工信部正公開征求對《移動互聯網應用程序個人信息保護管理暫行規定(征求意見稿)》的意見。意見明確“知情同意”“最小必要”兩項重要原則。

在廣東省通信管理局近日通報存在問題的應用軟件名單里，包括廣州農商行、廣東南粵銀行和前海微眾銀行在內的金融機構被點名。

信息安全問題成了公眾的一大“心病”。

4月26日，工信部公開征求對《移動互聯網應用程序個人信息保護管理暫行規定(征求意見稿)》的意見，明確App個人信息處理活動應當采用合法、正當的方式，遵循誠信原則，不得通過欺騙、誤導等方式處理個人信息，切實保障用戶同意權、知情權、選擇權和個人信息安全，對個人信息處理活動負責。并且，違規情節嚴重的App將直接下架。

而就在3天前，工信部官網最新通報，工信部近期組織的手機應用軟件檢查中，有93款APP未完成整改。在廣東省通信管理局通報存在問題的應用軟件名單里，包括廣州農商行、廣東南粵銀行和前海微眾銀行在內的金融機構被點名。工信部等相關部門督促問題APP在規定時間內落實整改。

多款銀行APP違規收集個人信息

近年來，我國個人信息保護力度不斷加大，但App個人信息收集使用規則、目的、方式和范圍仍存在不明確的地方，部分環節仍存漏洞，個人信息保護面臨諸多問題和挑戰。

依據《網絡安全法》《電信條例》《電信和互聯網用戶個人信息保護規定》等法律法規，工信部近期組織第三方檢測機構對手機應用軟件進行檢查，重點督促游戲類、工具類存在問題的企業進行整改。截至目前，尚有93款APP未完成整改。

各通信管理局按工信部APP整治行動部署，積極開展手機應用軟件監督檢查，廣東省通信管理局檢查發現仍有45款APP未完成整改。其中，廣州農商行推出的珠江直銷銀行APP違規收集個人信息;廣東南粵銀行的廣東南粵銀行APP違規收集個人信息，APP強制、頻繁、過度索取權限;深圳前海微眾銀行的微眾企業愛普違規收集個人信息、超范圍收集個人信息。

通報要求上述APP應在4月29日前完成整改落實工作。逾期不整改的，工信部將依法依規組織開展相關處置工作。

對此，微眾銀行回復《國際金融報》記者：“獲悉廣東省通信管理局提出的整改意見后，微眾銀行第一時間與相關部門進行情況了解和緊急溝通，并對存在問題立即進行了認真整改。微眾銀行將依法合規堅決、用心維護用戶個人信息安全及其合法權益，歡迎監督。”

另外，工信部發現，APP應用商場中的軟件頻繁踩雷，也存在管理審核問題。在2021年第一季度檢測中，騰訊應用寶、小米應用商店、OPPO軟件商店、華為應用市場和vivo應用商店發現問題數量分別占比14.22%、13.81%、12.8%、11.37%和11.17%，存在上架審核不嚴格，存量問題清理不徹底，登記核驗APP開發運營者信息不準確，誤導用戶下載等問題。

金融機構緣何“屢教不改”

近年來，個人用戶信息安全備受重視，相關部門多次披露APP違規獲取用戶信息的情況，而銀行類APP屢屢上榜。

比如，在2020年12月，國家計算機病毒應急處理中心在“凈網2020”專項行動中，通過互聯網監測發現，興業銀行、內蒙古農信、內蒙古銀行、海峽銀行、鄂爾多斯銀行等6家銀行的APP因“未向用戶明示申請的全部隱私權限，涉嫌隱私不合規”而被點名。

金融機構向來是個人信息泄露的重地。中國司法大數據研究院社會治理研究中心主任李俊慧表示，2016年至2020年，全國各級人民法院一審審結涉侵害個人信息犯罪且裁判文書已公開的案件中，從所涉個人信息數據來源行業來看，金融行業占比為39.1%，位列第一。

