中新網(wǎng)4月26日消息，據(jù)工信部網(wǎng)站當(dāng)日消息，工信部會同公安部、市場監(jiān)管總局起草了《移動互聯(lián)網(wǎng)應(yīng)用程序個人信息保護管理暫行規(guī)定(征求意見稿)》，現(xiàn)向社會公開征求意見。其中提出，對未按要求完成整改或反復(fù)出現(xiàn)問題、采取技術(shù)對抗等違規(guī)情節(jié)嚴(yán)重的App，將對其進行直接下架；且下架后的App在40個工作日內(nèi)不得通過任何渠道再次上架。

據(jù)介紹，近年來，我國個人信息保護力度不斷加大，但App個人信息收集使用規(guī)則、目的、方式和范圍仍存在不明確的地方，部分環(huán)節(jié)仍存漏洞，個人信息保護面臨諸多問題和挑戰(zhàn)。

考慮到App治理是一項具有長期性、復(fù)雜性的系統(tǒng)治理工作，有必要將近年來成熟的經(jīng)驗做法和管理措施轉(zhuǎn)換為制度性規(guī)范文件。同時，為強化App個人信息保護管理的系統(tǒng)性、整體性和協(xié)同性，在總結(jié)專項治理工作經(jīng)驗基礎(chǔ)上，起草形成了《移動互聯(lián)網(wǎng)應(yīng)用程序個人信息保護管理暫行規(guī)定(征求意見稿)》)。

《征求意見稿》共計二十條，界定了適用范圍和監(jiān)管主體；確立了“知情同意”“最小必要”兩項重要原則；細(xì)化了App開發(fā)運營者、分發(fā)平臺、第三方服務(wù)提供者、終端生產(chǎn)企業(yè)、網(wǎng)絡(luò)接入服務(wù)提供者五類主體責(zé)任義務(wù)；提出了投訴舉報、監(jiān)督檢查、處置措施、風(fēng)險提示等四方面規(guī)范要求，主要內(nèi)容如下：

一是界定適用范圍和明確監(jiān)管主體。在適用范圍方面，《征求意見稿》明確了在中華人民共和國境內(nèi)開展的App個人信息處理活動，應(yīng)當(dāng)遵守本規(guī)定。法律、行政法規(guī)對個人信息處理活動另有規(guī)定的，從其規(guī)定。在監(jiān)管主體方面，《征求意見稿》明確了App個人信息保護的聯(lián)合工作機制，國家互聯(lián)網(wǎng)信息辦公室會同工業(yè)和信息化部、公安部、市場監(jiān)管總局健全完善App個人信息保護監(jiān)督管理聯(lián)合工作機制，統(tǒng)籌推進政策標(biāo)準(zhǔn)規(guī)范等相關(guān)工作，各部門在各自職責(zé)范圍內(nèi)負(fù)責(zé)App個人信息保護和監(jiān)督管理工作。

二是明確“知情同意”“最小必要”兩項重要原則。《征求意見稿》“知情同意”規(guī)定，從事App個人信息處理活動的，應(yīng)當(dāng)以清晰易懂的語言告知用戶個人信息處理規(guī)則，由用戶在充分知情的前提下，作出自愿、明確的意思表示，并明確了“六項應(yīng)當(dāng)”要求。“最小必要”規(guī)定，從事App個人信息處理活動的，應(yīng)當(dāng)具有明確、合理的目的，并遵循最小必要原則，不得從事超出用戶同意范圍或者與服務(wù)場景無關(guān)的個人信息處理活動，并提出了“六項不得”要求。

三是規(guī)范關(guān)鍵環(huán)節(jié)主體責(zé)任義務(wù)。《征求意見稿》對App治理的全鏈條、全主體、全流程予以規(guī)范，規(guī)定了App開發(fā)運營者、App分發(fā)平臺、App第三方服務(wù)提供者、移動智能終端生產(chǎn)企業(yè)和網(wǎng)絡(luò)接入服務(wù)提供者在App個人信息保護方面的具體義務(wù)。

