第一条为保护个人信息权益,规范互联网+应用程序个人信息处置活动,促进个人信息合理借助,依据《中国互联网安全法》等法律法规,拟定本规定。
第二条在中国境内拓展的App个人信息处置活动,应当遵守本规定。法律、行政法规对个人信息处置活动另有规定的,从其规定。
第三条本规定所称App个人信息处置活动,是指移动智能终端中运行的应用程序采集、存储、用、加工、传输个人信息的活动。
本规定所称App开发运营者,是指从事App开发和运营活动的主体。
本规定所称App分发平台,是指通过应用商店、应用市场、网站等方法提供App下载、升级服务的软件服务平台。
本规定所称App第三方服务提供者,是指相对于用户和App以外的,为App提供软件开发工具包、封装、加固、编译环境等第三方服务的主体。
本规定所称移动智能终端生产企业,是指生产可以接入公众互联网,提供预置App或者拥有安装App能力的移动智能终端设施的主体。
本规定所称互联网接入服务提供者,是指从事网络数据中心业务、网络接入服务业务和内容分发互联网业务,为App提供互联网接入服务的电信业务经营者。
第四条 国家网络信息办公室负责统筹协调App个人信息保护工作和有关监督管理工作,会同工业和信息化部、公安部、市场监管总局打造完善App个人信息保护监督管理联合工作机制,统筹推进政策标准规范等有关工作,加大信息共享及对App个人信息保护工作的指导。各部门在各自职责范围内负责App个人信息保护和监督管理工作。
省、自治区、直辖市网信办、通信管理局、公安厅、市场监管局负责本行政地区内App个人信息保护监督管理工作。
前两款规定的部门统称为App个人信息保护监督管理部门。
第五条App个人信息处置活动应当使用合法、正当的方法,遵循诚信原则,不能通过欺骗、误导等方法处置个人信息,切实保障用户赞同权、知情权、选择权和个人信息安全,对个人信息处置活动负责。
有关行业组织和专业机构根据有关法律法规、标准及本规定,拓展App个人信息保护能力评估、认证。
第六条从事App个人信息处置活动的,应当以明确易懂的语言告知用户个人信息处置规则,由用户在充分知情的首要条件下,作源于愿、明确的意思表示。
应当在App登录注册页面及App初次运行时,通过弹窗、文本链接及附件等简洁明显且易于访问的方法,向用户告知涵盖个人信息处置主体、处置目的、处置方法、处置种类、保存期限等内容的个人信息处置规则;
应当采取非默认勾选的方法征得用户赞同;
应当尊重用户选择权,在获得用户赞同前或者用户明确表示拒绝后,不能处置个人信息;个人信息处置规则发生变更的,应当重新获得用户赞同;
应当在对应业务功能启动时,动态申请App所需的权限,不应强制需要用户一揽子赞同打开多个系统权限,且未经用户赞同,不能更改用户设置的权限状况;
需要向本App以外的第三方提供个人信息的,应当向用户告知其身份信息、联系方法、处置目的、处置方法和个人信息的类型等事情,并获得用户赞同;
处置种族、民族、宗教信仰、个生活物特点、医疗健康、金融账户、个人行踪等敏锐个人信息的,应当对用户进行单独告知,获得用户赞同后,方可处置敏锐个人信息。
第七条从事App个人信息处置活动的,应当具备明确、适当的目的,并遵循最小必要原则,不能从事超出用户赞同范围或者与服务场景无关的个人信息处置活动。
处置个人信息的数目、频次、精度等应当为服务所必需,不能超范围处置个人信息;
个人信息的当地读取、写入、删除、修改等操作应当为服务所必需,不能超出用户赞同的操作范围;
用户拒绝有关授权申请后,不能强制退出或者关闭App,不能提前申请超出其业务功能或者服务外的权限,不能借助频繁弹窗反复申请与目前服务场景无关的权限;
