前哨按语
近期,APP违规收集个人信息、过度索权、频繁骚扰用户等侵害用户权益问题突出。11月4日,工业和信息化部信息通信管理局召开整治工作启动会。专项整治行动面向APP服务提供者和APP分发服务提供者两类主体对象,重点整治违规收集用户个人信息、违规使用用户个人信息、不合理索取用户权限、为用户账号注销设置障碍等四个方面的8类突出问题。整治工作分为企业自查自纠、监督检查和结果处置三个阶段,时间为2个月。以下是工信部专项整治通知及官方解读。
工业和信息化部
关于开展APP侵害用户权益专项整治工作的通知
工信部信管函[2019]337号
各省、自治区、直辖市通信管理局,中国信息通信研究院、中国互联网协会,各相关单位: 当前,APP违规收集个人信息、过度索权、频繁骚扰、侵害用户权益等问题突出,群众反映强烈,社会关注度高。结合2019年信息通信行业行风建设暨纠风工作安排,我部决定组织开展APP侵害用户权益专项整治行动工作。有关事项通知如下: 依据《网络安全法》、《电信条例》、《规范互联网信息服务市场秩序若干规定》(工业和信息化部令第20号)、《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号)和《移动智能终端应用软件预置和分发管理暂行规定》(工信部信管〔2016〕407号)等法律法规和规范性文件要求,聚焦人民群众反映强烈和社会高度关注的侵犯用户权益行为,重点对以下四个方面8类问题开展规范整治工作。
1.“私自收集个人信息”。即APP未明确告知收集使用个人信息的目的、方式和范围并获得用户同意前,收集用户个人信息。 2.“超范围收集个人信息”。即APP收集个人信息,非服务所必需或无合理应用场景,超范围或超频次收集个人信息,如通讯录、位置、身份证、人脸等。 3.“私自共享给第三方”。即APP未经用户同意与其他应用共享、使用用户个人信息,如设备识别信息、商品浏览记录、搜索使用习惯、常用软件应用列表等。 4.“强制用户使用定向推送功能”。即APP未向用户告知,或未以显著方式标示,将收集到的用户搜索、浏览记录、使用习惯等个人信息,用于定向推送或精准营销,且未提供关闭该功能的选项。 5.“不给权限不让用”。即APP安装和运行时,向用户索取与当前服务场景无关的权限,用户拒绝授权后,应用退出或关闭。 6.“频繁申请权限”。即APP在用户明确拒绝权限申请后,频繁申请开启通讯录、定位、短信、录音、相机等与当前服务场景无关的权限,骚扰用户。 7.“过度索取权限”。即APP在用户未使用相关功能或服务时,提前申请开启通讯录、定位、短信、录音、相机等权限,或超出其业务功能或服务外,申请通讯录、定位、短信、录音、相机等权限。 8.“账号注销难”。即APP未向用户提供账号注销服务,或为注销服务设置不合理的障碍。 本次专项整治工作主要面向两类对象:一是APP服务提供者,主要检查是否存在前述8类问题;二是APP分发服务提供者,含应用商店和基础电信企业营业厅等承担APP分发功能的各类企业,主要检查是否落实《移动智能终端应用软件预置和分发管理暂行规定》(工信部信管〔2016〕407号)等有关要求。
专项整治工作时间为通知印发之日至2019年12月20日。分三个阶段实施:
(一)企业自查自纠阶段(通知印发之日起至11月10日)。APP服务提供者对照前述8类问题认真开展自查,发现问题及时整改;APP分发服务提供者组织对所分发APP进行全面检查,对存在问题的违规应用软件予以督促整改,拒不改正的应组织予以下架处理。 (二)监督抽查阶段(2019年11月11日至11月30日)。我部将组织第三方检测机构对APP进行技术检测和检查,重点抽测与群众生活密切相关、下载使用量较大的APP产品和分发平台。对群众反映强烈、难以接受、认为不合理的APP,我部将组织电信用户委员会、中国互联网协会以及相关媒体机构开展用户和专家评议。各省、自治区、直辖市通信管理局可根据本地实际情况开展检查工作,并将结果报部(信息通信管理局)。 (三)结果处置阶段(2019年12月1日至12月20日)。我部将对存在问题的APP统一进行通报,依法依规予以处理,具体措施包括责令整改、向社会公告、组织APP下架、停止APP接入服务,以及将受到行政处罚的违规主体纳入电信业务经营不良名单或失信名单等。 (一)切实提高思想认识。各单位要坚决贯彻落实以人民为中心的发展思想,切实提高政治站位,高度重视本次专项整治工作,精心组织、周密部署,细化整治措施,着力解决群众最关心最直接最现实的利益问题,务求取得实效。
