2021.04.27 董潇 郭静荷
在国家互联网信息办公室的统筹指导下,工业和信息化部会同公安部、国家市场监督管理总局(以下合称“四部委”)起草了《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》(以下简称“《征求意见稿》”),于2021年4月26日发布,并公开征求意见直至2021年5月26日。
2019年3月3日,在宣布开展APP违法违规收集使用个人信息专项治理后,为推进APP运营者对其收集与使用个人信息的情况进行自查自纠,受四部委委托的APP专项治理工作组发布《APP违法违规收集使用个人信息自评估指南》。此后,四部委及App专项治理工作组在各自权限范围内开展了多次App执法活动,并发布了《APP违法违规收集使用个人信息行为认定方法》等一系列实践指南及规范性文件。
《征求意见稿》旨在将近两年来已经成熟的经验做法和管理措施制度化,为规范App个人信息处理活动提供可靠制度保障。在此前相关文件的基础上,《征求意见稿》值得重点关注的内容总结如下。
1 、适用范围有待清晰
《征求意见稿》明确了“在中华人民共和国境内开展的App个人信息处理活动,应当遵守本规定。法律、行政法规对个人信息处理活动另有规定的,从其规定。《征求意见稿》未明确将小程序纳入到监管范围,但正式出台时、及出台后小程序是否会参照监管仍待明确。另外,对于如何理解“在中华人民共和国境内开展App个人信息处理活动”,特别是对于《个人信息保护法》(草案)一定范围的域外效力、以及在目前监管实践之中的解释,如何与该《征求意见稿》规定适用范围相协调仍待明确。
2 、规范主体范围扩大
相比以往规定主要集中规范App开发运营者,《征求意见稿》规范扩大至App分发和运营各环节的五类关键主体,即进一步涵盖了App分发平台、App第三方服务提供者、移动智能终端生产企业和网络服务提供者,并分别规定了上述主体的义务和责任。
3、 明确联合监管机制
《征求意见稿》明确了四部委协同管理App个人信息保护监督管理联合工作机制,统筹推进政策标准规范等相关工作,各部门在各自职责范围内负责App个人信息保护和监督管理工作。这基本和《个人信息保护法》(草案)的监管方式相一致。
4 、重申“知情同意”的基本原则
《征求意见稿》重申了App信息处理的“告知同意”原则以及六项“应当”。其中值得关注的是,规定了处理敏感个人信息单独告知及同意的要求,也呼应了此前发布的《网上交易监督管理规定》之中的要求。(第六条)
5 、首次解释“最小必要”原则的具体维度
针对市场之中关心、实践之中合规的难点,《征求意见稿》首次对“最小必要”原则进行了解释,主要从如下六个方面重申了禁止违反最小必要原则的要求:(1)处理个人信息的数量、频次、精度的必要性;(2)个人信息的本地读取、写入、删除、修改的必要性;(3)用户拒绝相关授权申请后的行为;(4)非服务场景下自启动或者关联启动其他App;(5)用户拒绝非必要个人信息的收集后的行为;(6)以改善服务质量、提升使用体验、研发新产品、定向推送信息、风险控制等为由收集非必要个人信息。(第七条)
6 、设置五类主体的法律义务
App开发运营者
《征求意见稿》重申了以往规定中对App开发运营者的规定,例如以显著、清晰的方式定期向用户呈现App的个人信息收集使用情况;向用户提供关闭或者退出不影响其他服务功能的独立服务功能模块的选项,《征求意见稿》同时要求将个人信息保护要求落实在产品设计、开发及运营环节。
值得关注的是,对于第三方服务,《征求意见稿》除了重申了要求制定管理规则,明示App第三方服务提供者的名称、功能、个人信息处理规则等内容,也要求与第三方服务提供者签订个人信息处理协议,对第三方服务提供者进行管理监督。特别是,强调App开发运营者未尽到监督义务的,与第三方服务提供者承担连带责任。(第八条)
App分发平台
《征求意见稿》首次明确了App分发平台个人信息保护义务,主要包括:
(1)在显著位置标明App运行所需的用户终端权限和个人信息收集相关信息;
(2)对新上架App实行上架前个人信息处理活动规范性审核,并进行APP更新或者清理;
(3)建立App开发运营者信用积分、风险App名单、平台信息共享及签名验证等管理机制;
