移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)解读

2021年4月26日,工业和信息化部信息通信管理局在其官方网站发布《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》(以下简称“《规定(征求意见稿)》”)并公开征求意见,意见截止日期为2021年5月26日。

《规定(征求意见稿)》全文共二十条,界定了适用范围和监管主体;确立了“知情同意”“最小必要”两项重要原则;细化了移动互联网应用程序(以下简称“App”)开发运营者、分发平台、第三方服务提供者、移动智能终端生产企业、网络接入服务提供者五类主体责任义务;提出了投诉举报、监督检查、处置措施、风险提示这四方面规范要求。[1]

接下来,我们将对《规定(征求意见稿)》的十大要点进行解读,以期帮助大家快速掌握新规的主要内容。

要点一、明确《规定(征求意见稿)》的适用范围

《规定(征求意见稿)》第二条明确了适用范围,[2]具体来说包括地域范围、主体范围、行为范围和除外情形四个小的要点。

第一,从地域范围看,“中华人民共和国境内”,沿用了《网络安全法》第二条对地域范围的规定;[3]

第二,从主体范围看,“App”。《规定(征求意见稿)》并未对App进行定义,可供参考的依据为即将于2021年5月1日生效的《常见类型移动互联网应用程序必要个人信息范围规定》(国信办秘字〔2021〕14号)第二条第二款的规定,即“App包括移动智能终端预置、下载安装的应用软件,基于应用软件开放平台接口开发的、用户无需安装即可使用的小程序。”[4]

第三,从行为范围看,“App个人信息处理活动”。《规定(征求意见稿)》第三条对“App个人信息处理活动”进行了定义,即“移动智能终端中运行的应用程序收集、存储、使用、加工、传输个人信息的活动”,与《民法典》第一千零三十五条对“个人信息的处理”的定义[5]相近,基本涵盖了“App个人信息处理活动”全生命周期的重要环节;

第四,从除外情形看,“法律、行政法规对个人信息处理活动另有规定的,从其规定”,为应对潜在的法律适用矛盾留下了空间。据媒体报道,在《规定(征求意见稿)》发布的同日,《个人信息保护法(草案)》提交全国人大常委会进行二次审议,[6]具体未来可能修订哪些内容以及后续立法动态,值得高度关注。

要点二、首次系统地对App涉及的全主体提出具体的规范要求

《规定(征求意见稿)》第三条规定了“App开发运营者”、“App分发平台”、“App第三方服务提供者”、“移动智能终端生产企业”、“网络接入服务提供者”共计五类主体的定义,并在其第八至第十二条规定了五类主体的个人信息保护义务。

对于App开发运营者而言,该等规定意味着在监管部门、检察机关对其进行监督、监管之外,其还将面临App分发平台(常见的为应用商店)、移动智能终端生产企业(常见的为手机厂商)在个人信息保护方面的审核和监督。如个人信息方面违规,App除面临监管通报、处罚、检察院公益诉讼[7]外,还可能会被App分发平台不予上架/清理、移动智能终端生产企业重点关注/不予预置等。

要点三、明确App个人信息保护的监管主体和职责分工

《规定(征求意见稿)》第四条规定了App个人信息保护的监管主体和职责分工。具体来说,在国家网信办的统筹指导下,国家网信办、工信部、公安部、市场监管总局四部委联合进行App个人信息保护的监督管理,并在各自职责范围内开展个人信息保护和监督管理工作。

该规定与既往App个人信息保护方面的监管实践基本一致,有助于厘清职责分工,在四部委积极作为的同时降低多头、重复监管可能带来的负面影响,降低了企业分别就App个人信息保护面对不同监管部门的成本和困扰。

要点四、从严规范App对外提供个人信息

《规定(征求意见稿)》第六条第五项对App对外提供个人信息提出了严格的规范要求,即“需要向本App以外的第三方提供个人信息的,应当向用户告知其身份信息、联系方式、处理目的、处理方式和个人信息的种类等事项,并取得用户同意”。

为什么说从严规范App对外提供个人信息?我们先来看一下既有法律、规定、国家标准和指南中的相关规定。

序号

文件名

相关规定

1

《网络安全法》

第四十二条规定“……未经被收集者同意,不得向他人提供个人信息”

2

《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号)