四是細(xì)化違規(guī)處置流程和具體措施。《征求意見稿》明確從事個人信息處理活動的有關(guān)主體違反要求的，依次按照通知整改、社會公告、下架處置、斷開接入、信用管理流程進行處置，并明確具體時間期限要求。特別提出，對未按要求完成整改或反復(fù)出現(xiàn)問題、采取技術(shù)對抗等違規(guī)情節(jié)嚴(yán)重的App，將對其進行直接下架；且下架后的App在40個工作日內(nèi)不得通過任何渠道再次上架的管理要求。此外，監(jiān)督管理部門將指導(dǎo)App分發(fā)平臺和移動智能終端生產(chǎn)企業(yè)在集成、分發(fā)、預(yù)置和安裝等環(huán)節(jié)進行風(fēng)險提示，情節(jié)嚴(yán)重的采取禁入措施。

此外，《征求意見稿》還對違反本規(guī)定行為的法律責(zé)任、保密義務(wù)等作了規(guī)定。

公開征求對《移動互聯(lián)網(wǎng)應(yīng)用程序個人信息保護管理暫行規(guī)定（征求意見稿）》的意見

為深入貫徹落實黨的十九屆五中全會精神，加強移動互聯(lián)網(wǎng)應(yīng)用程序（以下簡稱App）個人信息保護，規(guī)范App個人信息處理活動，在國家互聯(lián)網(wǎng)信息辦公室的統(tǒng)籌指導(dǎo)下，工業(yè)和信息化部會同公安部、市場監(jiān)管總局起草了《移動互聯(lián)網(wǎng)應(yīng)用程序個人信息保護管理暫行規(guī)定（征求意見稿）》（詳見附件）。現(xiàn)向社會公開征求意見，請于2021年5月26日前反饋意見。

聯(lián)系單位：工業(yè)和信息化部信息通信管理局

聯(lián)系電話及傳真：010-66011239/66022182

電子郵箱：sqs@miit.gov.cn

通信地址：北京市西城區(qū)西長安街13號 工業(yè)和信息化部信息通信管理局（郵編：100804），請在信封上注明“《移動互聯(lián)網(wǎng)應(yīng)用程序個人信息保護管理暫行規(guī)定（征求意見稿）》”。

附件1：移動互聯(lián)網(wǎng)應(yīng)用程序個人信息保護管理暫行規(guī)定（征求意見稿）.docx

附件2：移動互聯(lián)網(wǎng)應(yīng)用程序個人信息保護管理暫行規(guī)定--起草說明.docx

工業(yè)和信息化部信息通信管理局

2021年4月26日 

移動互聯(lián)網(wǎng)應(yīng)用程序個人信息保護管理暫行規(guī)定

（征求意見稿）

第一條 為保護個人信息權(quán)益，規(guī)范移動互聯(lián)網(wǎng)應(yīng)用程序（以下簡稱App）個人信息處理活動，促進個人信息合理利用，依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》等法律法規(guī)，制定本規(guī)定。

第二條 在中華人民共和國境內(nèi)開展的App個人信息處理活動，應(yīng)當(dāng)遵守本規(guī)定。法律、行政法規(guī)對個人信息處理活動另有規(guī)定的，從其規(guī)定。

第三條 本規(guī)定所稱App個人信息處理活動，是指移動智能終端中運行的應(yīng)用程序收集、存儲、使用、加工、傳輸個人信息的活動。

本規(guī)定所稱App開發(fā)運營者，是指從事App開發(fā)和運營活動的主體。

本規(guī)定所稱App分發(fā)平臺，是指通過應(yīng)用商店、應(yīng)用市場、網(wǎng)站等方式提供App下載、升級服務(wù)的軟件服務(wù)平臺。

本規(guī)定所稱App第三方服務(wù)提供者，是指相對于用戶和App以外的，為App提供軟件開發(fā)工具包（SDK）、封裝、加固、編譯環(huán)境等第三方服務(wù)的主體。

