一、如何理解文件的起草背景?
该文件是中央网信办、工信部、公安部、市场监管总局等四部门开展App违法违规收集使用个人信息治理工作,以及工信部连续两年开展App侵害用户权益专项整治行动的延续,是将近年来成熟的经验做法和管理措施转换为制度性规范文件。故文件是在国家互联网信息办公室负责统筹指导下,由工业和信息化部、公安部、市场监管总局等共同起草。
二、关于第三条,为什么涉及到多个主体?
在2019年首次开展的四部门专项治理工作中,最初针对的是App开发运营者,这是问题多发地带。随着治理工作的深入,应用商店、软件开发工具包(SDK)等环节的问题开始浮现,故2020年的专项治理工作将治理对象扩大到这些范围。结合专项治理工作的经验,此次文件的规范对象包括了App开发运营者、App分发平台、App第三方服务提供者、移动智能终端生产企业以及网络接入服务提供者。
三、关于第四条,为什么提出“App个人信息保护监督管理部门”?
从国家网信办、工信部、公安部、市场监管总局各自职责看,都涉及到个人信息保护相关职责,故文件要求,四部门建立健全App个人信息保护监督管理联合工作机制,统筹推进政策标准规范等相关工作,加强信息共享及对App个人信息保护工作的指导。在目前我国没有进一步规定个人信息保护和监督管理职责的情况下,四部门都是App个人信息保护监督管理部门,但各部门在各自职责范围内开展有关工作。
四、关于第五条,立法目的是什么?
该条的立法目的有三个,一是规定了App个人信息处理活动的基本义务;二是明确了用户同意权、知情权、选择权;三是设立了App个人信息保护能力评估认证制度。
五、关于第六条,为什么要对“用户同意”作出诸多详细规定?
《网络安全法》等法律法规规定,应当公开个人信息收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。但这一规定过于原则。现实中,企业有很多“打擦边球”行为。例如,隐私政策难以访问、诱导用户默认同意、要求用户一揽子授权等,该条针对这些行为明确了禁则,还针对敏感个人信息的处理作出了特殊规定。
六、关于第七条,如何理解该条的“最小必要”原则?
该条的“最小必要”原则来源于《网络安全法》等法规中的“必要”原则(另两个原则是“合法”和“正当”)。但一直以来,“必要”原则最难以客观评价。为此,文件针对现实中一些App运营者的“打擦边球”行为,对“最小必要”作了详细定义。例如,处理个人信息的数量、频次、精度等应当为服务所必需,个人信息的本地读取、写入、删除、修改等操作应当为服务所必需。此外,有些App运营者为了达到超范围收集信息的目的,还采取了一些强迫行为。例如,用户如不同意提供信息便退出服务、频繁弹窗反复申请无关权限(用户在不堪其扰后往往不得不同意),该条对这些行为也作了列举,提出了禁则。
七、关于第八条,如何理解App开发运营者的个人信息保护义务?
该条对App开发运营者提出了5项义务。一是国际上公认的“以设计实现隐私(privacy by design)”义务,指将个人信息保护要求落实在产品设计、开发及运营环节;二是不得实施“大数据杀熟”;三是与第三方约定权利义务,不得“甩锅”给第三方;四是允许用户有选择退出服务;五是主动监测发现个人信息泄露等违规行为。
八、关于第九条,如何理解App分发平台的个人信息保护义务?
该条对App分发平台提出了7项义务。一是登记并核验App开发运营者、提供者的真实身份、联系方式等信息,确保责任可追溯;二是不能再有“糊涂账”,必须在显著位置标明App运行所需获取的用户终端权限列表及个人信息收集规则,即用户在下载前便“心中有数”;三是不得欺骗误导用户下载App,防止违背用户意愿安装App;四是对App进行上架前审核;五是建立App开发运营者管理机制,例如对App开发运营者进行信用积分、发布风险App名单等;六是建立面向主管部门的问题App上报机制和响应、处置机制;七是设立投诉举报入口,及时处理公众举报。
九、关于第十条,如何理解App第三方服务提供者的个人信息保护义务?
很多时候,App第三方服务者对用户是“不可见”的,但其通过所提供的第三方服务,直接或间接地涉及到了对用户个人信息的处理。因此,该条对App第三方服务提供者提出了5项义务。其中,4项义务与一般的个人信息处理者是一样的,但针对内嵌到App中的第三方软件开发工具包(SDK)“偷偷摸摸”收集个人信息的行为,该条规定,未经用户同意或者在无合理业务场景下,SDK不得自行进行唤醒、调用、更新等行为。
十、关于第十一条,如何理解移动智能终端生产企业的个人信息保护义务?
该条对移动智能终端生产企业提出了7项义务。一是完善终端权限管控机制,使智能终端切实起到App“大管家”的作用;二是建立终端启动和关联启动App管理机制,防止App在用户不知情、不需要的情况下因终端启动而自行启动;三是对录音、拍照、视频等敏感权限在用状态进行显著提示,防止敏感权限“偷偷摸摸”干坏事;四是建立重点App关注名单管理机制,便于配合主管部门的监管与处置;五是对预置App进行审核,因为这些App是未按用户意志提前安装的,终端生产企业应当负责;六是在安装过程中以显著方式告知用户App申请的个人信息权限列表,进一步保障用户的知情权;七是完善终端设备标识管理机制,防止App任意获取终端设备标识(此类信息属于敏感信息)。
十一、关于第十二条,如何理解网络接入服务提供者的个人信息保护义务?
该条对网络接入服务提供者提出了2项义务。一是在为App提供网络接入服务时,登记并核验App开发运营者的真实身份、联系方式等信息;二是按照监督管理部门的要求,依法对违规App采取停止接入等必要措施。
十二、关于第十三条,如何理解各类App个人信息处理活动相关主体应当采取的管理和技术措施?
该条对各类App个人信息处理活动相关主体提出了人员教育培训等管理措施要求,以及加密、去标识化等技术措施要求。此外,该条还要求落实《网络安全法》提出的“实名制”规定。鉴于国家正在统一建设的公民身份认证基础设施(基于法定身份证件的网络空间信任体系),故此处要求统一调用该基础设施提供的网上公民身份核验认证服务。
十三、关于第十四条,如何理解投诉举报制度?
该条明确了两类举报受理机构。一类国家网信办、工信部、公安部、市场监管总局等四部门;第二类是行业组织,具体为中国互联网协会和中国网络空间安全协会,这两个行业组织的主管部门分别是工信部、国家网信办。
十四、关于第十五条,如何理解监督管理部门与从事App个人信息处理活动的相关主体的关系?
该条确立了检查制度,即监督管理部门可以对存在问题和风险的App实施个人信息保护检查,相关主体应当予以配合。当然,此类检查应当在国家网信部门统筹协调下进行,以避免多头管理、重复检查。
十五、关于第十六条、第十七条和第十八条,如何理解监督管理部门可采取的处罚措施?
第十六条明确了行政处罚手段,包括责令整改与社会公告、下架处置、断开接入,处罚依次加重。此外,还可实施信用管理,即将相应违规主体纳入信用管理,实施联合惩戒。对于“屡教屡犯”者,第十七条规定,可在App分发平台、移动智能终端针对相关App发布风险提示,情节严重的采取禁入措施。对于构成犯罪的,第十八条规定,由公安机关依法追究刑事责任。
十六、关于第十九条,如何理解监管部门的义务?
第十九条提出,监管部门应当对履行职责中知悉的用户个人信息予以保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。