收集个人信息遵从“最小必要”原则 App个人信息处理须先取得用户同意
2021-04-29 11:36:45 来源: 北京青年报

4月26日,工信部公开征求对《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》(以下简称《暂行规定》)的意见。其中明确,用户拒绝相关授权申请后,不得强制退出或者关闭App,不得提前申请超出其业务功能或者服务外的权限,不得利用频繁弹窗反复申请与当前服务场景无关的权限。

收集个人信息遵从“最小必要”原则

《暂行规定》中要求,从事App个人信息处理活动的,不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。处理个人信息的数量、频次、精度等应当为服务所必需,不得超范围处理个人信息;个人信息的本地读取、写入、删除、修改等操作应当为服务所必需,不得超出用户同意的操作范围;用户拒绝相关授权申请后,不得强制退出或者关闭App,不得提前申请超出其业务功能或者服务外的权限,不得利用频繁弹窗反复申请与当前服务场景无关的权限;在非服务所必需或者无合理场景下,不得自启动或者关联启动其他App;用户拒绝提供非该类服务所必需的个人信息时,不得影响用户使用该服务;不得以改善服务质量、提升使用体验、研发新产品、定向推送信息、风险控制等为由,强制要求用户同意超范围或者与服务场景无关的个人信息处理行为。

工信部解释,这是《暂行规定》遵从“最小必要”原则,从事App个人信息处理活动的,应当具有明确、合理的目的,并遵循最小必要原则,不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。

用户拒绝相关授权申请不得强制退出

《暂行规定》中规定,从事App个人信息处理活动的,应当以清晰易懂的语言告知用户个人信息处理规则,由用户在充分知情的前提下,作出自愿、明确的意思表示。

具体要求是,应当在App登录注册页面及App首次运行时,通过弹窗、文本链接及附件等简洁明显且易于访问的方式,向用户告知涵盖个人信息处理主体、处理目的、处理方式、处理类型、保存期限等内容的个人信息处理规则;应当采取非默认勾选的方式征得用户同意。

应当尊重用户选择权,在取得用户同意前或者用户明确表示拒绝后,不得处理个人信息;个人信息处理规则发生变更的,应当重新取得用户同意;应当在对应业务功能启动时,动态申请App所需的权限,不应强制要求用户一揽子同意打开多个系统权限,且未经用户同意,不得更改用户设置的权限状态;需要向本App以外的第三方提供个人信息的,应当向用户告知其身份信息、联系方式、处理目的、处理方式和个人信息的种类等事项,并取得用户同意。

违规并拒绝整改 App将被下架

工信部表示,App个人信息收集使用规则、目的、方式和范围仍存在不明确的地方,部分环节仍存在漏洞。《暂行规定》中明确,发现从事个人信息处理活动的相关主体违反本规定的,监督管理部门可依据各自职责采取以下处置措施:

一是责令整改与社会公告。对检测发现问题App的开发运营者、App分发平台、第三方服务提供者及相关主体提出整改,要求5个工作日内进行整改及时消除隐患;未完成整改的,向社会公告。

二是下架处置。对社会公告5个工作日后,仍拒绝整改或者整改后仍存在问题的,可要求相关主体进行下架处置;对反复出现问题、采取技术对抗等违规情节严重的,将对其进行直接下架;被下架的App在40个工作日内不得通过任何渠道再次上架。

三是断开接入。下架后仍未按要求完成整改的,将对其采取断开接入等必要措施。

四是恢复上架。被下架的App完成整改,并完善技术和管理机制及作出企业自律承诺后,可向作出下架要求的监督管理部门申请恢复上架。

内存

四部门明确App收集个人信息范围

3月22日,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》。其中明确了地图导航、网络约车、即时通信、网络购物等39类常见类型移动应用程序必要个人信息范围,要求其运营者不得因用户不同意提供非必要个人信息,而拒绝用户使用App基本功能服务。

该规定还要求,13类App无须个人信息即可使用基本功能服务,包括浏览器类、输入法类、安全管理类、应用商店类等。而网络游戏、网络社区、邮箱云盘等5类App必要个人信息仅包含用户的电话号码。仅网络支付类、邮件快件寄递类、交通票务类、网络借贷类等10类App被允许获取用户的身份或其他证件信息。本组文/本报记者 赵新培 统筹/余美英

责任编辑:zN_2938