據“工信微報”公眾號消息,為深入貫徹落實黨的十九屆五中全會精神,加強移動互聯網應用程序(以下簡稱APP)個人信息保護,規範APP個人信息處理活動,在國家互聯網信息辦公室的統籌指導下,工業和信息化部會同公安部、市場監管總局起草了《移動互聯網應用程序個人信息保護管理暫行規定(徵求意見稿)》(詳見附件)。現向社會公開徵求意見,請於2021年5月26日前反饋意見。
聯繫單位:
工業和信息化部信息通信管理局
聯繫電話及傳真:
010-66011239/66022182
電子郵箱:
通信地址:
北京市西城區西長安街13號 工業和信息化部信息通信管理局(郵編:100804),請在信封上註明“《移動互聯網應用程序個人信息保護管理暫行規定(徵求意見稿)》”。
附件:
1.移動互聯網應用程序個人信息保護管理暫行規定(徵求意見稿)
2.關於《移動互聯網應用程序個人信息保護管理暫行規定(徵求意見稿)》的起草説明
工業和信息化部信息通信管理局
2021年4月26日
附件1
移動互聯網應用程序個人信息保護管理暫行規定(徵求意見稿)
第一條 為保護個人信息權益,規範移動互聯網應用程序(以下簡稱APP)個人信息處理活動,促進個人信息合理利用,依據《中華人民共和國網絡安全法》等法律法規,制定本規定。
第二條 在中華人民共和國境內開展的APP個人信息處理活動,應當遵守本規定。法律、行政法規對個人信息處理活動另有規定的,從其規定。
第三條 本規定所稱APP個人信息處理活動,是指移動智能終端中運行的應用程序收集、存儲、使用、加工、傳輸個人信息的活動。
本規定所稱APP開發運營者,是指從事APP開發和運營活動的主體。
本規定所稱APP分發平台,是指通過應用商店、應用市場、網站等方式提供APP下載、升級服務的軟件服務平台。
本規定所稱APP第三方服務提供者,是指相對於用户和APP以外的,為APP提供軟件開發工具包(SDK)、封裝、加固、編譯環境等第三方服務的主體。
本規定所稱移動智能終端生產企業,是指生產能夠接入公眾網絡,提供預置APP或者具備安裝APP能力的移動智能終端設備的主體。
本規定所稱網絡接入服務提供者,是指從事互聯網數據中心(IDC)業務、互聯網接入服務(ISP)業務和內容分發網絡(CDN)業務,為APP提供網絡接入服務的電信業務經營者。
第四條 國家互聯網信息辦公室負責統籌協調APP個人信息保護工作和相關監督管理工作,會同工業和信息化部、公安部、市場監管總局建立健全APP個人信息保護監督管理聯合工作機制,統籌推進政策標準規範等相關工作,加強信息共享及對App個人信息保護工作的指導。各部門在各自職責範圍內負責APP個人信息保護和監督管理工作。
省、自治區、直轄市網信辦、通信管理局、公安廳(局)、市場監管局負責本行政區域內APP個人信息保護監督管理工作。
前兩款規定的部門統稱為APP個人信息保護監督管理部門。
第五條 APP個人信息處理活動應當採用合法、正當的方式,遵循誠信原則,不得通過欺騙、誤導等方式處理個人信息,切實保障用户同意權、知情權、選擇權和個人信息安全,對個人信息處理活動負責。
相關行業組織和專業機構按照有關法律法規、標準及本規定,開展APP個人信息保護能力評估、認證。
第六條 從事APP個人信息處理活動的,應當以清晰易懂的語言告知用户個人信息處理規則,由用户在充分知情的前提下,作出自願、明確的意思表示。
(一)應當在APP登錄註冊頁面及APP首次運行時,通過彈窗、文本鏈接及附件等簡潔明顯且易於訪問的方式,向用户告知涵蓋個人信息處理主體、處理目的、處理方式、處理類型、保存期限等內容的個人信息處理規則;
(二)應當採取非默認勾選的方式徵得用户同意;
(三)應當尊重用户選擇權,在取得用户同意前或者用户明確表示拒絕後,不得處理個人信息;個人信息處理規則發生變更的,應當重新取得用户同意;
(四)應當在對應業務功能啓動時,動態申請APP所需的權限,不應強制要求用户一攬子同意打開多個系統權限,且未經用户同意,不得更改用户設置的權限狀態;
