免费网站看v片在线18禁无码,国产中文成人精品久久久

當前位置：100EC>數(shù)字零售>六個角度簡要評析《移動互聯(lián)網應用程序個人信息保護管理暫行規(guī)定（征求意見稿）》

六個角度簡要評析《移動互聯(lián)網應用程序個人信息保護管理暫行規(guī)定（征求意見稿）》

作者：吳旭華王佳偉來源：吳旭華律師團隊（微信號：wuxhlawyer）發(fā)布時間：2021年05月12日 11:24:03

(網經社訊)2021年4月26日，工業(yè)和信息化部信息通信管理局（以下簡稱工信部通管局）發(fā)布了《移動互聯(lián)網應用程序個人信息保護管理暫行規(guī)定（征求意見稿）》（以下簡稱《征求意見稿》），并向社會公開征求意見。工信部通管局指出，App治理是一項具有長期性、復雜性的系統(tǒng)治理工作，有必要將近年來取得的成熟經驗做法和管理措施轉換為制度性規(guī)范文件?！墩髑笠庖姼濉烦雠_，正是強化App個人信息保護管理的系統(tǒng)性、整體性和協(xié)同性，回應當前個人信息保護面臨的諸多問題和挑戰(zhàn)。

《征求意見稿》共計二十條，分別界定了適用范圍和監(jiān)管主體；確立了“知情同意”“最小必要”兩項重要原則；細化了App開發(fā)運營者、分發(fā)平臺、第三方服務提供者、終端生產企業(yè)、網絡接入服務提供者等五類主體責任義務；提出了投訴舉報、監(jiān)督檢查、處置措施、風險提示等四方面規(guī)范要求。本文將結合法律實務，簡要分析《征求意見稿》的六大要點，為合規(guī)做好準備。

一、明確App個人信息處理活動涉及主體

《征求意見稿》結合監(jiān)管部門近兩年來已經成熟的經驗做法和管理措施制度，以互聯(lián)網的分層結構為線索，系統(tǒng)性明確了參與App個人信息處理活動的主體，具體包括：

（一）網絡接入服務提供者，是指從事互聯(lián)網數(shù)據(jù)中心（IDC）業(yè)務、互聯(lián)網接入服務（ISP）業(yè)務和內容分發(fā)網絡（CDN）業(yè)務，為App提供網絡接入服務的電信業(yè)務經營者，包括移動、電信、聯(lián)通等網絡運營商。這部分主體從事基礎網絡服務，雖然不能在個人信息保護中起到直接作用，但對于監(jiān)管部門的違法糾正措施可以起到落實作用，所以也是主體之一。

（二）移動智能終端生產企業(yè)，是指生產能夠接入公眾網絡，提供預置App或者具備安裝App能力的移動智能終端設備的主體，例如蘋果、華為、小米等企業(yè)；如果把App比喻為一個工具，那么這部分主體所生產的設備就是工具箱，就個人信息保護同樣起到源頭的控制作用。

（三）App分發(fā)平臺，是指通過應用商店、應用市場、網站等方式提供App下載、升級服務的軟件服務平臺，例如蘋果市場（Apple Store）、華為應用市場、騰訊應用寶、百度應用商店等。

（四）App開發(fā)運營者和App第三方服務提供者，前者指的是從事App開發(fā)和運營活動的主體，這也是個人信息保護重要規(guī)制對象，后者則指向相對于用戶和App以外的，為App提供軟件開發(fā)工具包（SDK）、封裝、加固、編譯環(huán)境等第三方服務的主體。結合《網絡安全標準實踐指南-移動互聯(lián)網應用程序（App）使用軟件開發(fā)工具包（SDK）安全指引》（TC260-PG-20205A，以下簡稱《SDK安全指引》）第3.2條“常見SDK類型”的規(guī)定可知，兩者均屬于App內容服務的提供者。