本規(guī)定所稱移動智能終端生產(chǎn)企業(yè)，是指生產(chǎn)能夠接入公眾網(wǎng)絡(luò)，提供預(yù)置App或者具備安裝App能力的移動智能終端設(shè)備的主體。

本規(guī)定所稱網(wǎng)絡(luò)接入服務(wù)提供者，是指從事互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）業(yè)務(wù)、互聯(lián)網(wǎng)接入服務(wù)（ISP）業(yè)務(wù)和內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）業(yè)務(wù)，為App提供網(wǎng)絡(luò)接入服務(wù)的電信業(yè)務(wù)經(jīng)營者。

第四條  國家互聯(lián)網(wǎng)信息辦公室負(fù)責(zé)統(tǒng)籌協(xié)調(diào)App個人信息保護工作和相關(guān)監(jiān)督管理工作，會同工業(yè)和信息化部、公安部、市場監(jiān)管總局建立健全App個人信息保護監(jiān)督管理聯(lián)合工作機制，統(tǒng)籌推進政策標(biāo)準(zhǔn)規(guī)范等相關(guān)工作，加強信息共享及對App個人信息保護工作的指導(dǎo)。各部門在各自職責(zé)范圍內(nèi)負(fù)責(zé)App個人信息保護和監(jiān)督管理工作。 

省、自治區(qū)、直轄市網(wǎng)信辦、通信管理局、公安廳（局）、市場監(jiān)管局負(fù)責(zé)本行政區(qū)域內(nèi)App個人信息保護監(jiān)督管理工作。

前兩款規(guī)定的部門統(tǒng)稱為App個人信息保護監(jiān)督管理部門。

第五條 App個人信息處理活動應(yīng)當(dāng)采用合法、正當(dāng)?shù)姆绞剑裱\信原則，不得通過欺騙、誤導(dǎo)等方式處理個人信息，切實保障用戶同意權(quán)、知情權(quán)、選擇權(quán)和個人信息安全，對個人信息處理活動負(fù)責(zé)。

相關(guān)行業(yè)組織和專業(yè)機構(gòu)按照有關(guān)法律法規(guī)、標(biāo)準(zhǔn)及本規(guī)定，開展App個人信息保護能力評估、認(rèn)證。

第六條 從事App個人信息處理活動的，應(yīng)當(dāng)以清晰易懂的語言告知用戶個人信息處理規(guī)則，由用戶在充分知情的前提下，作出自愿、明確的意思表示。

（一）應(yīng)當(dāng)在App登錄注冊頁面及App首次運行時，通過彈窗、文本鏈接及附件等簡潔明顯且易于訪問的方式，向用戶告知涵蓋個人信息處理主體、處理目的、處理方式、處理類型、保存期限等內(nèi)容的個人信息處理規(guī)則；

（二）應(yīng)當(dāng)采取非默認(rèn)勾選的方式征得用戶同意；

（三）應(yīng)當(dāng)尊重用戶選擇權(quán)，在取得用戶同意前或者用戶明確表示拒絕后，不得處理個人信息；個人信息處理規(guī)則發(fā)生變更的，應(yīng)當(dāng)重新取得用戶同意；

（四）應(yīng)當(dāng)在對應(yīng)業(yè)務(wù)功能啟動時，動態(tài)申請App所需的權(quán)限，不應(yīng)強制要求用戶一攬子同意打開多個系統(tǒng)權(quán)限，且未經(jīng)用戶同意，不得更改用戶設(shè)置的權(quán)限狀態(tài)；

（五）需要向本App以外的第三方提供個人信息的,應(yīng)當(dāng)向用戶告知其身份信息、聯(lián)系方式、處理目的、處理方式和個人信息的種類等事項,并取得用戶同意；

（六）處理種族、民族、宗教信仰、個人生物特征、醫(yī)療健康、金融賬戶、個人行蹤等敏感個人信息的，應(yīng)當(dāng)對用戶進行單獨告知，取得用戶同意后，方可處理敏感個人信息。

