強調知情同意、最小必要，新規管住App“亂伸的手”

　　強調知情同意、最小必要，新規管住App“亂伸的手”

　　◎本報記者 崔 爽

　　近年來我國個人資訊保護力度不斷加大，但移動網際網路應用程式（App）個人資訊收集使用規則、目的、方式和範圍仍存在不明確的地方，部分環節仍存漏洞。針對上述問題，4月26日，工信部發佈《移動網際網路應用程式個人資訊保護管理暫行規定（徵求意見稿）》（以下簡稱規定）。

　　根據起草說明，為保護個人資訊權益，規範App個人資訊處理活動，促進個人資訊合理利用，依據《中華人民共和國網路安全法》等法律法規，在國家網信辦的統籌指導下，工信部會同公安部、市場監管總局起草了規定，在中華人民共和國境內開展的App個人資訊處理活動應當遵守該規定。

　　明確“知情同意”“最小必要”兩項重要原則

　　規定明確指出，App個人資訊處理活動應當採用合法、正當的方式，遵循誠信原則，不得通過欺騙、誤導等方式處理個人資訊，切實保障用戶同意權、知情權、選擇權和個人資訊安全，對個人資訊處理活動負責。

　　規定明確，從事App個人資訊處理活動的，應當以清晰易懂的語言告知用戶個人資訊處理規則，由用戶在充分知情的前提下，作出自願、明確的意思表示。具體來看，應當採取非默認勾選的方式徵得用戶同意；不應強制要求用戶所有同意打開多個系統許可權；需要向本App以外的第三方提供個人資訊的,應當向用戶告知其身份資訊、聯繫方式、處理目的、處理方式和個人資訊的種類等事項,並取得用戶同意；處理種族、民族、宗教信仰、個人生物特徵、醫療健康、金融賬戶、個人行蹤等敏感個人資訊的，應當對用戶進行單獨告知，取得用戶同意後，方可處理敏感個人資訊。

　　規定要求，從事App個人資訊處理活動的，應當具有明確、合理的目的，並遵循最小必要原則，不得從事超出用戶同意範圍或者與服務場景無關的個人資訊處理活動。具體來看，用戶拒絕相關授權申請後，不得強制退出或者關閉App；在非服務所必需或者無合理場景下，不得自啟動或者關聯啟動其他App；用戶拒絕提供非該類服務所必需的個人資訊時，不得影響用戶使用該服務。

　　規範關鍵環節主體責任和義務

　　規定對App治理的全鏈條、全主體、全流程予以規範。根據要求，App開發運營者基於個人資訊向用戶提供商品或者服務的搜索結果的，應當保證結果公平合理，同時向該用戶提供不針對其個人特徵的選項，尊重和平等保護用戶合法權益。

　　使用第三方服務的App開發運營者，應當制定管理規則，明示App第三方服務提供者的名稱、功能、個人資訊處理規則等內容；應與第三方服務提供者簽訂個人資訊處理協議，明確雙方相關權利義務，並對第三方服務提供者的個人資訊處理活動和資訊安全風險進行管理監督；App開發運營者未盡到監督義務的，應當依法與第三方服務提供者承擔連帶責任。

　　按照規定要求，App分發平臺需要對新上架App實行上架前個人資訊處理活動規範性審核，對已上架App在本規定實施後1個月內完成補充審核，並根據審核結果進行更新或者清理。

　　移動智慧終端生產企業要建立終端啟動和關聯啟動App管理機制，為用戶提供關閉自啟動和關聯啟動的功能選項；持續優化個人資訊許可權在用狀態，特別是錄音、拍照、視頻等敏感許可權在用狀態的顯著提示機制，幫助用戶及時準確了解個人資訊許可權的使用狀態。

　　規定要求，從事App個人資訊處理活動的相關主體，應當採取加密、去標識化等安全技術措施，防止未經授權的訪問及個人資訊洩露或者被竊取、篡改、刪除等風險。

　　對於違反規定的主體，規定指出，監督管理部門可依次按照通知整改、社會公告、下架處置、斷開接入、信用管理流程進行處置，並明確具體時間期限要求。