工信部拟规定:加强移动互联网应用服务全流程的个人信息保护
2022-12-28 来源: 工业和信息化部官网
分享到:
12月27日,工信部公开征求对《工业和信息化部关于进一步提升移动互联网应用服务能力的通知(征求意见稿)》的意见。
征求意见稿提出,要加强移动互联网应用服务全流程的个人信息保护。应坚持合法正当必要原则、明示个人信息处理规则,合理申请使用权限;通过简洁、清晰、易懂的方式告知用户个人信息处理规则,突出显示敏感个人信息的处理目的、方式和范围,建立已收集个人信息清单等。
全文如下
近年来,我部大力推动提高移动互联网应用服务质量,切实维护用户合法权益,取得积极社会成效,但部分企业服务行为不规范、相关环节责任落实不到位的问题仍时有出现。为优化服务供给,改善用户体验,维护良好的信息消费环境,促进行业高质量发展,依据《个人信息保护法》《电信条例》《规范互联网信息服务市场秩序若干规定》《电信和互联网用户个人信息保护规定》等相关法律法规,就有关事项通知如下:
一、提升全流程服务感知,保护用户合法权益
(一)规范安装卸载行为
1.确保知情同意安装。向用户推荐下载App应遵循公开、透明原则,真实、准确、完整地明示开发者信息、产品功能、隐私政策、权限列表等必要信息,并同步提供明显的“取消”选项,经用户确认同意后方可下载安装,切实保障用户知情权、选择权。不得通过“偷梁换柱”“强制捆绑”“静默下载”等方式欺骗误导用户下载安装。
2.规范网页推荐下载行为。在用户浏览页面内容时,未经用户同意或主动选择,不得自动或强制下载App,或以折叠显示、主动弹窗、频繁提示等方式强迫用户下载、打开App,影响用户正常浏览信息。无合理正当理由,不得要求用户不下载App就不给看,或者不让看全文。
3.实现便捷卸载。除基本功能软件外,App应可便捷卸载,不得以空白名称、透明图标、后台隐藏等方式恶意阻挠用户卸载。
(二)优化服务体验
4.窗口关闭用户可选。开屏和弹窗信息窗口提供清晰有效的关闭按钮,不得频繁弹窗干扰用户正常使用,或利用“全屏热力图”、高灵敏度“摇一摇”等易造成误触发的方式诱导用户操作。
5.服务事项提前告知。清晰明示产品功能权益及资费水平等内容,存在开通会员、收费等附加条件的,应显著提示。未经明示,不得在提供产品服务过程中擅自添加限制性条件,并以此为由终止用户正常使用的产品功能和服务,或降低服务体验。
6.启动运行场景合理。在非服务所必需或无合理场景下,不得自启动和关联启动其他App,或进行唤醒、调用、更新等行为。
7.服务续期及时提醒。采取自动续订、自动续费方式提供服务的,应当征得用户同意,不得默认勾选、强制捆绑开通。在自动续订、自动续费前5日以短信等显著方式提醒用户注意,服务期间提供便捷的随时退订方式和自动续订、自动续费取消途径。
(三)加强个人信息保护
8.坚持合法正当必要原则。从事个人信息处理活动,应具有明确合理的目的,不得仅以服务体验、产品研发、算法推荐、风险控制等为由,违规收集个人信息,或强制用户同意收集与服务场景无关的个人信息。用户拒绝提供非当前服务所必需的个人信息时,不得影响用户使用该服务的基本功能。
9.明示个人信息处理规则。通过简洁、清晰、易懂的方式告知用户个人信息处理规则,突出显示敏感个人信息的处理目的、方式和范围,建立已收集个人信息清单,不得采用默认勾选、缩小文字、冗长文本等方式诱导用户同意个人信息处理规则。
10.合理申请使用权限。在对应业务功能启动时,动态申请所需权限,不得要求用户一揽子同意打开多个非必要权限。在调用终端的相册、通讯录、位置等权限时,同步告知用户申请该权限的目的。未经用户同意,不得更改用户设置的权限状态。
(四)响应用户诉求
11.设立客服热线。鼓励互联网企业建立客服热线,主要互联网企业在网站、App显著位置公示客服热线电话号码,简化人工服务转接程序。鼓励提高客服热线能力,月均响应时限最长为30秒,人工服务的应答率超过85%。