在非服务所必需或者无合理场景下,不能自启动或者关联启动其他App;
用户拒绝提供非该类服务所必需的个人信息时,不能影响用户用该服务;
不能以改变服务水平、提高用体验、研发新品、定向推送信息、封控等为由,强制需要用户赞同超范围或者与服务场景无关的个人信息处置行为。
第八条App开发运营者应当履行以下个人信息保护义务:
切实提高商品和服务个人信息保护意识,将个人信息保护需要落实在商品设计、开发及运营环节;以显著、明确的方法按期向用户呈现App的个人信息采集用状况;
基于个人信息向用户提供产品或者服务的搜索结果的,应当保证结果公平合理,同时向该用户提供不针对其个人特点的选项,尊重和平等保护用户合法权益;
用第三方服务的,应当拟定管理规则,明示App第三方服务提供者的名字、功能、个人信息处置规则等内容;应与第三方服务提供者签订个人信息处置协议,明确双方有关权利义务,并对第三方服务提供者的个人信息处置活动和信息安全风险进行管理监督;App开发运营者未尽到监督义务的,应当依法与第三方服务提供者承担连带责任;
对于不影响其他服务功能的独立服务功能模块,应当向用户提供关闭或者退出该独立服务功能的选项,不能因用户采取关闭或者退出操作而拒绝提供其他服务;
加大前端和后端安全防护、访问控制、技术加密、安全审计等工作,主动监测发现个人信息泄露等违规行为,准时响应处置需要;
国家规定的其他个人信息保护义务。
第九条App分发平台应当履行以下个人信息保护义务:
登记并核验App开发运营者、提供者的真实身份、联系方法等信息;
在显著地方标明App运行所需获得的用户终端权限列表和个人信息采集的种类、内容、目的、范围、方法、作用与功效及处置规则等有关信息;
不能欺骗误导用户下载App;
对新上架App实行上架前个人信息处置活动规范性审核,对已上架App在本规定推行后1个月内完成补充审核,并依据审核结果进行更新或者清理;
打造App开发运营者信用积分、风险App名单、平台信息共享及签名验证等管理机制;
根据监督管理部门的需要,健全报送机制,准时配合监督管理部门拓展问题App上报、响应和处置工作;
设置便捷的投诉举报入口,准时处置公众对本平台所分发App的投诉举报;
国家规定的其他个人信息保护义务。
第十条App第三方服务提供者应当履行以下个人信息保护义务:
拟定并公开个人信息处置规则;
以明确、易懂、适当的方法向App开发运营者公开其个人信息处置目的、处置方法、处置种类、保存期限等内容,其个人信息处置活动应当与公开的个人信息处置规则维持一致;
未经用户赞同或者在无合理业务场景下,不能自行进行唤醒、调用、更新等行为;
采取足够的管理手段和技术方法保护个人信息,发现安全风险或者个人信息处置规则变更时应当准时进行更新并告知App开发运营者;
未经用户赞同,不能将采集到的用户个人信息共享出售;
国家规定的其他个人信息保护义务。
第十一条移动智能终端生产企业应当履行以下个人信息保护义务:
健全终端权限管控机制,准时弥补权限管理漏洞,持续优化和规范敏锐行为的记录能力,主动为用户权限申请和告知提供便利;
打造终端启动和关联启动App管理机制,为用户提供关闭自启动和关联启动的功能选项;
持续优化个人信息权限在用状况,尤其是录音、拍照、视频等敏锐权限在用状况的显著提示机制,帮助用户准时准确知道个人信息权限的用法状况;
打造重点App关注名单管理机制,健全移动智能终端App管理手段;
对预置App进行审核,持续监测预置App的个人信息安全风险;
在安装过程中以显著方法告知用户App申请的个人信息权限列表;
健全终端设施标识管理机制;
国家规定的其他个人信息保护义务。
第十二条互联网接入服务提供者应当履行以下个人信息保护义务:
在为App提供互联网接入服务时,登记并核验App开发运营者的真实身份、联系方法等信息;
根据监督管理部门的需要,依法对违规App采取停止接入等必要手段,阻止其继续违规侵害用户个人信息和其他合法权益;
国家规定的其他个人信息保护义务。
第十三条从事App个人信息处置活动的有关主体,应当加大职员教育培训,拟定个人信息保护内部管理规范,落实互联网安全等级保护和应对预案等规范需要;采取加密、去标识化等安全技术手段,预防未经授权的访问及个人信息泄露或者被窃取、篡改、删除等风险;需要认证用户真实身份信息的,应当通过国家统一级建造师设的公民身份认证基础设施所提供的网上公民身份核验认证服务进行。
第十四条任何组织和个人发现违反本规定行为的,可以向监督管理部门或者中国网络协会、中国互联网空间安全协会投诉举报,监督管理部门和有关组织应当准时受理并调查处置。
从事App个人信息处置活动的有关主体应当自觉同意社会监督。
第十五条依据公众投诉举报状况和监管中发现的问题,监督管理部门可以对存在问题和风险的App推行个人信息保护检查。
从事App个人信息处置活动的有关主体应当对监督管理部门依法推行的监督检查予以配合。
第十六条发现从事个人信息处置活动的有关主体违反本规定的,监督管理部门可依据各自职责采取以下处置手段:
责令整改与社会公告。对测试发现问题App的开发运营者、App分发平台、第三方服务提供者及有关主体提出整改,需要5个工作日内进行整改准时消除隐患;没有完成整改的,向社会公告。
下架处置。对社会公告5个工作日后,仍拒绝整改或者整改后仍存在问题的,可需要有关主体进行下架处置;对反复出现问题、采取技术对抗等违规情节紧急的,将对其进行直接下架;被下架的App在40个工作日内不能通过任何途径第三上架。
断开接入。下架后仍未按需要完成整改的,将对其采取断开接入等必要手段。
恢复上架。被下架的App完成整改,并健全技术和管理机制及作出企业自律承诺后,可向作出下架需要的监督管理部门申请恢复上架。
恢复接入。被断开互联网接入的App完成整改后,可向作出断开接入需要的监督管理部门申请恢复接入。
信用管理。对相应违规主体,可纳入信用管理,推行联合惩戒。
第十七条对整改反复出现问题的App及其开发运营者开发的有关App,监督管理部门可以指导组织App分发平台和移动智能终端生产企业在集成、分发、预置和安装等环节进行风险提示,情节紧急的采取禁入手段。
第十八条从事App个人信息处置活动侵害个人信息权益的,将根据有关规定予以处罚;构成犯罪的,公安机关依法追究刑事责任。
第十九条监督管理部门应当对履行职责中了解的用户个人信息予以保密,不能泄露、篡改或者毁损,不能供应或者非法向别人提供。
第二十条本规定自年月日起实行。
关于《互联网+应用程序个人信息保护管理暂行规定》的起草说明
1、起草背景
近年来,国内个人信息保护力度不断加强,但App个人信息采集用规则、目的、方法和范围仍存在不清楚的地方,部分环节仍存漏洞,个人信息保护面临很多问题和挑战。党中央、国务院高度看重App个人信息保护治理工作,党的十九届五中全会明确提出,维护人民根本利益,保障国家数据安全,加大个人信息保护。国家网络信息办公室、工业和信息化部、公安部、市场监管总局持续深入拓展App违法违规采集用个人信息治理工作,工业和信息化部连续两年拓展App侵害用户权益专项整治行动,社会反映热烈,获得阶段性明显效果。
考虑到App治理是一项具备长期性、复杂性的系统治理工作,有必要将近年来成熟的经验做法和管理手段转换为规范性规范本件。同时,为强化App个人信息保护管理的系统性、整体性和协同性,在总结专项治理工作经验基础上,起草形成了《互联网+应用程序个人信息保护管理暂行规定》,并向社会公开征求建议。
