左晓栋：关于《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》的十六个问答

• 国密应用研究院
• 2021-04-29

文 | 中国信息安全研究院副院长 左晓栋

一、如何理解文件的起草背景？

该文件是中央网信办、工信部、公安部、市场监管总局等四部门开展App违法违规收集使用个人信息治理工作，以及工信部连续两年开展App侵害用户权益专项整治行动的延续，是将近年来成熟的经验做法和管理措施转换为制度性规范文件。故文件是在国家互联网信息办公室负责统筹指导下，由工业和信息化部、公安部、市场监管总局等共同起草。

二、关于第三条，为什么涉及到多个主体？

在2019年首次开展的四部门专项治理工作中，最初针对的是App开发运营者，这是问题多发地带。随着治理工作的深入，应用商店、软件开发工具包（SDK）等环节的问题开始浮现，故2020年的专项治理工作将治理对象扩大到这些范围。结合专项治理工作的经验，此次文件的规范对象包括了App开发运营者、App分发平台、App第三方服务提供者、移动智能终端生产企业以及网络接入服务提供者。

三、关于第四条，为什么提出“App个人信息保护监督管理部门”？

从国家网信办、工信部、公安部、市场监管总局各自职责看，都涉及到个人信息保护相关职责，故文件要求，四部门建立健全App个人信息保护监督管理联合工作机制，统筹推进政策标准规范等相关工作，加强信息共享及对App个人信息保护工作的指导。在目前我国没有进一步规定个人信息保护和监督管理职责的情况下，四部门都是App个人信息保护监督管理部门，但各部门在各自职责范围内开展有关工作。

四、关于第五条，立法目的是什么？

该条的立法目的有三个，一是规定了App个人信息处理活动的基本义务；二是明确了用户同意权、知情权、选择权；三是设立了App个人信息保护能力评估认证制度。

五、关于第六条，为什么要对“用户同意”作出诸多详细规定？

《网络安全法》等法律法规规定，应当公开个人信息收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。但这一规定过于原则。现实中，企业有很多“打擦边球”行为。例如，隐私政策难以访问、诱导用户默认同意、要求用户一揽子授权等，该条针对这些行为明确了禁则，还针对敏感个人信息的处理作出了特殊规定。

六、关于第七条，如何理解该条的“最小必要”原则？

该条的“最小必要”原则来源于《网络安全法》等法规中的“必要”原则（另两个原则是“合法”和“正当”）。但一直以来，“必要”原则最难以客观评价。为此，文件针对现实中一些App运营者的“打擦边球”行为，对“最小必要”作了详细定义。例如，处理个人信息的数量、频次、精度等应当为服务所必需，个人信息的本地读取、写入、删除、修改等操作应当为服务所必需。此外，有些App运营者为了达到超范围收集信息的目的，还采取了一些强迫行为。例如，用户如不同意提供信息便退出服务、频繁弹窗反复申请无关权限（用户在不堪其扰后往往不得不同意），该条对这些行为也作了列举，提出了禁则。

七、关于第八条，如何理解App开发运营者的个人信息保护义务？

该条对App开发运营者提出了5项义务。一是国际上公认的“以设计实现隐私（privacy by design）”义务，指将个人信息保护要求落实在产品设计、开发及运营环节；二是不得实施“大数据杀熟”；三是与第三方约定权利义务，不得“甩锅”给第三方；四是允许用户有选择退出服务；五是主动监测发现个人信息泄露等违规行为。

八、关于第九条，如何理解App分发平台的个人信息保护义务？

该条对App分发平台提出了7项义务。一是登记并核验App开发运营者、提供者的真实身份、联系方式等信息，确保责任可追溯；二是不能再有“糊涂账”，必须在显著位置标明App运行所需获取的用户终端权限列表及个人信息收集规则，即用户在下载前便“心中有数”；三是不得欺骗误导用户下载App，防止违背用户意愿安装App；四是对App进行上架前审核；五是建立App开发运营者管理机制，例如对App开发运营者进行信用积分、发布风险App名单等；六是建立面向主管部门的问题App上报机制和响应、处置机制；七是设立投诉举报入口，及时处理公众举报。

