《APP個人信息保護管理暫行規定》解讀:搶跑個保法二審

發布時間:2021-04-27

文 | 黃春林 劉月瑩 匯業律師事務所

2021年4月26日,工信部發布《移動互聯網應用程序個人信息保護管理暫行規定》(下稱“APP個保新規”)公開征求意見。在此之前,工信部先后發布了《電信和互聯網用戶個人信息保護規定》、《移動智能終端應用軟件預置和分發管理暫行規定》、《關于開展縱深推進APP侵害用戶權益專項整治行動的通知》等規定,牽頭制定了《App用戶權益保護測評規范》、《APP收集使用用戶個人信息最小必要評估規范》等標準文件,并啟動了十余批次APP個人信息保護專項整治行動,通報、下架了一批違法違規APP,引起了市場主體及社會各界廣泛關注。

結合近期立法趨勢、執法實踐,參考類似項目經驗,匯業律師事務所黃春林律師團隊簡要解讀APP個保新規如下,僅供參考。

一、明確了監管及執法機制

為了增強立法協調性,確保執法口徑一致性,減輕市場主體在法規適用和理解上的困惑,APP個保新規明確,建立健全由網信辦、工信部、公安部及市監總局四部門組成的APP個人信息保護監督管理聯合工作機制,統籌推進政策標準規范等相關工作,避免各部門多頭監管、各自為政的局面。這一監管機制也將在即將公布的《個人信息保護法(二審稿)》修訂內容中進一步明確。

此外,APP個保新規在總結工信部前期監管執法經驗的基礎上,將專項整治行動中確立的監管措施上升到立法層面,即“支撐機構檢測——私下責令整改(5個工作日)——向社會公告(5個工作日)——下架處置——斷開接入——禁入措施”。

二、重申并細化了個人信息保護基本原則

除了合法、正當及誠實信用原則外,APP個保新規再次重申并細化了個人信息保護的兩項基本原則:“告知-同意”和“最小-必要”原則。

1. 關于“告知-同意”原則

首先,關于告知,APP個保新規明確必須滿足“清晰易懂”、“充分知情”的要求,并從法律文件層面細化了告知的具體合規要求,包括但不限于告知的內容、形式、時點、頻率等,以及場景變更、對外提供、敏感個人信息的特殊告知要求。

其次,關于同意,APP個保新規明確必須滿足“意思表達”、“主動作為”等要求。

2. 關于“最小-必要”原則

APP個保新規明吸收了《個人信息保護法(二審稿)》修訂內容的基礎上,明確APP處理個人信息應當“具有明確、合理的目的”,并遵循最小必要原則。具體的,包括但不限于如下維度的“最小-必要”:范圍、頻次、顆粒度、權限、場景等。

此外,APP個保新規還借鑒了《常見類型移動互聯網應用程序必要個人信息范圍規定》有關內容,明確規定用戶拒絕提供非必要個人信息時,不得拒絕為用戶提供該服務。

三、明確了APP生命周期各主體的合規責任

APP個保新規在借鑒《移動智能終端應用軟件預置和分發管理暫行規定》、《關于開展縱深推進APP侵害用戶權益專項整治行動的通知》等規定的基礎上,明確了移動智能終端生產企業、網絡接入服務提供者及APP分發平臺的合規責任。例如,要求APP分發平臺履行身份核驗、隱私透明度、合規審核、報送及投訴處理等合規義務。

其次,APP個保新規首次從立法層面全面、詳細明確了APP開發運營者的合規責任,具體包括但不限于:

(1)應當加強人員教育培訓;

(2)應制定個人信息保護管理制度及應急預案;

(3)應落實網絡安全等級保護要求;

(4)依法制定并公示個人信息處理規則,并遵從告知-同意、最小必要等基本原則;

(5)使用第三方服務的,應當制定管理規則,對第三方進行管理監督,簽訂處理協議并明確權利義務,依法披露信息;

(6)將個人信息保護要求落實在產品設計、開發及運營環節,以顯著、清晰的方式定期向用戶呈現APP的個人信息收集使用情況;

(7)加強前端和后端安全防護、訪問控制、技術加密、去標識化、安全審計等工作,防止未經授權的訪問及個人信息泄露或者被竊取、篡改、刪除等風險,主動監測發現個人信息泄露等違規行為,并及時響應處置要求;

(8)基于個人信息向用戶提供商品或者服務的搜索結果的,或者向用戶提供獨立功能的業務模塊,應當保證用戶的知情權、選擇權等合法權益;

(9)依法并根據平臺規則向應用商店、分發平臺等履行身份核驗、隱私透明度等責任;

(10)需要認證用戶真實身份信息的,應當通過國家統一建設的公民身份認證基礎設施所提供的網上公民身份核驗認證服務進行;等等。

最后,APP個保新規還規定了APP第三方服務提供者應當履行的合規責任,包括但不限于公示個人信息處理規則、遵從告知-同意和最小必要等基本原則等等。

四、關于APP個保新規的適用范圍

地域上,APP個保新規適用于在中國境內處理個人信息的APP,具體包括如下幾個維度:開發運營主體是否在境內,是否在境內登記或備案,服務器是否在境內,以及分發平臺是否在境內,等等。根據之前工信部監管活動,在App Store中國區上架的APP,也適用本新規。

主體上,包括監管部門,以及APP開發運營者、APP分發平臺、APP第三方服務提供者、移動智能終端生產企業、網絡接入服務提供者等。

客體上,參照近期對標立法和工信部執法活動,移動互聯網應用程序應當包括APP、小程序(不僅微信小程序)及SDK等。

整體上來看,《移動互聯網應用程序個人信息保護管理暫行規定》的部分內容與即將發布的《個人信息保護法(二審稿)》修訂內容不謀而合,被認為是《個人信息保護法(二審稿)》發布前夜的搶跑之作。

返回列表