根據起草說明,為保護個人信息權益,規(guī)范移動互聯網應用程序(APP)個人信息處理活動,促進個人信息合理利用,依據《中華人民共和國網絡安全法》等法律法規(guī),在國家網信辦的統(tǒng)籌指導下,工信部會同公安部、市場監(jiān)管總局起草了規(guī)定,在中華人民共和國境內開展的APP個人信息處理活動應當遵守規(guī)定。

圖片來源:視覺中國
明確“知情同意”“最小必要”兩項重要原則
規(guī)定明確指出,APP個人信息處理活動應當采用合法、正當的方式,遵循誠信原則,不得通過欺騙、誤導等方式處理個人信息,切實保障用戶同意權、知情權、選擇權和個人信息安全,對個人信息處理活動負責。
規(guī)定明確,從事APP個人信息處理活動的,應當以清晰易懂的語言告知用戶個人信息處理規(guī)則,由用戶在充分知情的前提下,作出自愿、明確的意思表示。具體來看,應當采取非默認勾選的方式征得用戶同意;不應強制要求用戶一攬子同意打開多個系統(tǒng)權限;需要向本APP以外的第三方提供個人信息的,應當向用戶告知其身份信息、聯系方式、處理目的、處理方式和個人信息的種類等事項,并取得用戶同意;處理種族、民族、宗教信仰、個人生物特征、醫(yī)療健康、金融賬戶、個人行蹤等敏感個人信息的,應當對用戶進行單獨告知,取得用戶同意后,方可處理敏感個人信息。
規(guī)定要求,從事APP個人信息處理活動的,應當具有明確、合理的目的,并遵循最小必要原則,不得從事超出用戶同意范圍或者與服務場景無關的個人信息處理活動。具體來看,用戶拒絕相關授權申請后,不得強制退出或者關閉APP;在非服務所必需或者無合理場景下,不得自啟動或者關聯啟動其他APP;用戶拒絕提供非該類服務所必需的個人信息時,不得影響用戶使用該服務。
規(guī)范關鍵環(huán)節(jié)主體責任義務
規(guī)定對APP治理的全鏈條、全主體、全流程予以規(guī)范。根據要求,APP開發(fā)運營者基于個人信息向用戶提供商品或者服務的搜索結果的,應當保證結果公平合理,同時向該用戶提供不針對其個人特征的選項,尊重和平等保護用戶合法權益。
使用第三方服務的APP開發(fā)運營者,應當制定管理規(guī)則,明示APP第三方服務提供者的名稱、功能、個人信息處理規(guī)則等內容;應與第三方服務提供者簽訂個人信息處理協議,明確雙方相關權利義務,并對第三方服務提供者的個人信息處理活動和信息安全風險進行管理監(jiān)督;APP開發(fā)運營者未盡到監(jiān)督義務的,應當依法與第三方服務提供者承擔連帶責任。
按照規(guī)定要求,APP分發(fā)平臺需要對新上架APP實行上架前個人信息處理活動規(guī)范性審核,對已上架APP在本規(guī)定實施后1個月內完成補充審核,并根據審核結果進行更新或者清理。
移動智能終端生產企業(yè)要建立終端啟動和關聯啟動APP管理機制,為用戶提供關閉自啟動和關聯啟動的功能選項;持續(xù)優(yōu)化個人信息權限在用狀態(tài),特別是錄音、拍照、視頻等敏感權限在用狀態(tài)的顯著提示機制,幫助用戶及時準確了解個人信息權限的使用狀態(tài)。
規(guī)定要求,從事APP個人信息處理活動的相關主體,應當采取加密、去標識化等安全技術措施,防止未經授權的訪問及個人信息泄露或者被竊取、篡改、刪除等風險。
對于違反規(guī)定的主體,規(guī)定指出,監(jiān)督管理部門可依次按照通知整改、社會公告、下架處置、斷開接入、信用管理流程進行處置,并明確具體時間期限要求。