(五)需要向本APP以外的第三方提供個人信息的,應當向用户告知其身份信息、聯繫方式、處理目的、處理方式和個人信息的種類等事項,並取得用户同意;
(六)處理種族、民族、宗教信仰、個人生物特徵、醫療健康、金融賬户、個人行蹤等敏感個人信息的,應當對用户進行單獨告知,取得用户同意後,方可處理敏感個人信息。
第七條 從事APP個人信息處理活動的,應當具有明確、合理的目的,並遵循最小必要原則,不得從事超出用户同意範圍或者與服務場景無關的個人信息處理活動。
(一)處理個人信息的數量、頻次、精度等應當為服務所必需,不得超範圍處理個人信息;
(二)個人信息的本地讀取、寫入、刪除、修改等操作應當為服務所必需,不得超出用户同意的操作範圍;
(三)用户拒絕相關授權申請後,不得強制退出或者關閉APP,不得提前申請超出其業務功能或者服務外的權限,不得利用頻繁彈窗反覆申請與當前服務場景無關的權限;
(四)在非服務所必需或者無合理場景下,不得自啓動或者關聯啓動其他APP;
(五)用户拒絕提供非該類服務所必需的個人信息時,不得影響用户使用該服務;
(六)不得以改善服務質量、提升使用體驗、研發新產品、定向推送信息、風險控制等為由,強制要求用户同意超範圍或者與服務場景無關的個人信息處理行為。
第八條 APP開發運營者應當履行以下個人信息保護義務:
(一)切實提升產品和服務個人信息保護意識,將個人信息保護要求落實在產品設計、開發及運營環節;以顯著、清晰的方式定期向用户呈現APP的個人信息收集使用情況;
(二)基於個人信息向用户提供商品或者服務的搜索結果的,應當保證結果公平合理,同時向該用户提供不針對其個人特徵的選項,尊重和平等保護用户合法權益;
(三)使用第三方服務的,應當制定管理規則,明示APP第三方服務提供者的名稱、功能、個人信息處理規則等內容;應與第三方服務提供者簽訂個人信息處理協議,明確雙方相關權利義務,並對第三方服務提供者的個人信息處理活動和信息安全風險進行管理監督;APP開發運營者未盡到監督義務的,應當依法與第三方服務提供者承擔連帶責任;
(四)對於不影響其他服務功能的獨立服務功能模塊,應當向用户提供關閉或者退出該獨立服務功能的選項,不得因用户採取關閉或者退出操作而拒絕提供其他服務;
(五)加強前端和後端安全防護、訪問控制、技術加密、安全審計等工作,主動監測發現個人信息泄露等違規行為,及時響應處置要求;
(六)國家規定的其他個人信息保護義務。
第九條 APP分發平台應當履行以下個人信息保護義務:
(一)登記並核驗APP開發運營者、提供者的真實身份、聯繫方式等信息;
(二)在顯著位置標明APP運行所需獲取的用户終端權限列表和個人信息收集的類型、內容、目的、範圍、方式、用途及處理規則等相關信息;
(三)不得欺騙誤導用户下載APP;
(四)對新上架APP實行上架前個人信息處理活動規範性審核,對已上架APP在本規定實施後1個月內完成補充審核,並根據審核結果進行更新或者清理;
(五)建立APP開發運營者信用積分、風險APP名單、平台信息共享及簽名驗證等管理機制;
(六)按照監督管理部門的要求,完善報送機制,及時配合監督管理部門開展問題APP上報、響應和處置工作;
(七)設置便捷的投訴舉報入口,及時處理公眾對本平台所分發APP的投訴舉報;
(八)國家規定的其他個人信息保護義務。
第十條 APP第三方服務提供者應當履行以下個人信息保護義務:
(一)制定並公開個人信息處理規則;
(二)以明確、易懂、合理的方式向APP開發運營者公開其個人信息處理目的、處理方式、處理類型、保存期限等內容,其個人信息處理活動應當與公開的個人信息處理規則保持一致;
(三)未經用户同意或者在無合理業務場景下,不得自行進行喚醒、調用、更新等行為;
(四)採取足夠的管理措施和技術手段保護個人信息,發現安全風險或者個人信息處理規則變更時應當及時進行更新並告知APP開發運營者;
(五)未經用户同意,不得將收集到的用户個人信息共享轉讓;
(六)國家規定的其他個人信息保護義務。
第十一條 移動智能終端生產企業應當履行以下個人信息保護義務:
(一)完善終端權限管控機制,及時彌補權限管理漏洞,持續優化和規範敏感行為的記錄能力,主動為用户權限申請和告知提供便利;