過去對個人信息保護實踐更多關注的是App內容服務提供者，而忽視了其他參與者同樣就違規(guī)處理個人信息行為會有所涉及，例如，《工業(yè)和信息化部關于開展縱深推進App侵害用戶權益專項整治行動的通知》（工信部信管函〔2020〕164號）即指出應用分發(fā)平臺責任落實不到位的問題。原因在于App內容服務提供者數(shù)量眾多，且與個人信息主體的關系最為密切。此次《征求意見稿》明確了涉及App個人信息處理活動的全周期的主體，并規(guī)定了各自的個人信息安全保護義務，將對個人信息保護起到積極作用。

二、明確App個人信息保護的監(jiān)管分工

《征求意見稿》第4條明確各部門對App個人信息保護的監(jiān)管職責。具體而言，在國家網信辦負責統(tǒng)籌協(xié)調下，工業(yè)和信息化部、公安部、市場監(jiān)管總局以及國家網信辦建立健全App個人信息保護監(jiān)督管理聯(lián)合工作機制，在各自職責范圍內負責App個人信息保護和監(jiān)督管理工作。該規(guī)定明確了各部門的職責分工，有利于降低因監(jiān)管部門職責不明而產生的行政監(jiān)管及企業(yè)合規(guī)成本，在厘清職責分工的基礎上也有利于四部委就重大問題積極開展聯(lián)合整治活動。

第5條第2款規(guī)定：“相關行業(yè)組織和專業(yè)機構按照有關法律法規(guī)、標準及本規(guī)定，開展App個人信息保護能力評估、認證。”這些“相關行業(yè)組織和專業(yè)機構”應被視為監(jiān)管的輔助力量，因其范圍尚未明確，涉及設立許可、資格獲取以及業(yè)務的開展等，有必要在正式版本或者后期規(guī)范性文件中予以明確。與之相關的是，《中華人民共和國個人信息保護法（草案二次審議稿）》（以下簡稱《個人信息保護法（二審稿）》）第38條第2項規(guī)定，個人信息處理者“按照國家網信部門的規(guī)定經專業(yè)機構進行個人信息保護認證”后，可向境外提供個人信息，即是評估、認證機制應用的具體制度。

三、細化App個人信息“知情同意”系列規(guī)則

《征求意見稿》第6條規(guī)定：“從事App個人信息處理活動的，應當以清晰易懂的語言告知用戶個人信息處理規(guī)則，由用戶在充分知情的前提下，作出自愿、明確的意思表示?！痹摋l的表述與《個人信息保護法（二審稿）》第14、18條的表述基本一致。從遵守“知情同意”規(guī)范要求角度而言，App領域的個人信息處理者應以《網絡安全標準實踐指南—移動互聯(lián)網應用程序（App）收集使用個人信息自評估指南》（TC260-PG-20202A）、GB/T 35273-2020《信息安全技術個人信息安全規(guī)范》《App違法違規(guī)收集使用個人信息行為認定方法》（國信辦秘字〔2019〕191號）等文件為參照。

特別值得關注的是，App環(huán)境中用戶與企業(yè)制定的個人信息保護政策（隱私政策）之間的交互?！墩髑笠庖姼濉返?條第2項指出“應當采取非默認勾選的方式征得用戶同意”，若程序上無需用戶點擊個人信息保護政策，則有可能被法院認定為未履行充分告知義務，例如在“上海尋夢信息技術有限公司與徐壽鋒管轄裁定書”中，江蘇省蘇州市中級人民法院認定“徐某某登錄拼多多App 時，系統(tǒng)已經默認‘我已經閱讀并同意服務協(xié)議與隱私政策’，徐壽鋒僅需要通過輸入手機號碼、驗證碼等信息，點擊“同意協(xié)議并登錄”圖標即可進入拼多多購物平臺進行購物。整個購物過程均無須點擊閱讀《拼多多用戶服務協(xié)議》，因此不能認定上海尋夢信息技術有限公司已采取合理方式對《拼多多用戶服務協(xié)議》中的約定管轄條款向徐壽鋒履行了提示義務，故應認定案涉協(xié)議管轄條款無效。”