“之所以屢禁不止，一是App經營機構的合規意識淡薄，在安全隱患問題上存在疏漏;二是機構存在一定程度的僥幸心理，以為不開展合規工作、打折完成合規工作可以渾水摸魚。”研究人士蘇筱芮對《國際金融報》記者分析。

蘇筱芮稱，被點名機構出現整而不改的情況，推測主要有如下情形：機構內部管理混亂，出現問題后沒有明確的責任人;機構對合規要求的理解存在偏差，或是技術水平低下，達不到監管要求。建議從制度方面進行完善，建立起系統化的App合規管理架構，明確相關責任人。此外，對于“失聯類”“僵尸類”App建議盡早從應用市場下架處理，以免淪為不法分子牟利的工具。

“個人信息保護的完善并非一蹴而就，各商業機構及其合作伙伴應該從數據的采集、存儲、加工、傳輸、披露等環節規范用戶個人信息管理。”蘇筱芮強調。

工信部20條規定保護個人信息

App索權以最小必要為原則

違規情節嚴重將直接下架

工信部在起草說明中提到，近年來，我國個人信息保護力度不斷加大，但App個人信息收集使用規則、目的、方式和范圍仍存在不明確的地方，部分環節仍存漏洞，個人信息保護面臨諸多問題和挑戰。

國家互聯網信息辦公室、工業和信息化部、公安部、市場監管總局持續深入開展App違法違規收集使用個人信息治理工作，工業和信息化部連續兩年開展App侵害用戶權益專項整治行動，社會反映熱烈，取得階段性明顯成效。而如今，考慮到App治理是一項具有長期性、復雜性的系統治理工作，有必要將近年來成熟的經驗做法和管理措施轉換為制度性規范文件。

在《征求意見稿》中，工信部特別明確，App應當以清晰易懂的語言告知用戶個人信息處理規則，由用戶在充分知情的前提下，作出自愿、明確的意思表示。應當采取非默認勾選的方式征得用戶同意。

《征求意見稿》共計二十條，界定了適用范圍和監管主體;確立了“知情同意”“最小必要”兩項重要原則;細化了App開發運營者、分發平臺、第三方服務提供者、終端生產企業、網絡接入服務提供者五類主體責任義務;提出了投訴舉報、監督檢查、處置措施、風險提示等四方面規范要求。

主要內容包括四大方面：

一是界定適用范圍和明確監管主體。

在適用范圍方面，《征求意見稿》明確了在中華人民共和國境內開展的App個人信息處理活動，應當遵守本規定。法律、行政法規對個人信息處理活動另有規定的，從其規定。在監管主體方面，《征求意見稿》明確了App個人信息保護的聯合工作機制，國家互聯網信息辦公室會同工業和信息化部、公安部、市場監管總局健全完善App個人信息保護監督管理聯合工作機制，統籌推進政策標準規范等相關工作，各部門在各自職責范圍內負責App個人信息保護和監督管理工作。(第一條至第五條)

二是明確“知情同意”“最小必要”兩項重要原則。

《征求意見稿》“知情同意”規定，從事App個人信息處理活動的，應當以清晰易懂的語言告知用戶個人信息處理規則，由用戶在充分知情的前提下，作出自愿、明確的意思表示，并明確了“六項應當”要求。“最小必要”規定，從事App個人信息處理活動的，應當具有明確、合理的目的，并遵循最小必要原則，不得從事超出用戶同意范圍或者與服務場景無關的個人信息處理活動，并提出了“六項不得”要求。(第六條和第七條)

三是規范關鍵環節主體責任義務。

《征求意見稿》對App治理的全鏈條、全主體、全流程予以規范，規定了App開發運營者、App分發平臺、App第三方服務提供者、移動智能終端生產企業和網絡接入服務提供者在App個人信息保護方面的具體義務。(第八條至第十二條)

四是細化違規處置流程和具體措施。

《征求意見稿》明確從事個人信息處理活動的有關主體違反要求的，依次按照通知整改、社會公告、下架處置、斷開接入、信用管理流程進行處置，并明確具體時間期限要求。特別提出，對未按要求完成整改或反復出現問題、采取技術對抗等違規情節嚴重的App，將對其進行直接下架;且下架后的App在40個工作日內不得通過任何渠道再次上架的管理要求。此外，監督管理部門將指導App分發平臺和移動智能終端生產企業在集成、分發、預置和安裝等環節進行風險提示，情節嚴重的采取禁入措施。(第十六和第十七條)