12.妥善处理用户投诉。公布有效联系方式,接受用户投诉。按照规范要求答复互联网信息服务投诉平台上的投诉,确保在15日内处理完成,提高投诉处理满意率。鼓励在App中设置用户满意度测评链接,引导用户参与测评。
二、提升全链条管理能力,营造健康服务生态
(一)落实App开发运营者主体责任
1.完善内部管理机制。明确用户服务和权益保护的牵头管理部门和负责人,建立全生命周期个人信息保护机制,健全考核问责制度,将相关法规政策要求落实到产品研发、推广和运营各环节,不断提高合规水平。定期对个人信息保护措施及执行情况等进行独立审计,有效防范潜在风险。
2.增强技术保障能力。采取访问控制、技术加密、去标识化等安全技术措施,加强前端和后端安全防护。主动监测发现个人信息泄露、窃取、篡改、毁损、丢失、非法使用等风险威胁,及时响应处置要求。
3.加强软件开发工具(SDK)使用管理。使用SDK前对其进行个人信息保护能力评估,通过合同等形式明确约定各自的权利和义务,确保个人信息处理依法合规。集中展示并及时更新嵌入的所有SDK名称、功能及其处理个人信息的规则。共同处理用户个人信息,侵害用户权益造成损害的,应依法承担连带责任。
(二)强化平台分发管理
4.严格App上架审核。准确登记并核验App开发运营者的真实身份和联系方式、App的主要功能及用途等基本信息,并对拟上架App进行技术检测。相关审核应明确负责人,并留存审核日志记录,不符合要求的不予上架。全量公示在架App,并在显著位置标明App名称、开发运营者、版本号、所需获取的用户终端权限列表及用途、个人信息处理规则等信息。尚未建立分发明示界面的,应将App下载链接到应用商店,引导用户从正规渠道下载所分发的App。
5.强化在架App巡查。加强对App的动态巡查,确保公示信息真实准确。对与公示信息不一致,或采用“热更新、热切换”等方式擅自更改App主要功能、申请的权限、个人信息收集使用的场景和范围等违规App,应当停止提供服务。
6.完善分发管理机制。建立App开发运营者信用评价、风险提示等机制,鼓励对分发App进行电子签名认证,实现上架应用、分发行为全流程可溯源。加强与面向移动互联网应用程序的检测及认证公共服务平台联动,配合监管部门做好数据上报、监测溯源、信息共享、响应处置工作。
(三)规范SDK应用服务
7.建立信息公示机制。公开明示SDK名称、开发者、版本号、主要功能、使用说明等基本信息,以及个人信息处理规则。SDK独立采集、传输、存储个人信息的,应当单独作出说明。鼓励发挥SDK管理服务平台作用,引导App开发运营者使用合规的SDK。
8.优化功能配置。遵循最小必要原则,根据不同应用场景或用途,明确SDK功能和对应的个人信息收集范围,并向App开发运营者提供各功能模块及个人信息收集的配置选项,不得一揽子过度收集个人信息。
9.加强服务协同。在产品使用全生命周期过程中,通过明确易懂的方式主动向App开发运营者提供合规使用指南,引导App开发运营者正确合理使用,共同提高合规水平。当个人信息处理规则变更或发现风险时,及时更新并告知App开发运营者。
(四)筑牢终端安全防线
10.强化App运行管理。为用户提供App自启动和关联启动的关闭功能,以及便捷的设备识别码重置选项,加强对App静默下载、热更新的监测,防范未经用户同意私自下载、安装的行为。
11.加强App行为记录提醒。增强对权限调用行为的记录能力,为用户查询权限调用情况提供便利。建立通讯录、麦克风、相机、位置、剪切板等权限在用状态的明显提示机制,保障用户及时准确了解个人信息的收集状态。
12.提高App风险预警能力。推动开展App电子签名认证,并向用户进行预警提示,提高对仿冒、不良、违规等风7险App的识别能力。
(五)夯实接入企业责任
13.准确登记信息。在为App、SDK提供网络接入服务时,登记并核验App、SDK开发运营者的真实身份、联系方式等信息,提高追溯能力。