實務中比較保險的做法是，中斷用戶當前操作界面，進行單獨的彈窗提醒。《個人信息保護法（二審稿）》也在多處規(guī)定了“單獨同意”的規(guī)范要求，此種單獨提醒將成為未來App業(yè)務的常態(tài)。此外，復雜、頻繁的交互設定也會有損于用戶體驗，進而違反相應規(guī)定。

四、明確App個人信息處理“最小必要”原則

《網絡安全法》第41條和《民法典》第1035條規(guī)定了個人信息處理活動的“合法、正當、必要”原則，并規(guī)定“不得過度處理”，《個人信息保護法（二審稿）》第6條則強調了“目的限制”和“最小范圍”原則?！墩髑笠庖姼濉返?條明確了App個人信息處理“最小必要”原則。工信部通管局在《征求意見稿》的起草說明中將“知情同意”與“最小必要”并列稱為原則，存在一定的誤區(qū)。以《個人信息保護法（二審稿）》的體系來看，“目的限制”和“最小范圍”原則位于“總則”部分，而“知情同意”原則貫穿于各項規(guī)則中。全國人大常委會法工委發(fā)言人也強調“告知-同意”系個人信息處理一系列規(guī)則的核心。因此，“最小必要”原則要求不得從事超出用戶同意范圍或者與服務場景無關的個人信息處理活動，在正式稿中可將考慮第7條置于第6條之前。

實踐中不少App內容服務提供主體存在違反“最小必要”原則的情形，為了拓展和完善其業(yè)務功能，往往在個人信息保護政策中“一股腦”地征求取得各類信息和處理活動權限的個人同意。2021年5月5日，國家網信辦組織對輸入法、地圖導航等常見類型公眾大量使用的部分App的個人信息收集使用情況進行了檢測，31款App存在“違反必要原則，收集與其提供的服務無關的個人信息”的情況。就企業(yè)合規(guī)而言，近期生效的《常見類型移動互聯(lián)網應用程序必要個人信息范圍規(guī)定》能夠提供參照，其劃定了39種常見類型App的基本功能服務和必要個人信息范圍，可以成為“最小必要”原則落地的重要參考依據(jù)。

五、細化App個人信息保護五類主體責任義務

《征求意見稿》對App治理的全鏈條、全主體、全流程予以規(guī)范，第8-12條分別規(guī)定了上述五類主體的具體責任義務。細化的責任義務內容，體現(xiàn)了將個人信息保護落實到設計、開發(fā)及運營各環(huán)節(jié)的理念，未來愈發(fā)嚴苛的數(shù)據(jù)合規(guī)要求，也將促使企業(yè)踐行以人為本的技術實踐。歐盟《一般數(shù)據(jù)保護條例》（General Data Protection Regulation，簡稱GDPR）以及美國《加利福尼亞州消費者隱私保護法案》（California Consumer PrivacyAct，簡稱CCPA）都強調了技術對于個人信息保護的作用。特別是GDPR第25條規(guī)定了數(shù)據(jù)控制者在處理個人數(shù)據(jù)時應實施適當?shù)募夹g和組織措施，確保數(shù)據(jù)保護原則得以落實，特別是確保在默認情況下只有對特定處理目的有必要的個人數(shù)據(jù)才能被處理。

2021年3月22日，張新寶教授在中國人民大學民商事法律科學研究中心主辦的“個人信息保護法中英研討會”中認為，對數(shù)以百萬計的App分別監(jiān)管是困難的，應對實際上控制技術資源、技術環(huán)境和運營環(huán)境的信息處理者，設置“守門人”個人信息處理的特別義務?！笆亻T人”包括應用程序的分發(fā)平臺、操作系統(tǒng)以及大型平臺App，承擔的是個人信息處理的特殊義務。此種觀點已被《征求意見稿》所吸收。App分發(fā)平臺、移動智能終端生產企業(yè)、網絡接入服務提供者均負有對App的身份登記、監(jiān)督管理以及懲戒的義務。

就App開發(fā)運營者和App第三方服務提供者關系而言，《征求意見稿》第10條明確規(guī)定App第三方服務提供者負有向App開發(fā)運營者公開其個人信息處理目的、處理方式、處理類型、保存期限等內容的義務，并在發(fā)現(xiàn)安全風險或者個人信息處理規(guī)則變更時應當及時進行更新并告知App開發(fā)運營者。