“五、以下行为可被认定为‘未经同意向他人提供个人信息’”规定“1.既未经用户同意,也未做匿名化处理,App客户端直接向第三方提供个人信息,包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息;2.既未经用户同意,也未做匿名化处理,数据传输至App后台服务器后,向第三方提供其收集的个人信息;3.App接入第三方应用,未经用户同意,向第三方应用提供个人信息。”

3

《信息安全技术 个人信息安全规范》(GB/T 35273-2020,以下简称“《个人信息安全规范》”)

“5.5个人信息保护政策”规定“对个人信息控制者的要求包括:a) 应制定个人信息保护政策,内容应包括但不限于:……4) 对外共享、转让、公开披露个人信息的目的、涉及的个人信息类型、接收个人信息的第三方类型,以及各自的安全和法律责任……”

4

《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》(TC260-PG-20202A,以下简称“《App自评估指南》”)

“1.5 公开的收集使用规则是否完整”规定“……h) 如果存在个人信息对外共享、转让、公开披露的情况,说明以下内容:①对外共享、转让、公开披露个人信息的目的;②涉及的个人信息类型;③接收方类型或身份……”

看到此处,大家可能有的已经看出,在既有法律、规定、国家标准和指南中,均未明确要求App向用户告知第三方的身份信息、联系方式,最为接近的规定也仅是要求告知“接收方类型或身份”。从严规范App对外提供个人信息,也就不言而喻了。

当然,值得探讨的是,“告知第三方的身份信息、联系方式”的可行性如何。实践中,相当一部分App对外提供个人信息涉及的第三方主体较多,即使用第三方类型来列举,可能都需要列举好几种甚至十几种或者更多;而该等第三方主体也并非一成不变,有的变化频率甚至会比较高。这些因素,都加剧了告知第三方身份信息、联系方式的难度。对于该问题,有待征求意见的探讨和关注后续正式稿的规定。

要点五、明确要求处理敏感个人信息应单独告知并取得同意

《规定(征求意见稿)》第六条第六项规定“处理种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等敏感个人信息的,应当对用户进行单独告知,取得用户同意后,方可处理敏感个人信息”,明确要求处理敏感个人信息应单独告知并取得同意。具体理解该规定,需要重点理解“敏感个人信息”和“单独告知,取得用户同意”两个要点:

第一,“敏感个人信息”。该用语首次出现于《个人信息保护法(草案)》第二十九条第二款[8],本条沿用了该规定,对敏感个人信息的列举也保持完全一致。相较于《个人信息安全规范》第3.2条对于“个人敏感信息”的举例,“敏感个人信息”的举例中未列举“身份证件号码、通信记录和内容、财产信息、征信信息、住所信息、交易信息”,可能与《个人信息保护法(草案)》和本条规定对于处理敏感个人信息规定了更严格的规范要求有关。

第二,“单独告知取得用户同意”。《个人信息保护法(草案)》第三十条[9]规定了“单独同意”,即将于2021年5月1日正式生效的《网络交易监督管理办法》(国家市场监督管理总局令第37号)第十三条第二款[10]规定了“逐项同意”。本条规定的“单独告知,取得用户同意”与前述“逐项同意”、“单独同意”无根本性差异。从执行该规定的角度看,现有App通过《个人信息保护政策》告知敏感个人信息的处理规则,很难说明是进行了“单独告知”,可能需要在实际触发处理敏感个人信息之前,通过单独弹窗等方式进行告知并获得用户的同意。

要点六、首次从App开发运营者和第三方服务提供者双主体角度规范第三方服务

《规定(征求意见稿)》第八条第三项从App开发运营者的角度,对其使用第三方服务提出了规范要求;《规定(征求意见稿)》第十条直接对App第三方服务提供者提出了明确的规范要求。

第一,从App开发运营者的角度看,《规定(征求意见稿)》对其提出了四项要求并规定了法律责任。

首先,四项要求具体包括:(1)制定管理规则;(2)明示App第三方服务提供者的名称、功能、个人信息处理规则等内容;(3)与第三方服务提供者签订个人信息处理协议,明确双方相关权利义务;(4)对第三方服务提供者的个人信息处理活动和信息安全风险进行管理监督。

