新法速览|《信息安全技术 应用商店的移动互联网应用程序(App)个人信息处理规范性审核与管理指南》
编者按
《中华人民共和国个人信息保护法》第二章中明确提出了个人信息的处理规则, App 涉及到大量个人用户信息处理活动,需要落实法律相关安全要求。近期网信办公布的《移动互联网应用程序信息服务管理规定》则进一步细化了对依移动互联网应用程序的监管,并在第三章专门规定了“应用程序分发平台”的相关义务。
为具体落实应用商店对APP上架的审核管理义务,全国信息安全标准化技术委员会于2022年6月17日发布了国家标准《信息安全技术 应用商店的移动互联网应用程序(App)个人信息处理规范性审核与管理指南》(征求意见稿)(以下简称《指南》)。
《指南》明确规定了应用商店运营者审核管理App个人信息处理活动的具体流程和要求,为应用商店的 App 个人信息处理规范性审核与管理提供了统一标准。
01
《指南》概述
1. 主要内容
《指南》主要规定了应用商店运营者对 App 审核管理的总体流程框架,涵盖了应用商店对APP处理个人信息的事前、事中和事后的三层管理要求等。
2. 适用范围
《指南》适用于指导应用商店运营者审核管理App个人信息处理活动,同时也适用于第三方机构对应用商店运营者审核管理App个人信息处理活动的能力进行审查和评估。
3. 相关概念
(1) 移动互联网应用程序:运行在移动智能终端上的应用程序,包括移动智能终端预置、下载安装的应用程序和小程序,简称App。
(2) 移动互联网应用程序运营者:移动互联网应用程序的所有者、管理者或提供者,简称 App 运营者。
(3) 应用商店:也称移动应用分发平台,指提供移动互联网应用程序下载、安装、升级等分发服务的各类平台,包括应用市场、分发网站、具有分发能力的移动互联网应用程序等常规分发平台,以及小程序、快应用、H5 页面等新形态分发平台。
02
应用程序分发平台合规义务清单
(一) 应用商店事前审核验证要点
1. 审核规则的公开
应用商店运营者需制定并公开发布 App 个人信息处理活动审核规则。
2. APP上架所必要的信息
应用商店运营者需在受理App进入应用商店的申请时,对App运营者所提交的App相关信息进行审核。对于未完整提交以下信息的,应用商店运营者宜拒绝App上架。
APP运营者需要提交的信息以及有关模板如下:
(1) App 运营者信息:App 运营者主体名称、App 运营者联系方式(如联系电话、联系邮箱等,至少提供一种)。
(2) App基本信息:名称、包名、版本号、更新日期、基本服务类型、安装文件(如APK文件)。
注:APK指安卓应用程序包(Android Application Package)。
(3) 个人信息保护政策(即隐私政策):生效日期、全文文本、可查看全文的有效链接,面向不满14周岁的未成年人提供服务的提交单独的未成年人个人信息保护政策。
(4) 收集的个人信息范围:提供的服务类型、收集的个人信息类型(区分必要和可选个人信息[1])以及通过收集的个人信息所实现的业务功能或使用目的[2]。
注:[1] 可选个人信息,也称非必要但有关联个人信息,是与App所提供服务直接相关但可选收集的个人信息。该类 信息可由用户拒绝或撤回同意收集。
[2] 除为用户直接提供业务功能外,使用目的还包括履行法律法规义务(适用于必要个人信息)、其他使用目的(适用于可选个人信息,例如改善服务质量、提升用户体验、定向推送信息、研发新产品、增强安全性等)。
(5) 申请的敏感系统权限列表:申请的敏感系统权限名称、相关业务功能/使用目的、用户可否拒绝授权(如不可拒绝则说明用户拒绝授权的影响)、是否仅本地化使用。
(6) 涉及收集个人信息的第三方SDK信息:名称、包名、SDK运营者名称、嵌入目的、SDK 收集的个人信息类型、SDK使用的敏感系统权限。
3. 应用商店验证
应用商店运营者除对 APP所必须的信息进行审核外,还需要对 App 个人信息处理活动进行验证。同时,应用商店运营者宜建立自动化处理能力,以提高效率。
验证的具体要求如下:
(1) 个人信息处理规则