14.确保有效处置。按照电信监管部门要求,依法对违规App、SDK采取停止接入等必要措施,有效阻止其侵害用户权益的违规行为。
三、工作要求
(一)抓好组织落实。各单位要坚持以人民为中心的发展思想,提高政治站位,强化责任担当,细化分解任务,认真抓好各项要求组织实施,确保取得实效。相关企业要落实主体责任,对照本通知要求开展自查自纠,切实维护用户合法权益。同时,健全长效机制,创新模式方法,不断提升移动互联网应用服务水平,让广大用户有更多的获得感、幸福感、安全感。
(二)加强监督指导。工业和信息化部健全完善测评、通报、排名、公示机制,推动工作扎实有序开展,及时总结、推广优秀案例和经验做法。各地通信管理局要加强监督检查,指导督促属地企业落实本通知各项要求。对落实不到位或出现违规行为的,依法采取责令限期整改、向社会公告、组织下架、暂停服务、行政处罚等措施,严肃问责查处。
(三)强化技术手段。中国信息通信研究院要组织产业力量,综合运用人工智能、大数据等新技术新手段,升级打造面向移动互联网应用程序的全国检测及认证公共服务平台,持续完善平台功能,做好技术检测、监测服务和监管支撑工作。积极推广应用电子签名认证等可溯源技术手段,促进提高服务管理能力。
(四)推动行业自律。鼓励行业协会及相关机构制定行业自律公约、技术标准,加强评估认证和人才培养。进一步畅通渠道倾听群众意见,促进各方交流互动,引导企业依法合规经营,不断优化改进服务,营造争先创优、互促共进的良好环境,以高质量服务促进高质量发展。
编辑:钟旭惠
征求意见稿提出,要加强移动互联网应用服务全流程的个人信息保护。应坚持合法正当必要原则、明示个人信息处理规则,合理申请使用权限;通过简洁、清晰、易懂的方式告知用户个人信息处理规则,突出显示敏感个人信息的处理目的、方式和范围,建立已收集个人信息清单等。
全文如下
工业和信息化部关于进一步提升移动互联网应用服务能力的通知(征求意见稿)
近年来,我部大力推动提高移动互联网应用服务质量,切实维护用户合法权益,取得积极社会成效,但部分企业服务行为不规范、相关环节责任落实不到位的问题仍时有出现。为优化服务供给,改善用户体验,维护良好的信息消费环境,促进行业高质量发展,依据《个人信息保护法》《电信条例》《规范互联网信息服务市场秩序若干规定》《电信和互联网用户个人信息保护规定》等相关法律法规,就有关事项通知如下:
一、提升全流程服务感知,保护用户合法权益
(一)规范安装卸载行为
1.确保知情同意安装。向用户推荐下载App应遵循公开、透明原则,真实、准确、完整地明示开发者信息、产品功能、隐私政策、权限列表等必要信息,并同步提供明显的“取消”选项,经用户确认同意后方可下载安装,切实保障用户知情权、选择权。不得通过“偷梁换柱”“强制捆绑”“静默下载”等方式欺骗误导用户下载安装。
2.规范网页推荐下载行为。在用户浏览页面内容时,未经用户同意或主动选择,不得自动或强制下载App,或以折叠显示、主动弹窗、频繁提示等方式强迫用户下载、打开App,影响用户正常浏览信息。无合理正当理由,不得要求用户不下载App就不给看,或者不让看全文。
3.实现便捷卸载。除基本功能软件外,App应可便捷卸载,不得以空白名称、透明图标、后台隐藏等方式恶意阻挠用户卸载。
(二)优化服务体验
4.窗口关闭用户可选。开屏和弹窗信息窗口提供清晰有效的关闭按钮,不得频繁弹窗干扰用户正常使用,或利用“全屏热力图”、高灵敏度“摇一摇”等易造成误触发的方式诱导用户操作。
5.服务事项提前告知。清晰明示产品功能权益及资费水平等内容,存在开通会员、收费等附加条件的,应显著提示。未经明示,不得在提供产品服务过程中擅自添加限制性条件,并以此为由终止用户正常使用的产品功能和服务,或降低服务体验。
6.启动运行场景合理。在非服务所必需或无合理场景下,不得自启动和关联启动其他App,或进行唤醒、调用、更新等行为。