此外，《征求意見稿》還對違反本規定行為的法律責任、保密義務等作了規定。(第十八和第十九條)

以下為《移動互聯網應用程序個人信息保護管理暫行規定(征求意見稿)》原文：

移動互聯網應用程序個人信息保護管理暫行規定(征求意見稿)

第一條為保護個人信息權益，規范移動互聯網應用程序(以下簡稱App)個人信息處理活動，促進個人信息合理利用，依據《中華人民共和國網絡安全法》等法律法規，制定本規定。

第二條在中華人民共和國境內開展的App個人信息處理活動，應當遵守本規定。法律、行政法規對個人信息處理活動另有規定的，從其規定。

第三條本規定所稱App個人信息處理活動，是指移動智能終端中運行的應用程序收集、存儲、使用、加工、傳輸個人信息的活動。

本規定所稱App開發運營者，是指從事App開發和運營活動的主體。

本規定所稱App分發平臺，是指通過應用商店、應用市場、網站等方式提供App下載、升級服務的軟件服務平臺。

本規定所稱App第三方服務提供者，是指相對于用戶和App以外的，為App提供軟件開發工具包(SDK)、封裝、加固、編譯環境等第三方服務的主體。

本規定所稱移動智能終端生產企業，是指生產能夠接入公眾網絡，提供預置App或者具備安裝App能力的移動智能終端設備的主體。

本規定所稱網絡接入服務提供者，是指從事互聯網數據中心(IDC)業務、互聯網接入服務(ISP)業務和內容分發網絡(CDN)業務，為App提供網絡接入服務的電信業務經營者。

第四條國家互聯網信息辦公室負責統籌協調App個人信息保護工作和相關監督管理工作，會同工業和信息化部、公安部、市場監管總局建立健全App個人信息保護監督管理聯合工作機制，統籌推進政策標準規范等相關工作，加強信息共享及對App個人信息保護工作的指導。各部門在各自職責范圍內負責App個人信息保護和監督管理工作。

省、自治區、直轄市網信辦、通信管理局、公安廳(局)、市場監管局負責本行政區域內App個人信息保護監督管理工作。

前兩款規定的部門統稱為App個人信息保護監督管理部門。

第五條App個人信息處理活動應當采用合法、正當的方式，遵循誠信原則，不得通過欺騙、誤導等方式處理個人信息，切實保障用戶同意權、知情權、選擇權和個人信息安全，對個人信息處理活動負責。

相關行業組織和專業機構按照有關法律法規、標準及本規定，開展App個人信息保護能力評估、認證。

第六條從事App個人信息處理活動的，應當以清晰易懂的語言告知用戶個人信息處理規則，由用戶在充分知情的前提下，作出自愿、明確的意思表示。

(一)應當在App登錄注冊頁面及App首次運行時，通過彈窗、文本鏈接及附件等簡潔明顯且易于訪問的方式，向用戶告知涵蓋個人信息處理主體、處理目的、處理方式、處理類型、保存期限等內容的個人信息處理規則;

(二)應當采取非默認勾選的方式征得用戶同意;

(三)應當尊重用戶選擇權，在取得用戶同意前或者用戶明確表示拒絕后，不得處理個人信息;個人信息處理規則發生變更的，應當重新取得用戶同意;

(四)應當在對應業務功能啟動時，動態申請App所需的權限，不應強制要求用戶一攬子同意打開多個系統權限，且未經用戶同意，不得更改用戶設置的權限狀態;

(五)需要向本App以外的第三方提供個人信息的,應當向用戶告知其身份信息、聯系方式、處理目的、處理方式和個人信息的種類等事項,并取得用戶同意;

