強(qiáng)調(diào)知情同意、最小必要，新規(guī)管住App“亂伸的手”

　　強(qiáng)調(diào)知情同意、最小必要，新規(guī)管住App“亂伸的手”

　　◎本報(bào)記者 崔 爽

　　近年來我國(guó)個(gè)人信息保護(hù)力度不斷加大，但移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（App）個(gè)人信息收集使用規(guī)則、目的、方式和范圍仍存在不明確的地方，部分環(huán)節(jié)仍存漏洞。針對(duì)上述問題，4月26日，工信部發(fā)布《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序個(gè)人信息保護(hù)管理暫行規(guī)定（征求意見稿）》（以下簡(jiǎn)稱規(guī)定）。

　　根據(jù)起草說明，為保護(hù)個(gè)人信息權(quán)益，規(guī)范App個(gè)人信息處理活動(dòng)，促進(jìn)個(gè)人信息合理利用，依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》等法律法規(guī)，在國(guó)家網(wǎng)信辦的統(tǒng)籌指導(dǎo)下，工信部會(huì)同公安部、市場(chǎng)監(jiān)管總局起草了規(guī)定，在中華人民共和國(guó)境內(nèi)開展的App個(gè)人信息處理活動(dòng)應(yīng)當(dāng)遵守該規(guī)定。

　　明確“知情同意”“最小必要”兩項(xiàng)重要原則

　　規(guī)定明確指出，App個(gè)人信息處理活動(dòng)應(yīng)當(dāng)采用合法、正當(dāng)?shù)姆绞�，遵循誠(chéng)信原則，不得通過欺騙、誤導(dǎo)等方式處理個(gè)人信息，切實(shí)保障用戶同意權(quán)、知情權(quán)、選擇權(quán)和個(gè)人信息安全，對(duì)個(gè)人信息處理活動(dòng)負(fù)責(zé)。

　　規(guī)定明確，從事App個(gè)人信息處理活動(dòng)的，應(yīng)當(dāng)以清晰易懂的語言告知用戶個(gè)人信息處理規(guī)則，由用戶在充分知情的前提下，作出自愿、明確的意思表示。具體來看，應(yīng)當(dāng)采取非默認(rèn)勾選的方式征得用戶同意；不應(yīng)強(qiáng)制要求用戶一攬子同意打開多個(gè)系統(tǒng)權(quán)限；需要向本App以外的第三方提供個(gè)人信息的,應(yīng)當(dāng)向用戶告知其身份信息、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類等事項(xiàng),并取得用戶同意；處理種族、民族、宗教信仰、個(gè)人生物特征、醫(yī)療健康、金融賬戶、個(gè)人行蹤等敏感個(gè)人信息的，應(yīng)當(dāng)對(duì)用戶進(jìn)行單獨(dú)告知，取得用戶同意后，方可處理敏感個(gè)人信息。

　　規(guī)定要求，從事App個(gè)人信息處理活動(dòng)的，應(yīng)當(dāng)具有明確、合理的目的，并遵循最小必要原則，不得從事超出用戶同意范圍或者與服務(wù)場(chǎng)景無關(guān)的個(gè)人信息處理活動(dòng)。具體來看，用戶拒絕相關(guān)授權(quán)申請(qǐng)后，不得強(qiáng)制退出或者關(guān)閉App；在非服務(wù)所必需或者無合理場(chǎng)景下，不得自啟動(dòng)或者關(guān)聯(lián)啟動(dòng)其他App；用戶拒絕提供非該類服務(wù)所必需的個(gè)人信息時(shí)，不得影響用戶使用該服務(wù)。

　　規(guī)范關(guān)鍵環(huán)節(jié)主體責(zé)任和義務(wù)

　　規(guī)定對(duì)App治理的全鏈條、全主體、全流程予以規(guī)范。根據(jù)要求，App開發(fā)運(yùn)營(yíng)者基于個(gè)人信息向用戶提供商品或者服務(wù)的搜索結(jié)果的，應(yīng)當(dāng)保證結(jié)果公平合理，同時(shí)向該用戶提供不針對(duì)其個(gè)人特征的選項(xiàng)，尊重和平等保護(hù)用戶合法權(quán)益。

　　使用第三方服務(wù)的App開發(fā)運(yùn)營(yíng)者，應(yīng)當(dāng)制定管理規(guī)則，明示App第三方服務(wù)提供者的名稱、功能、個(gè)人信息處理規(guī)則等內(nèi)容；應(yīng)與第三方服務(wù)提供者簽訂個(gè)人信息處理協(xié)議，明確雙方相關(guān)權(quán)利義務(wù)，并對(duì)第三方服務(wù)提供者的個(gè)人信息處理活動(dòng)和信息安全風(fēng)險(xiǎn)進(jìn)行管理監(jiān)督；App開發(fā)運(yùn)營(yíng)者未盡到監(jiān)督義務(wù)的，應(yīng)當(dāng)依法與第三方服務(wù)提供者承擔(dān)連帶責(zé)任。

　　按照規(guī)定要求，App分發(fā)平臺(tái)需要對(duì)新上架App實(shí)行上架前個(gè)人信息處理活動(dòng)規(guī)范性審核，對(duì)已上架App在本規(guī)定實(shí)施后1個(gè)月內(nèi)完成補(bǔ)充審核，并根據(jù)審核結(jié)果進(jìn)行更新或者清理。

　　移動(dòng)智能終端生產(chǎn)企業(yè)要建立終端啟動(dòng)和關(guān)聯(lián)啟動(dòng)App管理機(jī)制，為用戶提供關(guān)閉自啟動(dòng)和關(guān)聯(lián)啟動(dòng)的功能選項(xiàng)；持續(xù)優(yōu)化個(gè)人信息權(quán)限在用狀態(tài)，特別是錄音、拍照、視頻等敏感權(quán)限在用狀態(tài)的顯著提示機(jī)制，幫助用戶及時(shí)準(zhǔn)確了解個(gè)人信息權(quán)限的使用狀態(tài)。

　　規(guī)定要求，從事App個(gè)人信息處理活動(dòng)的相關(guān)主體，應(yīng)當(dāng)采取加密、去標(biāo)識(shí)化等安全技術(shù)措施，防止未經(jīng)授權(quán)的訪問及個(gè)人信息泄露或者被竊取、篡改、刪除等風(fēng)險(xiǎn)。

　　對(duì)于違反規(guī)定的主體，規(guī)定指出，監(jiān)督管理部門可依次按照通知整改、社會(huì)公告、下架處置、斷開接入、信用管理流程進(jìn)行處置，并明確具體時(shí)間期限要求。