2、关于起草的主要状况和把握要素
《征求建议稿》在国家网络信息办公室的统筹指导下,由工业和信息化部会同公安部、市场监管总局联合拟定完成。起草过程中,就重点问题组织有关单位和专家学者进行了专题研究,并听取了百度、阿里巴巴、腾讯、字节跳动、美团、拼多多、京东、滴滴、新浪微博、快手、小米、华为、OPPO、vivo、360、捷兴信源、梆梆等主要网络企业、终端企业和安全企业的建议建议。
拟定过程中,重点把握“三个坚持”:一是坚持以人民为中心的进步思想。贯彻党的十九届五中全会需要,落实以人民为中心的进步思想,坚持人民利益至上,严格规范App个人信息处置活动,增强人民群众安全感和获得感。二是坚持问题导向。立足前期专项治理工作基础,聚焦用户投诉举报反映强烈的突出问题,将近两年来已经成熟的经验做法和管理手段规范化,为规范App个人信息处置活动提供靠谱规范保障。三是坚持落实主体责任。明确细化了App开发运营者、分发平台、第三方服务提供者等主体在App个人信息处置活动中应当履行的主体责任义务。
3、关于《征求建议稿》的主要内容
《征求建议稿》共计二十条,界定了适用范围和监管主体;确立了“知情赞同”“最小必要”两项要紧原则;细化了App开发运营者、分发平台、第三方服务提供者、终端生产企业、互联网接入服务提供者五类主体责任义务;提出了投诉举报、监督检查、处置手段、风险提示等四方面规范需要,主要内容如下:
一是界定适用范围和明确监管主体。在适用范围方面,《征求建议稿》明确了在中国境内拓展的App个人信息处置活动,应当遵守本规定。法律、行政法规对个人信息处置活动另有规定的,从其规定。在监管主体方面,《征求建议稿》明确了App个人信息保护的联合工作机制,国家网络信息办公室会同工业和信息化部、公安部、市场监管总局完善健全App个人信息保护监督管理联合工作机制,统筹推进政策标准规范等有关工作,各部门在各自职责范围内负责App个人信息保护和监督管理工作。
二是明确“知情赞同”“最小必要”两项要紧原则。《征求建议稿》“知情赞同”规定,从事App个人信息处置活动的,应当以明确易懂的语言告知用户个人信息处置规则,由用户在充分知情的首要条件下,作源于愿、明确的意思表示,并明确了“六项应当”需要。“最小必要”规定,从事App个人信息处置活动的,应当具备明确、适当的目的,并遵循最小必要原则,不能从事超出用户赞同范围或者与服务场景无关的个人信息处置活动,并提出了“六项不能”需要。
三是规范重点环节主体责任义务。《征求建议稿》对App治理的全链条、全主体、全步骤予以规范,规定了App开发运营者、App分发平台、App第三方服务提供者、移动智能终端生产企业和互联网接入服务提供者在App个人信息保护方面的具体义务。
四是细化违规处置步骤和具体手段。《征求建议稿》明确从事个人信息处置活动的有关主体违反需要的,依次根据公告整改、社会公告、下架处置、断开接入、信用管理步骤进行处置,并明确具体时间期限需要。特别提出,对未按需要完成整改或反复出现问题、采取技术对抗等违规情节紧急的App,将对其进行直接下架;且下架后的App在40个工作日内不能通过任何途径第三上架的管理需要。除此之外,监督管理部门将指导App分发平台和移动智能终端生产企业在集成、分发、预置和安装等环节进行风险提示,情节紧急的采取禁入手段。
除此之外,《征求建议稿》还对违反本规定行为的法律责任、保密义务等作了规定。
以上便是大律师网记者为你整理关于“2021互联网+应用程序个人信息保护管理暂行规定”法律常识,期望对你有所帮助,假如你有其他法律上的问题,欢迎致电咨询大律师网有关律师。