(六)處理種族、民族、宗教信仰、個人生物特征、醫療健康、金融賬戶、個人行蹤等敏感個人信息的，應當對用戶進行單獨告知，取得用戶同意后，方可處理敏感個人信息。

第七條從事App個人信息處理活動的，應當具有明確、合理的目的，并遵循最小必要原則，不得從事超出用戶同意范圍或者與服務場景無關的個人信息處理活動。

(一)處理個人信息的數量、頻次、精度等應當為服務所必需，不得超范圍處理個人信息;

(二)個人信息的本地讀取、寫入、刪除、修改等操作應當為服務所必需，不得超出用戶同意的操作范圍;

(三)用戶拒絕相關授權申請后，不得強制退出或者關閉App，不得提前申請超出其業務功能或者服務外的權限，不得利用頻繁彈窗反復申請與當前服務場景無關的權限;

(四)在非服務所必需或者無合理場景下，不得自啟動或者關聯啟動其他App;

(五)用戶拒絕提供非該類服務所必需的個人信息時，不得影響用戶使用該服務;

(六)不得以改善服務質量、提升使用體驗、研發新產品、定向推送信息、風險控制等為由，強制要求用戶同意超范圍或者與服務場景無關的個人信息處理行為。

第八條App開發運營者應當履行以下個人信息保護義務：

(一)切實提升產品和服務個人信息保護意識，將個人信息保護要求落實在產品設計、開發及運營環節;以顯著、清晰的方式定期向用戶呈現App的個人信息收集使用情況;

(二)基于個人信息向用戶提供商品或者服務的搜索結果的，應當保證結果公平合理，同時向該用戶提供不針對其個人特征的選項，尊重和平等保護用戶合法權益;

(三)使用第三方服務的，應當制定管理規則，明示App第三方服務提供者的名稱、功能、個人信息處理規則等內容;應與第三方服務提供者簽訂個人信息處理協議，明確雙方相關權利義務，并對第三方服務提供者的個人信息處理活動和信息安全風險進行管理監督;App開發運營者未盡到監督義務的，應當依法與第三方服務提供者承擔連帶責任;

(四)對于不影響其他服務功能的獨立服務功能模塊，應當向用戶提供關閉或者退出該獨立服務功能的選項，不得因用戶采取關閉或者退出操作而拒絕提供其他服務;

(五)加強前端和后端安全防護、訪問控制、技術加密、安全審計等工作，主動監測發現個人信息泄露等違規行為，及時響應處置要求;

(六)國家規定的其他個人信息保護義務。

第九條App分發平臺應當履行以下個人信息保護義務：

(一)登記并核驗App開發運營者、提供者的真實身份、聯系方式等信息;

(二)在顯著位置標明App運行所需獲取的用戶終端權限列表和個人信息收集的類型、內容、目的、范圍、方式、用途及處理規則等相關信息;

(三)不得欺騙誤導用戶下載App;

(四)對新上架App實行上架前個人信息處理活動規范性審核，對已上架App在本規定實施后1個月內完成補充審核，并根據審核結果進行更新或者清理;

(五)建立App開發運營者信用積分、風險App名單、平臺信息共享及簽名驗證等管理機制;

(六)按照監督管理部門的要求，完善報送機制，及時配合監督管理部門開展問題App上報、響應和處置工作;

(七)設置便捷的投訴舉報入口，及時處理公眾對本平臺所分發App的投訴舉報;

(八)國家規定的其他個人信息保護義務。

第十條App第三方服務提供者應當履行以下個人信息保護義務：

(一)制定并公開個人信息處理規則;

(二)以明確、易懂、合理的方式向App開發運營者公開其個人信息處理目的、處理方式、處理類型、保存期限等內容，其個人信息處理活動應當與公開的個人信息處理規則保持一致;

(三)未經用戶同意或者在無合理業務場景下，不得自行進行喚醒、調用、更新等行為;

(四)采取足夠的管理措施和技術手段保護個人信息，發現安全風險或者個人信息處理規則變更時應當及時進行更新并告知App開發運營者;

(五)未經用戶同意，不得將收集到的用戶個人信息共享轉讓;