7.服务续期及时提醒。采取自动续订、自动续费方式提供服务的,应当征得用户同意,不得默认勾选、强制捆绑开通。在自动续订、自动续费前5日以短信等显著方式提醒用户注意,服务期间提供便捷的随时退订方式和自动续订、自动续费取消途径。
(三)加强个人信息保护
8.坚持合法正当必要原则。从事个人信息处理活动,应具有明确合理的目的,不得仅以服务体验、产品研发、算法推荐、风险控制等为由,违规收集个人信息,或强制用户同意收集与服务场景无关的个人信息。用户拒绝提供非当前服务所必需的个人信息时,不得影响用户使用该服务的基本功能。
9.明示个人信息处理规则。通过简洁、清晰、易懂的方式告知用户个人信息处理规则,突出显示敏感个人信息的处理目的、方式和范围,建立已收集个人信息清单,不得采用默认勾选、缩小文字、冗长文本等方式诱导用户同意个人信息处理规则。
10.合理申请使用权限。在对应业务功能启动时,动态申请所需权限,不得要求用户一揽子同意打开多个非必要权限。在调用终端的相册、通讯录、位置等权限时,同步告知用户申请该权限的目的。未经用户同意,不得更改用户设置的权限状态。
(四)响应用户诉求
11.设立客服热线。鼓励互联网企业建立客服热线,主要互联网企业在网站、App显著位置公示客服热线电话号码,简化人工服务转接程序。鼓励提高客服热线能力,月均响应时限最长为30秒,人工服务的应答率超过85%。
12.妥善处理用户投诉。公布有效联系方式,接受用户投诉。按照规范要求答复互联网信息服务投诉平台上的投诉,确保在15日内处理完成,提高投诉处理满意率。鼓励在App中设置用户满意度测评链接,引导用户参与测评。
二、提升全链条管理能力,营造健康服务生态
(一)落实App开发运营者主体责任
1.完善内部管理机制。明确用户服务和权益保护的牵头管理部门和负责人,建立全生命周期个人信息保护机制,健全考核问责制度,将相关法规政策要求落实到产品研发、推广和运营各环节,不断提高合规水平。定期对个人信息保护措施及执行情况等进行独立审计,有效防范潜在风险。
2.增强技术保障能力。采取访问控制、技术加密、去标识化等安全技术措施,加强前端和后端安全防护。主动监测发现个人信息泄露、窃取、篡改、毁损、丢失、非法使用等风险威胁,及时响应处置要求。
3.加强软件开发工具(SDK)使用管理。使用SDK前对其进行个人信息保护能力评估,通过合同等形式明确约定各自的权利和义务,确保个人信息处理依法合规。集中展示并及时更新嵌入的所有SDK名称、功能及其处理个人信息的规则。共同处理用户个人信息,侵害用户权益造成损害的,应依法承担连带责任。
(二)强化平台分发管理
4.严格App上架审核。准确登记并核验App开发运营者的真实身份和联系方式、App的主要功能及用途等基本信息,并对拟上架App进行技术检测。相关审核应明确负责人,并留存审核日志记录,不符合要求的不予上架。全量公示在架App,并在显著位置标明App名称、开发运营者、版本号、所需获取的用户终端权限列表及用途、个人信息处理规则等信息。尚未建立分发明示界面的,应将App下载链接到应用商店,引导用户从正规渠道下载所分发的App。
5.强化在架App巡查。加强对App的动态巡查,确保公示信息真实准确。对与公示信息不一致,或采用“热更新、热切换”等方式擅自更改App主要功能、申请的权限、个人信息收集使用的场景和范围等违规App,应当停止提供服务。
6.完善分发管理机制。建立App开发运营者信用评价、风险提示等机制,鼓励对分发App进行电子签名认证,实现上架应用、分发行为全流程可溯源。加强与面向移动互联网应用程序的检测及认证公共服务平台联动,配合监管部门做好数据上报、监测溯源、信息共享、响应处置工作。
(三)规范SDK应用服务