对于如何执行四项要求,《个人信息安全规范》第9.7条“第三方接入管理”、《App自评估指南》第2.1c) 条、《网络安全标准实践指南-移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》(TC260-PG-20205A,以下简称“《SDK安全指引》”)第5.1条“App使用SDK安全原则”和第5.2条“App提供者安全措施”和2021年4月19日公开征求意见的《信息安全技术 移动互联网应用程序(APP)SDK安全指南(征求意见稿)》第9.1-9.3条中对App提供者的要求均可以作为参考。

其次,法律责任为“App开发运营者未尽到监督义务的,应当依法与第三方服务提供者承担连带责任”。这就意味着,App开发运营者在使用第三方服务时,如果未切实、有效履行前述四项要求,在第三方服务提供者出现侵犯个人信息权益相关的法律责任时,App开发运营者无法“置身事外”,需要承担连带责任。

相较于《SDK安全指引》第3.1条“App 使用SDK的相关方和责任”对于责任承担的具体情形进行细化且仅在App开发运营者和SDK提供者为个人信息共同控制者情形下才需承担连带责任,本条直接将App开发运营者的法律责任规定为连带责任,责任有所加重。

第二,从App第三方服务提供者的角度看,《规定(征求意见稿)》对其提出了五项具体要求并规定了兜底要求。

从五项具体要求看,该等要求一定程度上将《SDK安全指引》第5.3条“SDK提供者安全措施”的规定进行了提炼。其中第五项要求“未经用户同意,不得将收集到的用户个人信息共享转让”可能会对第三方服务提供者的业务模式产生影响,现有的通过App《个人信息保护政策》告知使用第三方服务并征求同意、通过自有《个人信息保护政策》进行告知的方式,在征得个人信息共享转让的同意方面可能存在缺失。

从兜底要求看,本条规定了“国家规定的其他个人信息保护义务”,为适用其他法律法规对个人信息保护的要求留下了空间,该等法律法规包括但不限于《网络安全法》以及后续即将出台的《个人信息保护法》。

要点七、进一步细化对App分发平台在个人信息保护方面的规范要求

《规定(征求意见稿)》第九条明确了App分发平台应当履行的个人信息保护义务,具体来说包括七项具体要求和一项兜底要求。

为什么说进一步细化要求?对App分发平台在个人信息保护方面的规范要求,首次出现于《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号),其“三、整治任务”中“(四)应用分发平台责任落实不到位方面”对“应用分发平台上的APP信息明示不到位”和“应用分发平台管理责任落实不到位”进行了规定。[11]

我们近期参与了某应用商店组织的App数据合规培训,其在培训中也已明确传达了监管要求、该应用商店对App个人信息处理活动规范性审核的态度和重点。实践中,也已经出现了一部分App因无法通过应用商店的个人信息规范性审核而无法上架的实例,需要App开发运营者予以高度重视。

要点八、明确了App个人信息处理违规的处置流程和措施

《规定(征求意见稿)》第十六条、第十七条明确了App个人信息处理违规的处置流程和措施,该等措施实际上将近两年来已经成熟的管理措施进行了制度化。

具体来说,从事个人信息处理活动的有关主体违反要求的,依次按照通知整改、社会公告、下架处置、断开接入、信用管理流程进行处置,并明确具体时间期限要求。对未按要求完成整改或反复出现问题、采取技术对抗等违规情节严重的App,将对其进行直接下架;且下架后的App在40个工作日内不得通过任何渠道再次上架的管理要求。此外,监管部门将指导App分发平台和移动智能终端生产企业在集成、分发、预置和安装等环节进行风险提示,情节严重的采取禁入措施。[12]

建议App开发运营者严格按照《网络安全法》等法律、《App违法违规收集使用个人信息行为认定方法》等规定的要求,参照《规定(征求意见稿)》和《个人信息安全规范》《App自评估指南》等国家标准、指南的要求,开展App个人信息处理活动的合规安排。

需要强调的是,监管部门已经为App开发运营者留下了“知错就改”的空间。若收到工信部等监管部门的整改要求,最好在5个工作日内完成整改并申请复测,避免被公开通报;若被公开通报,最好在5个工作日内完成整改并申请复测,避免被下架,否则对业务、对企业品牌、声誉等都会造成明显的不利影响。

要点九、明确了App个人信息处理违规的法律责任

除处置流程和措施外,《规定(征求意见稿)》第十八条明确了App个人信息处理违规的法律责任,即“从事App个人信息处理活动侵害个人信息权益的,将依照有关规定予以处罚;构成犯罪的,公安机关依法追究刑事责任”。