結合《征求意見稿》第8條，應由App開發(fā)運營者向用戶進行告知，并進行監(jiān)督和管理。這是由于SDK通常無法獨立展示前臺頁面，其告知行為需要借助宿主App向用戶提供。法律效果上，App開發(fā)運營者未盡到監(jiān)督義務的，應當依法與第三方服務提供者承擔連帶責任。該連帶責任的要求，較之《SDK安全指引》根據(jù)App使用SDK方式的不同進行責任的區(qū)分，更為苛責。

實踐中由于技術原因，App可能對SDK的個人信息處理情況不夠了解，這就要求App開發(fā)運營者與App第三方服務提供者在訂立開發(fā)者服務協(xié)議時明確約定數(shù)據(jù)安全的監(jiān)管措施以及權利義務安排。

六、明確監(jiān)管部門可采取處置措施

《征求意見稿》第16、17條明確了監(jiān)督管理部門可依據(jù)各自職責對App處理個人信息的違規(guī)行為采取處置措施，具體而言包括責令整改與社會公告、下架處置、斷開接入、信用管理。

特別是信用管理將會對企業(yè)產生較大威懾力，根據(jù)2015年多部門印發(fā)的《失信企業(yè)協(xié)同監(jiān)管和聯(lián)合懲戒合作備忘錄》，市場監(jiān)督管理部門（原工商行政管理部門）可對企業(yè)及其法定代表人，以及根據(jù)相關法律法規(guī)規(guī)定對企業(yè)嚴重違法行為負有責任的企業(yè)法人和自然人股東、其他相關人員，采取市場準入和任職資格限制。

在時間期限上，App若被責令整改，應在5日內完成整改，否則會被社會公告；社會公告后企業(yè)的整改亦應在5日內完成，否則將會遭到下架處理。對反復出現(xiàn)問題、采取技術對抗等違規(guī)情節(jié)嚴重的，將對其進行直接下架；被下架的App在40個工作日內不得通過任何渠道再次上架。此外，監(jiān)督管理部門可以指導組織App分發(fā)平臺和移動智能終端生產企業(yè)充分發(fā)揮“守門人”義務，對整改反復出現(xiàn)問題的App及其開發(fā)運營者開發(fā)的相關App，在集成、分發(fā)、預置和安裝等環(huán)節(jié)進行風險提示，情節(jié)嚴重的采取禁入措施。

---結語---

個人信息保護的規(guī)范體系愈發(fā)完善和嚴格，任何涉及App場景下個人信息處理活動的市場主體都不能心存僥幸，應落實“以人為本”的技術設計和制度保障，切實維護用戶的個人信息合法權益，提升企業(yè)信用和品牌聲譽。

浙江網經社信息科技公司擁有18年歷史，作為中國領先的數(shù)字經濟新媒體、服務商，提供“媒體+智庫”、“會員+孵化”服務；（1）面向電商平臺、頭部服務商等PR條線提供媒體傳播服務；（2）面向各類企事業(yè)單位、政府部門、培訓機構、電商平臺等提供智庫服務；（3）面向各類電商渠道方、品牌方、商家、供應鏈公司等提供“千電萬商”生態(tài)圈服務；（4）面向各類初創(chuàng)公司提供創(chuàng)業(yè)孵化器服務。

網經社“電數(shù)寶”電商大數(shù)據(jù)庫（DATA.100EC.CN，免費注冊體驗全庫）基于電商行業(yè)18年沉淀，包含100+上市公司、新三板公司數(shù)據(jù)，150+獨角獸、200+千里馬公司數(shù)據(jù)，4000+起投融資數(shù)據(jù)以及10萬+互聯(lián)網APP數(shù)據(jù)，全面覆蓋“頭部+腰部+長尾”電商，旨在通過數(shù)據(jù)可視化形式幫助了解電商行業(yè)，挖掘行業(yè)市場潛力，助力企業(yè)決策，做電商人研究、決策的“好參謀”。