九、关于第十条，如何理解App第三方服务提供者的个人信息保护义务？

很多时候，App第三方服务者对用户是“不可见”的，但其通过所提供的第三方服务，直接或间接地涉及到了对用户个人信息的处理。因此，该条对App第三方服务提供者提出了5项义务。其中，4项义务与一般的个人信息处理者是一样的，但针对内嵌到App中的第三方软件开发工具包（SDK）“偷偷摸摸”收集个人信息的行为，该条规定，未经用户同意或者在无合理业务场景下，SDK不得自行进行唤醒、调用、更新等行为。

十、关于第十一条，如何理解移动智能终端生产企业的个人信息保护义务？

该条对移动智能终端生产企业提出了7项义务。一是完善终端权限管控机制，使智能终端切实起到App“大管家”的作用；二是建立终端启动和关联启动App管理机制，防止App在用户不知情、不需要的情况下因终端启动而自行启动；三是对录音、拍照、视频等敏感权限在用状态进行显著提示，防止敏感权限“偷偷摸摸”干坏事；四是建立重点App关注名单管理机制，便于配合主管部门的监管与处置；五是对预置App进行审核，因为这些App是未按用户意志提前安装的，终端生产企业应当负责；六是在安装过程中以显著方式告知用户App申请的个人信息权限列表，进一步保障用户的知情权；七是完善终端设备标识管理机制，防止App任意获取终端设备标识（此类信息属于敏感信息）。

十一、关于第十二条，如何理解网络接入服务提供者的个人信息保护义务？

该条对网络接入服务提供者提出了2项义务。一是在为App提供网络接入服务时，登记并核验App开发运营者的真实身份、联系方式等信息；二是按照监督管理部门的要求，依法对违规App采取停止接入等必要措施。

十二、关于第十三条，如何理解各类App个人信息处理活动相关主体应当采取的管理和技术措施？

该条对各类App个人信息处理活动相关主体提出了人员教育培训等管理措施要求，以及加密、去标识化等技术措施要求。此外，该条还要求落实《网络安全法》提出的“实名制”规定。鉴于国家正在统一建设的公民身份认证基础设施（基于法定身份证件的网络空间信任体系），故此处要求统一调用该基础设施提供的网上公民身份核验认证服务。

十三、关于第十四条，如何理解投诉举报制度？

该条明确了两类举报受理机构。一类国家网信办、工信部、公安部、市场监管总局等四部门；第二类是行业组织，具体为中国互联网协会和中国网络空间安全协会，这两个行业组织的主管部门分别是工信部、国家网信办。

十四、关于第十五条，如何理解监督管理部门与从事App个人信息处理活动的相关主体的关系？

该条确立了检查制度，即监督管理部门可以对存在问题和风险的App实施个人信息保护检查，相关主体应当予以配合。当然，此类检查应当在国家网信部门统筹协调下进行，以避免多头管理、重复检查。

十五、关于第十六条、第十七条和第十八条，如何理解监督管理部门可采取的处罚措施？

第十六条明确了行政处罚手段，包括责令整改与社会公告、下架处置、断开接入，处罚依次加重。此外，还可实施信用管理，即将相应违规主体纳入信用管理，实施联合惩戒。对于“屡教屡犯”者，第十七条规定，可在App分发平台、移动智能终端针对相关App发布风险提示，情节严重的采取禁入措施。对于构成犯罪的，第十八条规定，由公安机关依法追究刑事责任。

十六、关于第十九条，如何理解监管部门的义务？

第十九条提出，监管部门应当对履行职责中知悉的用户个人信息予以保密，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。

来源：中国信息安全

注：内容均来源于互联网，版权归作者所有，如有侵权，请联系告知，我们将尽快处理。