加入收藏 | 设为首页 |

工信部公开征求意见 拟规定违规情节严重的App将直接下架

婚姻 时间:2021-04-27 浏览:
第七条 从事App个人信息处理活动的,应当具有明确、合理的目的,并遵循最小必要原则,不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。 (一)处理个人信息的数量、频次、精度等应当为服务所必需,不得超范围处理个人信息; (二)个人信息的。

  中国网财经4月26日讯 据工信部网站消息,为深入贯彻落实党的十九届五中全会精神,加强移动互联网应用程序(以下简称App)个人信息保护,规范App个人信息处理活动,在国家互联网信息办公室的统筹指导下,工业和信息化部会同公安部、市场监管总局起草了《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》。现向社会公开征求意见。

  以下为文件原文:

移动互联网应用程序个人信息保护管理暂行规定

(征求意见稿)

  第一条 为保护个人信息权益,规范移动互联网应用程序(以下简称App)个人信息处理活动,促进个人信息合理利用,依据《中华人民共和国网络安全法》等法律法规,制定本规定。

  第二条 在中华人民共和国境内开展的App个人信息处理活动,应当遵守本规定。法律、行政法规对个人信息处理活动另有规定的,从其规定。

  第三条 本规定所称App个人信息处理活动,是指移动智能终端中运行的应用程序收集、存储、使用、加工、传输个人信息的活动。

  本规定所称App开发运营者,是指从事App开发和运营活动的主体。

  本规定所称App分发平台,是指通过应用商店、应用市场、网站等方式提供App下载、升级服务的软件服务平台。

  本规定所称App第三方服务提供者,是指相对于用户和App以外的,为App提供软件开发工具包(SDK)、封装、加固、编译环境等第三方服务的主体。

  本规定所称移动智能终端生产企业,是指生产能够接入公众网络,提供预置App或者具备安装App能力的移动智能终端设备的主体。

  本规定所称网络接入服务提供者,是指从事互联网数据中心(IDC)业务、互联网接入服务(ISP)业务和内容分发网络(CDN)业务,为App提供网络接入服务的电信业务经营者。

  第四条 国家互联网信息办公室负责统筹协调App个人信息保护工作和相关监督管理工作,会同工业和信息化部、公安部、市场监管总局建立健全App个人信息保护监督管理联合工作机制,统筹推进政策标准规范等相关工作,加强信息共享及对App个人信息保护工作的指导。各部门在各自职责范围内负责App个人信息保护和监督管理工作。

  省、自治区、直辖市网信办、通信管理局、公安厅(局)、市场监管局负责本行政区域内App个人信息保护监督管理工作。

  前两款规定的部门统称为App个人信息保护监督管理部门。

  第五条 App个人信息处理活动应当采用合法、正当的方式,遵循诚信原则,不得通过欺骗、误导等方式处理个人信息,切实保障用户同意权、知情权、选择权和个人信息安全,对个人信息处理活动负责。

  相关行业组织和专业机构按照有关法律法规、标准及本规定,开展App个人信息保护能力评估、认证。

  第六条 从事App个人信息处理活动的,应当以清晰易懂的语言告知用户个人信息处理规则,由用户在充分知情的前提下,作出自愿、明确的意思表示。

  (一)应当在App登录注册页面及App首次运行时,通过弹窗、文本链接及附件等简洁明显且易于访问的方式,向用户告知涵盖个人信息处理主体、处理目的、处理方式、处理类型、保存期限等内容的个人信息处理规则;

  (二)应当采取非默认勾选的方式征得用户同意;

  (三)应当尊重用户选择权,在取得用户同意前或者用户明确表示拒绝后,不得处理个人信息;个人信息处理规则发生变更的,应当重新取得用户同意;

  (四)应当在对应业务功能启动时,动态申请App所需的权限,不应强制要求用户一揽子同意打开多个系统权限,且未经用户同意,不得更改用户设置的权限状态;

  (五)需要向本App以外的第三方提供个人信息的,应当向用户告知其身份信息、联系方式、处理目的、处理方式和个人信息的种类等事项,并取得用户同意;

  (六)处理种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等敏感个人信息的,应当对用户进行单独告知,取得用户同意后,方可处理敏感个人信息。

  第七条 从事App个人信息处理活动的,应当具有明确、合理的目的,并遵循最小必要原则,不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。

  (一)处理个人信息的数量、频次、精度等应当为服务所必需,不得超范围处理个人信息;

  (二)个人信息的本地读取、写入、删除、修改等操作应当为服务所必需,不得超出用户同意的操作范围;