7.建立信息公示机制。公开明示SDK名称、开发者、版本号、主要功能、使用说明等基本信息,以及个人信息处理规则。SDK独立采集、传输、存储个人信息的,应当单独作出说明。鼓励发挥SDK管理服务平台作用,引导App开发运营者使用合规的SDK。
8.优化功能配置。遵循最小必要原则,根据不同应用场景或用途,明确SDK功能和对应的个人信息收集范围,并向App开发运营者提供各功能模块及个人信息收集的配置选项,不得一揽子过度收集个人信息。
9.加强服务协同。在产品使用全生命周期过程中,通过明确易懂的方式主动向App开发运营者提供合规使用指南,引导App开发运营者正确合理使用,共同提高合规水平。当个人信息处理规则变更或发现风险时,及时更新并告知App开发运营者。
(四)筑牢终端安全防线
10.强化App运行管理。为用户提供App自启动和关联启动的关闭功能,以及便捷的设备识别码重置选项,加强对App静默下载、热更新的监测,防范未经用户同意私自下载、安装的行为。
11.加强App行为记录提醒。增强对权限调用行为的记录能力,为用户查询权限调用情况提供便利。建立通讯录、麦克风、相机、位置、剪切板等权限在用状态的明显提示机制,保障用户及时准确了解个人信息的收集状态。
12.提高App风险预警能力。推动开展App电子签名认证,并向用户进行预警提示,提高对仿冒、不良、违规等风7险App的识别能力。
(五)夯实接入企业责任
13.准确登记信息。在为App、SDK提供网络接入服务时,登记并核验App、SDK开发运营者的真实身份、联系方式等信息,提高追溯能力。
14.确保有效处置。按照电信监管部门要求,依法对违规App、SDK采取停止接入等必要措施,有效阻止其侵害用户权益的违规行为。
三、工作要求
(一)抓好组织落实。各单位要坚持以人民为中心的发展思想,提高政治站位,强化责任担当,细化分解任务,认真抓好各项要求组织实施,确保取得实效。相关企业要落实主体责任,对照本通知要求开展自查自纠,切实维护用户合法权益。同时,健全长效机制,创新模式方法,不断提升移动互联网应用服务水平,让广大用户有更多的获得感、幸福感、安全感。
(二)加强监督指导。工业和信息化部健全完善测评、通报、排名、公示机制,推动工作扎实有序开展,及时总结、推广优秀案例和经验做法。各地通信管理局要加强监督检查,指导督促属地企业落实本通知各项要求。对落实不到位或出现违规行为的,依法采取责令限期整改、向社会公告、组织下架、暂停服务、行政处罚等措施,严肃问责查处。
(三)强化技术手段。中国信息通信研究院要组织产业力量,综合运用人工智能、大数据等新技术新手段,升级打造面向移动互联网应用程序的全国检测及认证公共服务平台,持续完善平台功能,做好技术检测、监测服务和监管支撑工作。积极推广应用电子签名认证等可溯源技术手段,促进提高服务管理能力。
(四)推动行业自律。鼓励行业协会及相关机构制定行业自律公约、技术标准,加强评估认证和人才培养。进一步畅通渠道倾听群众意见,促进各方交流互动,引导企业依法合规经营,不断优化改进服务,营造争先创优、互促共进的良好环境,以高质量服务促进高质量发展。
编辑:钟旭惠
新闻排行榜
1一周数据扫描:国家数据局局长首次亮相;《北京市首席数据官制度试点工作方案》发布(10.16-10.20)
2“3344体育官方网站百城万校”行动暨中国西部人才开发基金会——家校社协同育人公益行动启动
3言必有数 | 国家大数据局招聘信息告诉你啥?——数据领域需要综合型人才
43344体育官方网站五周年历史瞬间:金色的十月收获精彩
5数说今日 | 2023年第1000亿件快件产生;2022年中国创新指数同比增长5.9%
6国家数据局正式揭牌!
7人民网·3344体育官方网站武清大数据中心:“人民系”又一个数字基础设施项目
83344体育官方网站关于公开征集代理合作伙伴的公告
9数说今日 | 第六届进博会的参展商已超3400家;到2025年户外运动产业总规模将达3万亿元
10数据要素流通交易的创新发展新路径