(六)國家規定的其他個人信息保護義務。

第十一條移動智能終端生產企業應當履行以下個人信息保護義務：

(一)完善終端權限管控機制，及時彌補權限管理漏洞，持續優化和規范敏感行為的記錄能力，主動為用戶權限申請和告知提供便利;

(二)建立終端啟動和關聯啟動App管理機制，為用戶提供關閉自啟動和關聯啟動的功能選項;

(三)持續優化個人信息權限在用狀態，特別是錄音、拍照、視頻等敏感權限在用狀態的顯著提示機制，幫助用戶及時準確了解個人信息權限的使用狀態;

(四)建立重點App關注名單管理機制，完善移動智能終端App管理措施;

(五)對預置App進行審核，持續監測預置App的個人信息安全風險;

(六)在安裝過程中以顯著方式告知用戶App申請的個人信息權限列表;

(七)完善終端設備標識管理機制;

(八)國家規定的其他個人信息保護義務。

第十二條網絡接入服務提供者應當履行以下個人信息保護義務：

(一)在為App提供網絡接入服務時，登記并核驗App開發運營者的真實身份、聯系方式等信息;

(二)按照監督管理部門的要求，依法對違規App采取停止接入等必要措施，阻止其繼續違規侵害用戶個人信息和其他合法權益;

(三)國家規定的其他個人信息保護義務。

第十三條從事App個人信息處理活動的相關主體，應當加強人員教育培訓，制定個人信息保護內部管理制度，落實網絡安全等級保護和應急預案等制度要求;采取加密、去標識化等安全技術措施，防止未經授權的訪問及個人信息泄露或者被竊取、篡改、刪除等風險;需要認證用戶真實身份信息的，應當通過國家統一建設的公民身份認證基礎設施所提供的網上公民身份核驗認證服務進行。

第十四條任何組織和個人發現違反本規定行為的，可以向監督管理部門或者中國互聯網協會、中國網絡空間安全協會投訴舉報，監督管理部門和相關組織應當及時受理并調查處理。

從事App個人信息處理活動的相關主體應當自覺接受社會監督。

第十五條根據公眾投訴舉報情況和監管中發現的問題，監督管理部門可以對存在問題和風險的App實施個人信息保護檢查。

從事App個人信息處理活動的相關主體應當對監督管理部門依法實施的監督檢查予以配合。

第十六條發現從事個人信息處理活動的相關主體違反本規定的，監督管理部門可依據各自職責采取以下處置措施：

(一)責令整改與社會公告。對檢測發現問題App的開發運營者、App分發平臺、第三方服務提供者及相關主體提出整改，要求5個工作日內進行整改及時消除隱患;未完成整改的，向社會公告。

(二)下架處置。對社會公告5個工作日后，仍拒絕整改或者整改后仍存在問題的，可要求相關主體進行下架處置;對反復出現問題、采取技術對抗等違規情節嚴重的，將對其進行直接下架;被下架的App在40個工作日內不得通過任何渠道再次上架。

(三)斷開接入。下架后仍未按要求完成整改的，將對其采取斷開接入等必要措施。

(四)恢復上架。被下架的App完成整改，并完善技術和管理機制及作出企業自律承諾后，可向作出下架要求的監督管理部門申請恢復上架。

(五)恢復接入。被斷開網絡接入的App完成整改后，可向作出斷開接入要求的監督管理部門申請恢復接入。

(六)信用管理。對相應違規主體，可納入信用管理，實施聯合懲戒。

第十七條對整改反復出現問題的App及其開發運營者開發的相關App，監督管理部門可以指導組織App分發平臺和移動智能終端生產企業在集成、分發、預置和安裝等環節進行風險提示，情節嚴重的采取禁入措施。

第十八條從事App個人信息處理活動侵害個人信息權益的，將依照有關規定予以處罰;構成犯罪的，公安機關依法追究刑事責任。

第十九條監督管理部門應當對履行職責中知悉的用戶個人信息予以保密，不得泄露、篡改或者毀損，不得出售或者非法向他人提供。

第二十條本規定自年月日起施行。

關鍵詞： 工信部 個人信息