(二)畅通用户投诉渠道。专项整治工作期间,各企业应畅通用户投诉渠道,完善投诉处理服务机制和流程。中国互联网协会应通过互联网信息服务投诉平台(https://ts.isc.org.cn/)或12321举报中心接受群众投诉,及时汇总处理用户反映的相关问题。 (三)巩固建立长效机制。APP用户量大、影响面广、耦合性强,规范管理工作涉及主体多、链条长,需要企业自律、社会监督和政府监管的协同共治。各单位要以此次专项整治工作为契机,不断总结经验、分析原因、举一反三、巩固成效,为后续规范行业管理奠定基础。
当前,APP违规收集个人信息、过度索权、频繁骚扰、侵害用户权益的问题突出,群众反映强烈。工信部高度重视APP用户权益保护工作,始终贯彻以人民为中心的发展思想,坚决把群众利益放在首位,不断完善APP治理体系,提升APP治理能力。此次组织开展的APP侵害用户权益专项整治行动,是对前期四部委开展APP违法违规收集使用个人信息专项治理行动成果的巩固和深化,是紧扣部行业管理职责定位,在信息通信行业行风纠风工作体系下,重点解决群众关心问题的主动作为。
此次组织开展的APP侵害用户权益专项整治工作,坚持问题导向,聚焦人民群众反映强烈和社会高度关注的侵犯用户权益行为,重点对用户关心的八类问题进行监督检查和规范整治。一方面,推动APP服务提供者和APP分发服务提供者自查自纠,及时整改;另一方面,技管结合,综合运用技术检测和检查、社会监督、用户和专家评议等手段,充分发挥第三方机构、媒体和用户的共同监督作用,构建政府管理、社会协同、公众参与、媒体监督、行业自律、科技支撑的全方位综合监管体系。
专项整治工作依据《网络安全法》《电信条例》和《规范互联网信息服务市场秩序若干规定》《电信和互联网用户个人信息保护规定》《移动智能终端应用软件预置和分发管理暂行规定》等法律法规和规范性文件要求开展。
本次专项整治工作,主要面向两类主体对象,一是APP服务提供者。二是APP分发服务提供者,包含具备分发功能的应用商店、网站、应用软件和基础电信企业营业厅等各类企业。
本次专项整治工作重点检查是否存在人民群众反映强烈和社会高度关注的四个方面8类重点问题。
违规收集用户个人信息方面,重点针对私自收集个人信息、超范围收集个人信息等问题进行监督检查和规范整治。 违规使用用户个人信息方面,重点针对私自共享给第三方、强制用户使用定向推送功能等问题进行监督检查和规范整治。 不合理索取用户权限方面,重点针对不给权限不让用、频繁申请权限、过度索取权限等问题进行监督检查和规范整治。 为用户账号注销设置障碍方面,重点针对账号注销难进行监督检查和规范整治。 APP分发服务提供者应落实《移动智能终端应用软件预置和分发管理暂行规定》(工信部信管[2016]407号)等有关要求,组织对其所分发的APP进行全面检查,对存在问题的违规应用软件予以督促整改,拒不改正的应组织予以下架处理。 针对存在问题的APP,将依法依规予以处理,具体措施包括责令整改、向社会公告、组织APP下架、停止APP接入服务,以及将受到行政处罚的违规主体纳入电信业务经营不良名单或失信名单等手段,对于问题突出、严重违法违规、拒不整改的APP主体,将从严处置。后续我部还将以此次专项行动为契机,推动出台相关规定,为规范行业管理和建立长效机制奠定基础。
重点规范整治八类问题的典型场景
即APP未明确告知收集使用个人信息的目的、方式和范围并获得用户同意前收集用户个人信息。 典型场景1:APP运行时,缺乏向用户明示且征求用户同意的环节,收集IMEI、设备MAC地址、软件安装列表、通讯录、短信等个人信息。 典型场景2:APP运行时,虽然有向用户明示并经用户同意环节,但个人信息收集发生在用户同意前。 即APP收集个人信息,非服务所必需或无合理应用场景,超范围或超频次收集个人信息。 典型场景1:APP收集个人信息,非服务所必需或无合理应用场景,超范围收集个人信息,如过度收集用户通讯录、短信、通话记录等。 典型场景2:APP收集个人信息,非服务所必需或无合理应用场景,超频次收集个人信息,如按照一定频次收集位置信息、IMEI或频繁读取通讯录、短信、图片等。 典型场景3:APP收集身份证号、人脸、指纹等个人信息时,非服务所必需或无合理场景,如将收集身份证号、人脸、指纹等作为应用开启使用的前提条件,或通过积分、奖励等方式诱导用户,收集身份证号、人脸、指纹等个人信息。 