强调知情同意、最小必要,新规管住App“乱伸的手”

  • 时间:
  • 浏览:12

我们的记者崔爽

近年来,我国对个人信息的保护力度不断加大,但个人信息收集和使用移动互联网应用(App)的规则、目的、方法和范围仍不明确,部分环节仍存在漏洞。针对上述问题,4月26日,工业和信息化部发布了《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》(以下简称条例)。

根据起草说明,为保护个人信息权益,规范App个人信息处理活动,促进个人信息合理使用,工业和信息化部会同公安部、市场监管总局等部门,根据《中华人民共和国网络安全法》等法律法规,在国家网办的统筹指导下,起草了在中华人民共和国境内开展App个人信息处理活动应遵守的规定。

澄清“知情同意”和“最低限度必要性”这两个重要原则

该规定明确指出,App的个人信息处理活动应合法、正当进行,遵循诚信原则,不得通过欺骗或误导的方式处理个人信息,以有效保护用户的同意权、知情权、选择权和个人信息安全,并对个人信息处理活动负责。

明确规定从事App个人信息处理活动的人员应以清晰易懂的语言告知用户个人信息处理规则,用户在充分了解的前提下自愿做出明确的意向。具体而言,应通过非默认检查的方式获得用户的同意;不应强制用户授予打开多个系统的总括权限;如需向本App以外的第三方提供个人信息,应告知用户其身份信息、联系方式、处理目的、处理方式、个人信息类型,并取得用户同意;在处理种族、国籍、宗教信仰、个人生物学特征、医疗健康、财务账户、个人行踪等敏感个人信息时。应单独告知用户,敏感个人信息需征得用户同意后方可处理。

按照规定,从事App个人信息处理活动的人员,应当有明确合理的目的,遵循最小必要性原则,不得从事超出用户约定范围或者与服务场景无关的个人信息处理活动。具体来说,用户拒绝相关授权申请后,不得强行退出或关闭App;在非服务或不合理场景的情况下,其他App不得自行或联合启动;用户拒绝提供该类服务不需要的个人信息时,不影响用户使用该服务。

规范关键环节的主要责任和义务

这些规定规范了应用程序治理的整个链、整个主体和整个过程。根据要求,App开发运营商基于个人信息向用户提供商品或服务搜索结果的,应当保证结果的公平合理,同时向用户提供不针对其个人特点的选项,尊重并平等保护用户的合法权益。

使用第三方服务的App开发运营商应制定管理规则,明确标明App第三方服务提供商的名称、功能和个人信息处理规则;应与第三方服务商签订个人信息处理协议,明确双方的相关权利和义务,对第三方服务商的个人信息处理活动和信息安全风险进行管理和监督;App开发经营者未履行监管义务的,应当依法与第三方服务商承担连带责任。

根据规定要求,App分发平台需要在新推出App前对个人信息处理活动进行规范审核,在本规定实施后一个月内完成对已推出App的补充审核,并根据审核结果进行更新或清理。

移动智能

对于违规主体,条例指出,监督管理部门可以按照通知整改、公告、下架、断网、信用管理等程序依次处置,并明确具体时限要求。