(4)完善信息报送机制,及时配合监督管理部门开展问题App上报、响应和处置工作;
(5)设置便捷的投诉举报入口,及时处理公众对本平台所分发App的投诉举报。(第九条)
App第三方服务提供者
App第三方服务指相对于用户和App以外的,为App提供SDK、封装、加固、编译环境等第三方服务的主体,其可能涵盖了APP开发、运行全流程的服务提供者。针对App第三方服务提供者值得关注的要求包括:
(1)制定并公开个人信息处理规则;向App开发运营者公开其个人信息处理目的、处理方式、处理类型、保存期限等内容;
(2)未经用户同意或者在无合理业务场景下不得自行进行唤醒、调用、更新;
(3)发现安全风险或者个人信息处理规则变更时应当及时进行更新并告知App开发运营者。(第十条)
这是法规之中首次直接对第三方服务提供者进行相应的规范要求,在实践之中有重要的指导意义。
移动智能终端生产企业
《征求意见稿》在《移动智能终端应用软件预置和分发管理暂行规定》规定的基础上,进一步加强了对移动智能终端企业App管理的要求,值得注意的包括:
(1)完善终端权限管控机制,及时弥补权限管理漏洞,持续优化和规范敏感行为的记录能力,主动为用户权限申请和告知提供便利;
(2)建立终端启动和关联启动App管理机制,为用户提供关闭自启动和关联启动的功能选项;
(3)持续优化个人信息权限在用状态,特别是录音、拍照、视频等敏感权限在用状态的显著提示机制,帮助用户及时准确了解个人信息权限的使用状态;
(4)建立重点App关注名单管理机制,完善移动智能终端App管理措施;
(5)对预置App进行审核,持续监测预置App的个人信息安全风险;
(6)在安装过程中以显著方式告知用户App申请的个人信息权限列表;
(7)完善终端设备标识管理机制。(第十一条)
网络接入服务提供者
《征求意见稿》规定了网络接入服务提供者在App个人信息管理流程之中的义务,包括登记并核验App开发运营者的真实身份、联系方式等信息;按照监督管理部门的要求,依法对违规App采取停止接入等必要措施。(第十二条)
另外,《征求意见稿》规定,App个人信息处理活动主体需要认证用户真实身份信息的,应当通过国家统一建设的公民身份认证基础设施所提供的网上公民身份核验认证服务进行。(第十三条)
7、 细化违规处置流程和措施
《征求意见稿》规定,发现从事个人信息处理活动的有关主体违反要求的,监督管理部门可依据各自职责采取处置措施,包括责令整改、社会公告、下架处置、断开接入、信用管理流程,并明确具体时间期限要求,即检测发现问题相关主体应在5个工作日内整改;未完成整改的,向社会公告;社会公告5个工作日后仍拒绝整改或者整改后仍存在问题的可进行下架处置;反复出现问题、采取技术对抗等违规情节严重的直接下架;被下架的App在40个工作日内不得通过任何渠道再次上架。(第十六条)
其中,关于责令整改、社会公告和信用管理,可以适用于所有五类相关主体。而下架处置、断开接入似乎更适用于App开发运营者,理论上也有可能适用于分发平台。
另外,对整改反复出现问题的App及其开发运营者开发的相关App,监督管理部门可以指导组织App分发平台和移动智能终端生产企业在集成、分发、预置和安装等环节进行风险提示,情节严重的采取禁入措施。(第十七条)
8 、我们的观察
《征求意见稿》总结近年来App专项治理工作成熟经验和管理措施(如告知同意及最小必要原则的六个应当及六个不得),并将其转换为系统性的制度性规范文件。《征求意见稿》为App开发运营者提出了通过设计的隐私、明示App第三方服务具体信息、未尽到监管责任时对第三方APP服务承担连带责任等更高的个人信息保护要求。同时,《征求意见稿》首次从个人信息保护角度在集成、分发、预置和安装等环节对App分发者、硬件生产商提出了对App的具体管理要求,并对App第三方服务提供者、网络接入服务提供者提出特定要求。
随着《个人信息保护法》的正式出台及《征求意见稿》的发布,我们预计未来App专项治理工作不但深度不断加强,且广度也将从App、小程序开发运营者扩展到App服务各个环节的主体。建议行业相关的主体对照《征求意见稿》考虑自身合规情况并提早进行合规的准备部署。