(二)建立終端啓動和關聯啓動APP管理機制,為用户提供關閉自啓動和關聯啓動的功能選項;
(三)持續優化個人信息權限在用狀態,特別是錄音、拍照、視頻等敏感權限在用狀態的顯著提示機制,幫助用户及時準確瞭解個人信息權限的使用狀態;
(四)建立重點APP關注名單管理機制,完善移動智能終端APP管理措施;
(五)對預置APP進行審核,持續監測預置APP的個人信息安全風險;
(六)在安裝過程中以顯著方式告知用户APP申請的個人信息權限列表;
(七)完善終端設備標識管理機制;
(八)國家規定的其他個人信息保護義務。
第十二條 網絡接入服務提供者應當履行以下個人信息保護義務:
(一)在為APP提供網絡接入服務時,登記並核驗APP開發運營者的真實身份、聯繫方式等信息;
(二)按照監督管理部門的要求,依法對違規APP採取停止接入等必要措施,阻止其繼續違規侵害用户個人信息和其他合法權益;
(三)國家規定的其他個人信息保護義務。
第十三條 從事APP個人信息處理活動的相關主體,應當加強人員教育培訓,制定個人信息保護內部管理制度,落實網絡安全等級保護和應急預案等制度要求;採取加密、去標識化等安全技術措施,防止未經授權的訪問及個人信息泄露或者被竊取、篡改、刪除等風險;需要認證用户真實身份信息的,應當通過國家統一建設的公民身份認證基礎設施所提供的網上公民身份核驗認證服務進行。
第十四條 任何組織和個人發現違反本規定行為的,可以向監督管理部門或者中國互聯網協會、中國網絡空間安全協會投訴舉報,監督管理部門和相關組織應當及時受理並調查處理。
從事APP個人信息處理活動的相關主體應當自覺接受社會監督。
第十五條 根據公眾投訴舉報情況和監管中發現的問題,監督管理部門可以對存在問題和風險的APP實施個人信息保護檢查。
從事APP個人信息處理活動的相關主體應當對監督管理部門依法實施的監督檢查予以配合。
第十六條 發現從事個人信息處理活動的相關主體違反本規定的,監督管理部門可依據各自職責採取以下處置措施:
(一)責令整改與社會公告。對檢測發現問題APP的開發運營者、APP分發平台、第三方服務提供者及相關主體提出整改,要求5個工作日內進行整改及時消除隱患;未完成整改的,向社會公告。
(二)下架處置。對社會公告5個工作日後,仍拒絕整改或者整改後仍存在問題的,可要求相關主體進行下架處置;對反覆出現問題、採取技術對抗等違規情節嚴重的,將對其進行直接下架;被下架的APP在40個工作日內不得通過任何渠道再次上架。
(三)斷開接入。下架後仍未按要求完成整改的,將對其採取斷開接入等必要措施。
(四)恢復上架。被下架的APP完成整改,並完善技術和管理機制及作出企業自律承諾後,可向作出下架要求的監督管理部門申請恢復上架。
(五)恢復接入。被斷開網絡接入的APP完成整改後,可向作出斷開接入要求的監督管理部門申請恢復接入。
(六)信用管理。對相應違規主體,可納入信用管理,實施聯合懲戒。
第十七條 對整改反覆出現問題的APP及其開發運營者開發的相關APP,監督管理部門可以指導組織APP分發平台和移動智能終端生產企業在集成、分發、預置和安裝等環節進行風險提示,情節嚴重的採取禁入措施。
第十八條 從事APP個人信息處理活動侵害個人信息權益的,將依照有關規定予以處罰;構成犯罪的,公安機關依法追究刑事責任。
第十九條 監督管理部門應當對履行職責中知悉的用户個人信息予以保密,不得泄露、篡改或者毀損,不得出售或者非法向他人提供。
第二十條 本規定自 年 月 日起施行。
附件2
關於《移動互聯網應用程序個人信息保護管理暫行規定(徵求意見稿)》的起草説明
一、起草背景
近年來,我國個人信息保護力度不斷加大,但APP個人信息收集使用規則、目的、方式和範圍仍存在不明確的地方,部分環節仍存漏洞,個人信息保護面臨諸多問題和挑戰。黨中央、國務院高度重視APP個人信息保護治理工作,黨的十九屆五中全會明確提出,維護人民根本利益,保障國家數據安全,加強個人信息保護。國家互聯網信息辦公室、工業和信息化部、公安部、市場監管總局持續深入開展APP違法違規收集使用個人信息治理工作,工業和信息化部連續兩年開展APP侵害用户權益專項整治行動,社會反映熱烈,取得階段性明顯成效。