第七條 從事App個人信息處理活動的，應(yīng)當(dāng)具有明確、合理的目的，并遵循最小必要原則，不得從事超出用戶同意范圍或者與服務(wù)場景無關(guān)的個人信息處理活動。

（一）處理個人信息的數(shù)量、頻次、精度等應(yīng)當(dāng)為服務(wù)所必需，不得超范圍處理個人信息；

（二）個人信息的本地讀取、寫入、刪除、修改等操作應(yīng)當(dāng)為服務(wù)所必需，不得超出用戶同意的操作范圍；

（三）用戶拒絕相關(guān)授權(quán)申請后，不得強制退出或者關(guān)閉App，不得提前申請超出其業(yè)務(wù)功能或者服務(wù)外的權(quán)限，不得利用頻繁彈窗反復(fù)申請與當(dāng)前服務(wù)場景無關(guān)的權(quán)限；

（四）在非服務(wù)所必需或者無合理場景下，不得自啟動或者關(guān)聯(lián)啟動其他App；

（五）用戶拒絕提供非該類服務(wù)所必需的個人信息時，不得影響用戶使用該服務(wù)；

（六）不得以改善服務(wù)質(zhì)量、提升使用體驗、研發(fā)新產(chǎn)品、定向推送信息、風(fēng)險控制等為由，強制要求用戶同意超范圍或者與服務(wù)場景無關(guān)的個人信息處理行為。

第八條  App開發(fā)運營者應(yīng)當(dāng)履行以下個人信息保護義務(wù)：

（一）切實提升產(chǎn)品和服務(wù)個人信息保護意識，將個人信息保護要求落實在產(chǎn)品設(shè)計、開發(fā)及運營環(huán)節(jié)；以顯著、清晰的方式定期向用戶呈現(xiàn)App的個人信息收集使用情況；

（二）基于個人信息向用戶提供商品或者服務(wù)的搜索結(jié)果的，應(yīng)當(dāng)保證結(jié)果公平合理，同時向該用戶提供不針對其個人特征的選項，尊重和平等保護用戶合法權(quán)益；

（三）使用第三方服務(wù)的，應(yīng)當(dāng)制定管理規(guī)則，明示App第三方服務(wù)提供者的名稱、功能、個人信息處理規(guī)則等內(nèi)容；應(yīng)與第三方服務(wù)提供者簽訂個人信息處理協(xié)議，明確雙方相關(guān)權(quán)利義務(wù)，并對第三方服務(wù)提供者的個人信息處理活動和信息安全風(fēng)險進行管理監(jiān)督；App開發(fā)運營者未盡到監(jiān)督義務(wù)的，應(yīng)當(dāng)依法與第三方服務(wù)提供者承擔(dān)連帶責(zé)任；

（四）對于不影響其他服務(wù)功能的獨立服務(wù)功能模塊，應(yīng)當(dāng)向用戶提供關(guān)閉或者退出該獨立服務(wù)功能的選項，不得因用戶采取關(guān)閉或者退出操作而拒絕提供其他服務(wù)；

（五）加強前端和后端安全防護、訪問控制、技術(shù)加密、安全審計等工作，主動監(jiān)測發(fā)現(xiàn)個人信息泄露等違規(guī)行為，及時響應(yīng)處置要求；

（六）國家規(guī)定的其他個人信息保護義務(wù)。

第九條  App分發(fā)平臺應(yīng)當(dāng)履行以下個人信息保護義務(wù)：

（一）登記并核驗App開發(fā)運營者、提供者的真實身份、聯(lián)系方式等信息；

（二）在顯著位置標(biāo)明App運行所需獲取的用戶終端權(quán)限列表和個人信息收集的類型、內(nèi)容、目的、范圍、方式、用途及處理規(guī)則等相關(guān)信息；

（三）不得欺騙誤導(dǎo)用戶下載App；

（四）對新上架App實行上架前個人信息處理活動規(guī)范性審核，對已上架App在本規(guī)定實施后1個月內(nèi)完成補充審核，并根據(jù)審核結(jié)果進行更新或者清理；