该条规定并未直接明确处罚的具体内容,而是指向了有关规定,这里主要包括《网络安全法》第六十四条[13]、《消费者权益保护法》第五十六条[14]等规定,其对于罚款的金额、罚款对象都进行了明确。

要点十、其他新增的、需要注意的规定

除上述要点外,《规定(征求意见稿)》还提出了一些新增的、需要注意的规定,具体包括:

第一,《规定(征求意见稿)》第八条第一项对App开发运营者提出了“以显著、清晰的方式定期向用户呈现App的个人信息收集使用情况”的要求。该要求与《个人信息保护法(草案二审稿)》规定的超大互联网平台应“定期发布个人信息保护社会责任报告”[15]可能存在相似之处。当然,对于App个人信息收集使用情况具体的呈现形式、呈现内容,还有待监管部门的进一步明确和实践的进一步探索。

第二,《规定(征求意见稿)》第十三条对从事App个人信息处理活动的相关主体提出了五项规范要求,其中“需要认证用户真实身份信息的,应当通过国家统一建设的公民身份认证基础设施所提供的网上公民身份核验认证服务进行”系新增的要求。该新增要求,有助于清理用户真实身份信息认证的乱象,减少公民身份信息在认证时的违规操作和泄露风险。

结语

《规定(征求意见稿)》将近年来成熟的经验做法和管理措施转换为制度性规范文件,从全链条、全主体、全流程的和角度强化了对App个人信息保护的管理。而从App检测的最新进展看,截至2021年4月20日,工信部已累计完成29万款APP技术检测,对1862款违规APP提出整改要求,公开通报319款整改不到位APP,组织下架107款拒不整改的APP。[16]对于App开发运营者而言,切忌抱有任何侥幸心理,严格、妥善开展App个人信息合规方为“安身立命”之本。

[注]

[1] 信息通信管理局:《公开征求对<移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)>的意见》,载
最后访问时间2021年4月26日。

[2]《规定(征求意见稿)》第二条:在中华人民共和国境内开展的App个人信息处理活动,应当遵守本规定。法律、行政法规对个人信息处理活动另有规定的,从其规定。

[3]《网络安全法》第二条:在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。

[4]《常见类型移动互联网应用程序必要个人信息范围规定》(国信办秘字〔2021〕14号)第二条第二款规定:App包括移动智能终端预置、下载安装的应用软件,基于应用软件开放平台接口开发的、用户无需安装即可使用的小程序。

[5]《民法典》第一千零三十五条:……个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。

[6] 新华社:《权威快报丨不让你的数据在超级平台前“裸奔”!我国立法强化超大互联网平台个人信息保护义务》,载
最后访问时间2021年4月26日。

[7] 最高人民检察院:《全文|最高检发布检察机关个人信息保护公益诉讼典型案例》,载
最后访问时间2021年4月26日。

[8]《个人信息保护法(草案)》第二十九条第二款规定:敏感个人信息是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。

[9]《个人信息保护法(草案)》第三十条规定:基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。

[10]《网络交易监督管理办法》(国家市场监督管理总局令第37号)第十三条第二款规定:……收集、使用个人生物特征、医疗健康、金融账户、个人行踪等敏感信息的,应当逐项取得消费者同意。

[11]《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号)“三、整治任务”规定:……(四)应用分发平台责任落实不到位方面。9.应用分发平台上的APP信息明示不到位。重点整治应用分发平台上未明示APP运行所需权限列表及用途,未明示APP收集、使用用户个人信息的内容、目的、方式和范围等行为。10.应用分发平台管理责任落实不到位。重点整治APP上架审核不严格、违法违规软件处理不及时和APP提供者、运营者、开发者身份信息不真实、联系方式虚假失效等问题。

[12] 参见前引1。

[13]《网络安全法》第六十四条规定:网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。

[14]《消费者权益保护法》第五十六条规定:经营者有下列情形之一,除承担相应的民事责任外,其他有关法律、法规对处罚机关和处罚方式有规定的,依照法律、法规的规定执行;法律、法规未作规定的,由工商行政管理部门或者其他有关行政部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款,没有违法所得的,处以五十万元以下的罚款;情节严重的,责令停业整顿、吊销营业执照:……九)侵害消费者人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的……经营者有前款规定情形的,除依照法律、法规规定予以处罚外,处罚机关应当记入信用档案,向社会公布。