強調知情同意、最小必要，新規管住App“亂伸的手”

本文轉自【科技日報】；

◎本報記者 崔 爽

近年來我國個人信息保護力度不斷加大，但移動互聯網應用程序（App）個人信息收集使用規則、目的、方式和範圍仍存在不明確的地方，部分環節仍存漏洞。針對上述問題，4月26日，工信部發布《移動互聯網應用程序個人信息保護管理暫行規定（徵求意見稿）》（以下簡稱規定）。

根據起草説明，為保護個人信息權益，規範App個人信息處理活動，促進個人信息合理利用，依據《中華人民共和國網絡安全法》等法律法規，在國家網信辦的統籌指導下，工信部會同公安部、市場監管總局起草了規定，在中華人民共和國境內開展的App個人信息處理活動應當遵守該規定。

明確“知情同意”“最小必要”兩項重要原則

規定明確指出，App個人信息處理活動應當採用合法、正當的方式，遵循誠信原則，不得通過欺騙、誤導等方式處理個人信息，切實保障用户同意權、知情權、選擇權和個人信息安全，對個人信息處理活動負責。

規定明確，從事App個人信息處理活動的，應當以清晰易懂的語言告知用户個人信息處理規則，由用户在充分知情的前提下，作出自願、明確的意思表示。具體來看，應當採取非默認勾選的方式徵得用户同意；不應強制要求用户一攬子同意打開多個系統權限；需要向本App以外的第三方提供個人信息的,應當向用户告知其身份信息、聯繫方式、處理目的、處理方式和個人信息的種類等事項,並取得用户同意；處理種族、民族、宗教信仰、個人生物特徵、醫療健康、金融賬户、個人行蹤等敏感個人信息的，應當對用户進行單獨告知，取得用户同意後，方可處理敏感個人信息。

規定要求，從事App個人信息處理活動的，應當具有明確、合理的目的，並遵循最小必要原則，不得從事超出用户同意範圍或者與服務場景無關的個人信息處理活動。具體來看，用户拒絕相關授權申請後，不得強制退出或者關閉App；在非服務所必需或者無合理場景下，不得自啓動或者關聯啓動其他App；用户拒絕提供非該類服務所必需的個人信息時，不得影響用户使用該服務。

規範關鍵環節主體責任和義務

規定對App治理的全鏈條、全主體、全流程予以規範。根據要求，App開發運營者基於個人信息向用户提供商品或者服務的搜索結果的，應當保證結果公平合理，同時向該用户提供不針對其個人特徵的選項，尊重和平等保護用户合法權益。

使用第三方服務的App開發運營者，應當制定管理規則，明示App第三方服務提供者的名稱、功能、個人信息處理規則等內容；應與第三方服務提供者簽訂個人信息處理協議，明確雙方相關權利義務，並對第三方服務提供者的個人信息處理活動和信息安全風險進行管理監督；App開發運營者未盡到監督義務的，應當依法與第三方服務提供者承擔連帶責任。

按照規定要求，App分發平台需要對新上架App實行上架前個人信息處理活動規範性審核，對已上架App在本規定實施後1個月內完成補充審核，並根據審核結果進行更新或者清理。

移動智能終端生產企業要建立終端啓動和關聯啓動App管理機制，為用户提供關閉自啓動和關聯啓動的功能選項；持續優化個人信息權限在用狀態，特別是錄音、拍照、視頻等敏感權限在用狀態的顯著提示機制，幫助用户及時準確瞭解個人信息權限的使用狀態。

規定要求，從事App個人信息處理活動的相關主體，應當採取加密、去標識化等安全技術措施，防止未經授權的訪問及個人信息泄露或者被竊取、篡改、刪除等風險。

對於違反規定的主體，規定指出，監督管理部門可依次按照通知整改、社會公告、下架處置、斷開接入、信用管理流程進行處置，並明確具體時間期限要求。