针对App运营者提交的基本信息及个人信息处理规则,应用商店运营者审核是否存在以下问题:
(2) 个人信息处理活动
应用商店运营者重点验证是否存在以下问题:
4. 审核结果
(1) 同意上架;
(2) 拒绝上架:对于经审核发现提交信息不完整、不准确,且在应用商店运营者反馈询问后仍未在限定时间内(如 5 个工作日)给出反馈或合理理由的,或经验证发现存在个人信息处理活动问题的,应用商店运营者宜拒绝 App 上架请求,并向 App 运营者说明拒绝上架的理由。
(3) 记录并保存:审核记录在审核发生之后保留至少 6 个月。
5. 申诉权
APP运营者如对审核结果存在异议的,可以通过应用商店运营者提供的意见反馈渠道提出申诉,与 App 运营者存在争议的可向有关监管部门寻求指导和咨询。
6. 存量和更新问题
(1) 存量APP的审核:对于已经进入应用商店的App,应用商店运营者在审核验证中发现存在问题的,需对其进行通知整改和处理,符合拒绝进入情形的,将其从应用商店中下架。
(2) APP版本更新后的审核:应用商店中的App发生版本更新时,应用商店运营者应对App更新版本进行审核。
(二) 事中管理
1. 个人信息处理情况的展示
应用商店运营者宜在应用商店的 App 下载页面采用菜单折叠、表格、链接等方式清晰、全面地展示和介绍以下 App 个人信息处理情况:
(1) App基本信息:App名称、App版本号、涉及的服务类型;
(2) App运营者公开信息:App运营者主体名称、App运营者联系方式(如联系电话、联系邮箱等);
(3) 隐私政策:隐私政策链接、隐私政策生效日期;
(4) 个人信息处理活动规则:
收集个人信息情况:个人信息类型(区分必要和可选个人信息)、相关业务功能或使用目的;
系统权限申请情况:申请的系统权限名称(注明是否可拒绝)、相关业务功能或使用目的;
涉及到收集个人信息的第三方SDK情况:SDK名称、相关业务功能/使用目的、收集的个人信息类型和使用的系统权限。
(5) 快速举报通道:包括有关监管部门设立的个人信息问题投诉、举报渠道,且举报通道的设计宜简便易操作,并将常见的个人信息处理问题设为选择项。
2. 标识分类管理
APP将根据不同情况,贴上不同标签,进行分类展示和管理。具体包括:
3. 对App 运营者的管理
应用商店运营者宜指导督促 App 运营者提升个人信息保护的意识和能力,制定并公开发布 App 运营者管理制度,包括但不限于:
(1) 明确个人信息处理活动的原则:在与 App 运营者签署的相关协议中,明确 App 运营者遵循合法、正当、必要、诚信原则开展个人信息处理活动,履行个人信息安全的义务;
(2) App运营者禁入/退出管理制度:制定 App 运营者禁入/退出管理制度(即黑名单制度),对于 App 运营者发布的 App 多次未通过审核的,可在一段时间内禁止其提交 App 上架申请;
(3) 一致性原则:对不同 App 运营者在审核标准、展示样式等个人信息保护方面的要求遵循一致性原则,即不能根据 App 运营者身份、影响力、市场地位等因素,在其申请系统权限等方面提供默认开启等便利条件;
(4) 培训与考核:宜对 App 运营者的相关开发人员进行个人信息保护相关的培训和考核,以增进其对审核标准和相关要求的理解。
4. 日常监督与问题处置
应用商店运营者需对 App 个人信息处理活动进行日常监管,包括但不限于:
03
总结
鉴于当前普遍存在 App 个人信息收集使用不规范,应用商店对 App 个人信息处理活动的审核管理也面临缺乏标准依据、缺乏实操指南的问题,《指南》为应用商店的 App 个人信息处理规范性审核与管理提供统一标准。
本《指南》细致地规定了应用商店运营者审核管理App个人信息处理活动的具体流程和要求,可以预见《指南》出台后将有助于发挥应用商店在App 个人信息保护中的重要作用,推动 App 源头治理,促进应用商店分发的App 达到个人信息处理相关安全基线要求,维护公民在网络空间的合法权益。
以上内容不构成任何法律意见和建议,如需咨询,请及时联系我们caipeng@zhonglun.com。
长按二维码一键关注