（五）建立App開發(fā)運營者信用積分、風(fēng)險App名單、平臺信息共享及簽名驗證等管理機制；

（六）按照監(jiān)督管理部門的要求，完善報送機制，及時配合監(jiān)督管理部門開展問題App上報、響應(yīng)和處置工作；

（七）設(shè)置便捷的投訴舉報入口，及時處理公眾對本平臺所分發(fā)App的投訴舉報；

（八）國家規(guī)定的其他個人信息保護義務(wù)。

第十條 App第三方服務(wù)提供者應(yīng)當(dāng)履行以下個人信息保護義務(wù)：

（一）制定并公開個人信息處理規(guī)則；

（二）以明確、易懂、合理的方式向App開發(fā)運營者公開其個人信息處理目的、處理方式、處理類型、保存期限等內(nèi)容，其個人信息處理活動應(yīng)當(dāng)與公開的個人信息處理規(guī)則保持一致；

（三）未經(jīng)用戶同意或者在無合理業(yè)務(wù)場景下，不得自行進行喚醒、調(diào)用、更新等行為；

（四）采取足夠的管理措施和技術(shù)手段保護個人信息，發(fā)現(xiàn)安全風(fēng)險或者個人信息處理規(guī)則變更時應(yīng)當(dāng)及時進行更新并告知App開發(fā)運營者；

（五）未經(jīng)用戶同意，不得將收集到的用戶個人信息共享轉(zhuǎn)讓；

（六）國家規(guī)定的其他個人信息保護義務(wù)。

第十一條 移動智能終端生產(chǎn)企業(yè)應(yīng)當(dāng)履行以下個人信息保護義務(wù)：

（一）完善終端權(quán)限管控機制，及時彌補權(quán)限管理漏洞，持續(xù)優(yōu)化和規(guī)范敏感行為的記錄能力，主動為用戶權(quán)限申請和告知提供便利；

（二）建立終端啟動和關(guān)聯(lián)啟動App管理機制，為用戶提供關(guān)閉自啟動和關(guān)聯(lián)啟動的功能選項；

（三）持續(xù)優(yōu)化個人信息權(quán)限在用狀態(tài)，特別是錄音、拍照、視頻等敏感權(quán)限在用狀態(tài)的顯著提示機制，幫助用戶及時準(zhǔn)確了解個人信息權(quán)限的使用狀態(tài)；

（四）建立重點App關(guān)注名單管理機制，完善移動智能終端App管理措施；

（五）對預(yù)置App進行審核，持續(xù)監(jiān)測預(yù)置App的個人信息安全風(fēng)險；

（六）在安裝過程中以顯著方式告知用戶App申請的個人信息權(quán)限列表；

（七）完善終端設(shè)備標(biāo)識管理機制；

（八）國家規(guī)定的其他個人信息保護義務(wù)。

第十二條  網(wǎng)絡(luò)接入服務(wù)提供者應(yīng)當(dāng)履行以下個人信息保護義務(wù)：

（一）在為App提供網(wǎng)絡(luò)接入服務(wù)時，登記并核驗App開發(fā)運營者的真實身份、聯(lián)系方式等信息；

（二）按照監(jiān)督管理部門的要求，依法對違規(guī)App采取停止接入等必要措施，阻止其繼續(xù)違規(guī)侵害用戶個人信息和其他合法權(quán)益；

（三）國家規(guī)定的其他個人信息保護義務(wù)。

第十三條 從事App個人信息處理活動的相關(guān)主體，應(yīng)當(dāng)加強人員教育培訓(xùn)，制定個人信息保護內(nèi)部管理制度，落實網(wǎng)絡(luò)安全等級保護和應(yīng)急預(yù)案等制度要求；采取加密、去標(biāo)識化等安全技術(shù)措施，防止未經(jīng)授權(quán)的訪問及個人信息泄露或者被竊取、篡改、刪除等風(fēng)險；需要認(rèn)證用戶真實身份信息的，應(yīng)當(dāng)通過國家統(tǒng)一建設(shè)的公民身份認(rèn)證基礎(chǔ)設(shè)施所提供的網(wǎng)上公民身份核驗認(rèn)證服務(wù)進行。