即APP未经用户同意与其他应用共享、使用用户个人信息,如设备识别信息、商品浏览记录、搜索使用习惯、常用软件应用列表等。 典型场景1:APP未向用户告知且未经用户同意前,将设备识别信息、商品浏览记录、搜索使用习惯、常用软件应用列表等个人信息直接发送给第三方SDK或第三方服务器。 典型场景2:APP未向用户告知且未经用户同意,将设备识别信息、商品浏览记录、搜索使用习惯、常用软件应用列表等共享给第三方,用户的商品浏览记录、搜索使用习惯等出现在第三方APP。 即APP未向用户告知,或未以显著方式标示,将收集到的用户搜索、浏览记录、使用习惯等个人信息,用于定向推送或精准营销,且未提供关闭该功能的选项。 典型场景1:APP的定向推送功能未向用户告知,将收集的用户个人信息用于定向推送、精准营销。 典型场景2:APP的定向推送功能未以显著形式标示。 典型场景3:APP的定向推送功能未对用户提供关闭此功能的选项。 即APP安装和运行时,向用户索取与当前服务场景无关的权限,用户拒绝授权后,应用退出或关闭。 典型场景1:APP首次启动时,向用户索取电话、通讯录、定位、短信、录音、相机、存储、日历等权限,用户拒绝授权后,应用退出或关闭。 典型场景2:APP运行时,向用户索取与当前服务场景无关的权限,用户拒绝授权后,应用退出或关闭。 即APP在用户明确拒绝权限申请后,频繁申请开启通讯录、定位、短信、录音、相机等与当前服务场景无关的权限,骚扰用户。 典型场景1:APP在运行期间,用户明确拒绝权限申请后,仍向用户频繁弹窗申请开启与当前服务场景无关的通讯录、定位、短信、录音、相机等权限。 即APP在用户未使用相关功能或服务时,提前申请开启通讯录、定位、短信、录音、相机等权限,或超出其业务功能或服务外,申请通讯录、定位、短信、录音、相机等权限。 典型场景1:APP在用户未使用权限对应的相关功能或服务时,提前向用户弹窗申请开启通讯录、定位、短信、录音、相机等权限。 典型场景2:APP未提供相关业务功能或服务,仍申请通讯录、定位、短信、录音、相机等权限。 即APP未向用户提供账号注销服务,或为注销服务设置不合理的障碍。 典型场景2:APP为账号注销服务设置不合理的障碍。
来源:工业和信息化部信息通信管理局
近期热点文章
全国人大常委会专题讲座|大数据:发展现状与未来趋势
《北京市交通出行数据开放管理办法(试行)》全文
刘金瑞|共筑网络安全防线亟需推动威胁情报共享立法
《中华人民共和国密码法》全文
北京地铁将应用人脸识别技术实现乘客分类安检
国家密码管理局负责人就《密码法》答记者问
习近平总书记关于网络安全和信息化工作重要论述综述
两高两部《关于办理利用信息网络实施黑恶势力犯罪刑事案件若干问题的意见》全文
GB/T 35273《信息安全技术 个人信息安全规范》(征求意见稿)
扎克伯格|在众议院金融服务委员会听证会上的证词-中英文全文
Facebook绝密会议曝光 | 反拆分、抗抖音、推Libra……
英国"脱欧"新协议全文
G20部长会议关于贸易和数字经济的声明-全文
联合国《2019年数字经济报告》中文概述
网信办 | 《网络生态治理规定(征求意见稿)》全文
上海通信管理局开出中国互联网发展史上最大金额罚单
杭州互联网法院发布成立两周年十大影响力案件
北京互联网法院成立一周年发布十大热点案件
周汉华 | 正确认识平台法律责任
瑞智华胜窃取30亿条用户信息 | 史上最大规模数据窃取案调查
美国FTC与Facebook50亿美元和解协议全文
刘金瑞|合理设定网络平台对第三方应用的数据安全管理责任
《贵州省大数据安全保障条例》通过将于10月1日起施行
《民法典人格权编(草案)(三次审议稿)》全文及修改说明
《民法典侵权责任编(草案三次审议稿)》全文及修改说明
被群主踢出微信群起诉群主第一案一审驳回起诉
《天津市数据安全管理办法(暂行)》全文及解读
杭州互联网法院|比特币应认定为虚拟财产
《中国互联网发展报告(2019)》发布
《中华人民共和国密码法(草案)》全文及说明
网信办等|《云计算服务安全评估办法》及有关问题解答
网信办 | 《数据安全管理办法(征求意见稿)》全文
网信办 | 《个人信息出境安全评估办法(征求意见稿)》全文
我国新一代人工智能治理原则发布
工信部 | 关于同意设立域名根服务器及运行机构的批复
网络法前哨 ∣网络法前沿的侦察兵
感兴趣可长按关注前哨君