位和专家学者进行了专题研究,并听取了百度、阿里巴巴、腾讯、字节跳
动、美团、拼多多、京东、滴滴、新浪微博、快手、小米、华为、OPPO、vivo、360、捷兴信源、梆梆等主要互联网企业、终端企业和安全企业的意见建议。
制定过程中,重点把握“三个坚持”:一是坚持以人民为中心的发展思想。贯彻党的十九届五中全会要求,落实以人民为中心的发展思想,坚持人民利益至上,严格规范App 个人信息处理活动,增强人民群众安全感和获得感。二是坚持问题导向。立足前期专项治理工作基础,聚焦用户投诉举报反映强烈的突出问题,将近两年来已经成熟的经验做法和管理措施制度化,为规范App 个人信息处理活动提供可靠制度保障。三是坚持落实主体责任。明确细化了App 开发运营者、分发平台、第三方服务提供者等主体在App 个人信息处理活动中应当履行的主体责任义务。
三、关于《征求意见稿》的主要内容
《征求意见稿》共计二十条,界定了适用范围和监管主体;确立了“知情同意”“最小必要”两项重要原则;细化了 App 开发运营者、分发平台、第三方服务提供者、终端生产企业、网络接入服务提供者五类主体责任义务;提出了投诉举报、监督检查、处置措施、风险提示等四方面规范要求,主要内容如下:
一是界定适用范围和明确监管主体。在适用范围方面,《征求意见稿》明确了在中华人民共和国境内开展的App 个人信息处理活动,应当遵守本规定。法律、行政法规对个人信息处理活动另有规定的,从其规定。在监管主体方面,
《征求意见稿》明确了 App 个人信息保护的联合工作机制,国家互联网信息办公室会同工业和信息化部、公安部、市场监管总局健全完善App 个人信息保护监督管理联合工作机制,统筹推进政策标准规范等相关工作,各部门在各自职责范围内负责App 个人信息保护和监督管理工作。(第一条至第五条)
二是明确“知情同意”“最小必要”两项重要原则。《征求意见稿》“知情同意”规定,从事App 个人信息处理活动的,应当以清晰易懂的语言告知用户个人信息处理规则,由用户在充分知情的前提下,作出自愿、明确的意思表示,
并明确了“六项应当”要求。“最小必要”规定,从事 App 个人信息处理活动的, 应当具有明确、合理的目的,并遵循最小必要原则,不得从事超出用户同意范
围或者与服务场景无关的个人信息处理活动,并提出了“六项不得”要求。(第六条和第七条)
三是规范关键环节主体责任义务。《征求意见稿》对 App 治理的全链条、全主体、全流程予以规范,规定了App 开发运营者、App 分发平台、App 第三方服务提供者、移动智能终端生产企业和网络接入服务提供者在App 个人信息保护方面的具体义务。(第八条至第十二条)
四是细化违规处置流程和具体措施。《征求意见稿》明确从事个人信息处理活动的有关主体违反要求的,依次按照通知整改、社会公告、下架处置、断开接入、信用管理流程进行处置,并明确具体时间期限要求。特别提出,对未按要求完成整改或反复出现问题、采取技术对抗等违规情节严重的 App,将对其进行直接下架;且下架后的App 在 40 个工作日内不得通过任何渠道再次上架的管理要求。此外,监督管理部门将指导App 分发平台和移动智能终端生产企业在集成、分发、预置和安装等环节进行风险提示,情节严重的采取禁入措施。(第十六和第十七条)
此外,《征求意见稿》还对违反本规定行为的法律责任、保密义务等作了规定。(第十八和第十九条)