第十四條 任何組織和個人發(fā)現(xiàn)違反本規(guī)定行為的，可以向監(jiān)督管理部門或者中國互聯(lián)網(wǎng)協(xié)會、中國網(wǎng)絡(luò)空間安全協(xié)會投訴舉報，監(jiān)督管理部門和相關(guān)組織應(yīng)當(dāng)及時受理并調(diào)查處理。

從事App個人信息處理活動的相關(guān)主體應(yīng)當(dāng)自覺接受社會監(jiān)督。

第十五條 根據(jù)公眾投訴舉報情況和監(jiān)管中發(fā)現(xiàn)的問題，監(jiān)督管理部門可以對存在問題和風(fēng)險的App實施個人信息保護檢查。

從事App個人信息處理活動的相關(guān)主體應(yīng)當(dāng)對監(jiān)督管理部門依法實施的監(jiān)督檢查予以配合。

第十六條 發(fā)現(xiàn)從事個人信息處理活動的相關(guān)主體違反本規(guī)定的，監(jiān)督管理部門可依據(jù)各自職責(zé)采取以下處置措施：

（一）責(zé)令整改與社會公告。對檢測發(fā)現(xiàn)問題App的開發(fā)運營者、App分發(fā)平臺、第三方服務(wù)提供者及相關(guān)主體提出整改，要求5個工作日內(nèi)進行整改及時消除隱患；未完成整改的，向社會公告。

（二）下架處置。對社會公告5個工作日后，仍拒絕整改或者整改后仍存在問題的，可要求相關(guān)主體進行下架處置；對反復(fù)出現(xiàn)問題、采取技術(shù)對抗等違規(guī)情節(jié)嚴(yán)重的，將對其進行直接下架；被下架的App在40個工作日內(nèi)不得通過任何渠道再次上架。

（三）斷開接入。下架后仍未按要求完成整改的，將對其采取斷開接入等必要措施。

（四）恢復(fù)上架。被下架的App完成整改，并完善技術(shù)和管理機制及作出企業(yè)自律承諾后，可向作出下架要求的監(jiān)督管理部門申請恢復(fù)上架。

（五）恢復(fù)接入。被斷開網(wǎng)絡(luò)接入的App完成整改后，可向作出斷開接入要求的監(jiān)督管理部門申請恢復(fù)接入。

（六）信用管理。對相應(yīng)違規(guī)主體，可納入信用管理，實施聯(lián)合懲戒。

第十七條 對整改反復(fù)出現(xiàn)問題的App及其開發(fā)運營者開發(fā)的相關(guān)App，監(jiān)督管理部門可以指導(dǎo)組織App分發(fā)平臺和移動智能終端生產(chǎn)企業(yè)在集成、分發(fā)、預(yù)置和安裝等環(huán)節(jié)進行風(fēng)險提示，情節(jié)嚴(yán)重的采取禁入措施。

第十八條 從事App個人信息處理活動侵害個人信息權(quán)益的，將依照有關(guān)規(guī)定予以處罰；構(gòu)成犯罪的，公安機關(guān)依法追究刑事責(zé)任。

第十九條 監(jiān)督管理部門應(yīng)當(dāng)對履行職責(zé)中知悉的用戶個人信息予以保密，不得泄露、篡改或者毀損，不得出售或者非法向他人提供。

第二十條 本規(guī)定自 年 月 日起施行。

（原題為《工信部公開征求意見 擬規(guī)定違規(guī)情節(jié)嚴(yán)重App直接下架》《公開征求對〈移動互聯(lián)網(wǎng)應(yīng)用程序個人信息保護管理暫行規(guī)定（征求意見稿）〉的意見》）