  (三)用户拒绝相关授权申请后,不得强制退出或者关闭App,不得提前申请超出其业务功能或者服务外的权限,不得利用频繁弹窗反复申请与当前服务场景无关的权限;

  (四)在非服务所必需或者无合理场景下,不得自启动或者关联启动其他App;

  (五)用户拒绝提供非该类服务所必需的个人信息时,不得影响用户使用该服务;

  (六)不得以改善服务质量、提升使用体验、研发新产品、定向推送信息、风险控制等为由,强制要求用户同意超范围或者与服务场景无关的个人信息处理行为。

  第八条 App开发运营者应当履行以下个人信息保护义务:

  (一)切实提升产品和服务个人信息保护意识,将个人信息保护要求落实在产品设计、开发及运营环节;以显著、清晰的方式定期向用户呈现App的个人信息收集使用情况;

  (二)基于个人信息向用户提供商品或者服务的搜索结果的,应当保证结果公平合理,同时向该用户提供不针对其个人特征的选项,尊重和平等保护用户合法权益;

  (三)使用第三方服务的,应当制定管理规则,明示App第三方服务提供者的名称、功能、个人信息处理规则等内容;应与第三方服务提供者签订个人信息处理协议,明确双方相关权利义务,并对第三方服务提供者的个人信息处理活动和信息安全风险进行管理监督;App开发运营者未尽到监督义务的,应当依法与第三方服务提供者承担连带责任;

  (四)对于不影响其他服务功能的独立服务功能模块,应当向用户提供关闭或者退出该独立服务功能的选项,不得因用户采取关闭或者退出操作而拒绝提供其他服务;

  (五)加强前端和后端安全防护、访问控制、技术加密、安全审计等工作,主动监测发现个人信息泄露等违规行为,及时响应处置要求;

  (六)国家规定的其他个人信息保护义务。

  第九条 App分发平台应当履行以下个人信息保护义务:

  (一)登记并核验App开发运营者、提供者的真实身份、联系方式等信息;

  (二)在显著位置标明App运行所需获取的用户终端权限列表和个人信息收集的类型、内容、目的、范围、方式、用途及处理规则等相关信息;

  (三)不得欺骗误导用户下载App;

  (四)对新上架App实行上架前个人信息处理活动规范性审核,对已上架App在本规定实施后1个月内完成补充审核,并根据审核结果进行更新或者清理;

  (五)建立App开发运营者信用积分、风险App名单、平台信息共享及签名验证等管理机制;

  (六)按照监督管理部门的要求,完善报送机制,及时配合监督管理部门开展问题App上报、响应和处置工作;

  (七)设置便捷的投诉举报入口,及时处理公众对本平台所分发App的投诉举报;

  (八)国家规定的其他个人信息保护义务。

  第十条 App第三方服务提供者应当履行以下个人信息保护义务:

  (一)制定并公开个人信息处理规则;

  (二)以明确、易懂、合理的方式向App开发运营者公开其个人信息处理目的、处理方式、处理类型、保存期限等内容,其个人信息处理活动应当与公开的个人信息处理规则保持一致;

  (三)未经用户同意或者在无合理业务场景下,不得自行进行唤醒、调用、更新等行为;

  (四)采取足够的管理措施和技术手段保护个人信息,发现安全风险或者个人信息处理规则变更时应当及时进行更新并告知App开发运营者;

  (五)未经用户同意,不得将收集到的用户个人信息共享转让;

  (六)国家规定的其他个人信息保护义务。

  第十一条 移动智能终端生产企业应当履行以下个人信息保护义务:

  (一)完善终端权限管控机制,及时弥补权限管理漏洞,持续优化和规范敏感行为的记录能力,主动为用户权限申请和告知提供便利;

  (二)建立终端启动和关联启动App管理机制,为用户提供关闭自启动和关联启动的功能选项;

  (三)持续优化个人信息权限在用状态,特别是录音、拍照、视频等敏感权限在用状态的显著提示机制,帮助用户及时准确了解个人信息权限的使用状态;

  (四)建立重点App关注名单管理机制,完善移动智能终端App管理措施;

  (五)对预置App进行审核,持续监测预置App的个人信息安全风险;

  (六)在安装过程中以显著方式告知用户App申请的个人信息权限列表;

  (七)完善终端设备标识管理机制;

  (八)国家规定的其他个人信息保护义务。

  第十二条 网络接入服务提供者应当履行以下个人信息保护义务:

  (一)在为App提供网络接入服务时,登记并核验App开发运营者的真实身份、联系方式等信息;

  (二)按照监督管理部门的要求,依法对违规App采取停止接入等必要措施,阻止其继续违规侵害用户个人信息和其他合法权益;

  (三)国家规定的其他个人信息保护义务。