考慮到APP治理是一項具有長期性、複雜性的系統治理工作,有必要將近年來成熟的經驗做法和管理措施轉換為制度性規範文件。同時,為強化APP個人信息保護管理的系統性、整體性和協同性,在總結專項治理工作經驗基礎上,起草形成了《移動互聯網應用程序個人信息保護管理暫行規定(徵求意見稿)》(以下簡稱《徵求意見稿》),並向社會公開徵求意見。
二、關於起草的主要情況和把握要點
《徵求意見稿》在國家互聯網信息辦公室的統籌指導下,由工業和信息化部會同公安部、市場監管總局聯合制定完成。起草過程中,就重點問題組織有關單位和專家學者進行了專題研究,並聽取了百度、阿里巴巴、騰訊、字節跳動、美團、拼多多、京東、滴滴、新浪微博、快手、小米、華為、OPPO、vivo、360、捷興信源、梆梆等主要互聯網企業、終端企業和安全企業的意見建議。
制定過程中,重點把握“三個堅持”:一是堅持以人民為中心的發展思想。貫徹黨的十九屆五中全會要求,落實以人民為中心的發展思想,堅持人民利益至上,嚴格規範APP個人信息處理活動,增強人民羣眾安全感和獲得感。二是堅持問題導向。立足前期專項治理工作基礎,聚焦用户投訴舉報反映強烈的突出問題,將近兩年來已經成熟的經驗做法和管理措施制度化,為規範APP個人信息處理活動提供可靠制度保障。三是堅持落實主體責任。明確細化了APP開發運營者、分發平台、第三方服務提供者等主體在APP個人信息處理活動中應當履行的主體責任義務。
三、關於《徵求意見稿》的主要內容
《徵求意見稿》共計二十條,界定了適用範圍和監管主體;確立了“知情同意”“最小必要”兩項重要原則;細化了APP開發運營者、分發平台、第三方服務提供者、終端生產企業、網絡接入服務提供者五類主體責任義務;提出了投訴舉報、監督檢查、處置措施、風險提示等四方面規範要求,主要內容如下:
一是界定適用範圍和明確監管主體。在適用範圍方面,《徵求意見稿》明確了在中華人民共和國境內開展的APP個人信息處理活動,應當遵守本規定。法律、行政法規對個人信息處理活動另有規定的,從其規定。在監管主體方面,《徵求意見稿》明確了APP個人信息保護的聯合工作機制,國家互聯網信息辦公室會同工業和信息化部、公安部、市場監管總局健全完善APP個人信息保護監督管理聯合工作機制,統籌推進政策標準規範等相關工作,各部門在各自職責範圍內負責APP個人信息保護和監督管理工作。(第一條至第五條)
二是明確“知情同意”“最小必要”兩項重要原則。《徵求意見稿》“知情同意”規定,從事APP個人信息處理活動的,應當以清晰易懂的語言告知用户個人信息處理規則,由用户在充分知情的前提下,作出自願、明確的意思表示,並明確了“六項應當”要求。“最小必要”規定,從事APP個人信息處理活動的,應當具有明確、合理的目的,並遵循最小必要原則,不得從事超出用户同意範圍或者與服務場景無關的個人信息處理活動,並提出了“六項不得”要求。(第六條和第七條)
三是規範關鍵環節主體責任義務。《徵求意見稿》對APP治理的全鏈條、全主體、全流程予以規範,規定了APP開發運營者、APP分發平台、APP第三方服務提供者、移動智能終端生產企業和網絡接入服務提供者在APP個人信息保護方面的具體義務。(第八條至第十二條)
四是細化違規處置流程和具體措施。《徵求意見稿》明確從事個人信息處理活動的有關主體違反要求的,依次按照通知整改、社會公告、下架處置、斷開接入、信用管理流程進行處置,並明確具體時間期限要求。特別提出,對未按要求完成整改或反覆出現問題、採取技術對抗等違規情節嚴重的APP,將對其進行直接下架;且下架後的APP在40個工作日內不得通過任何渠道再次上架的管理要求。此外,監督管理部門將指導APP分發平台和移動智能終端生產企業在集成、分發、預置和安裝等環節進行風險提示,情節嚴重的採取禁入措施。(第十六和第十七條)
此外,《徵求意見稿》還對違反本規定行為的法律責任、保密義務等作了規定。(第十八和第十九條)