11月4日,工业和信息化部发布《关于开展APP侵害用户权益专项整治工作的通知》(以下简称“工信部整治工作通知”),即日起,就APP违规收集个人信息、过度索权、频繁骚扰用户等侵害用户权益问题,开展信息通信领域APP侵害用户权益专项整治行动。工业和信息化部信息通信管理局在召开的整治工作启动会上表示,开展APP专项整治,是贯彻以人民为中心的发展思想,聚焦解决群众反映强烈问题的积极作为;是对前期四部委开展APP违法违规收集使用个人信息专项治理行动成果的巩固和深化;是创新监管方式的有益尝试。

本次整治行动将面向APP服务提供者和APP分发服务提供者两类主体对象,重点整治违规收集用户个人信息、违规使用用户个人信息、不合理索取用户权限、为用户账号注销设置障碍等四个方面的8类突出问题。整治工作分为企业自查自纠、监督检查和结果处置三个阶段,时间为2个月。

App专项治理工作组自2019年以来,根据公众举报情况,对各类收集使用个人信息保护问题进行归纳、梳理,重点参照《网络安全法》等相关法律法规要求和个人信息保护相关国家标准,制定、完善了一系列技术规范和标准文本,为相关监管部门界定违法违规收集使用个人信息行为以及App运营者整改提升提供重要参考,也为开展App违法违规收集使用个人信息评估工作和指导企业整改提供重要支撑。相关文件主要包括:

对于此次工信部门“整治工作通知”提到的四个方面的8类突出问题,App专项治理工作组对其内容进行梳理、对照,供企业自查自纠过程中参考:

“工信部整治工作通知”内容

App专项治理工作组公布相关技术规范和标准文本中可参考的主要对应内容

四个方面

8类突出问题

违规收集用户个人信息方面

私自收集个人信息

“认定方法”第三节:1.3.9等;

“自评估指南”评估点20.23等;

“GB/T 35273”5.4节等;

“收集基本规范”第4章b)c)l)等。

超范围收集个人信息

“认定方法”第四节:1.2.5.6等;

“自评估指南”评估点25.26.27等;

“GB/T 35273”5.2节等;

“收集基本规范”第4章d)e)i)等。

违规使用用户个人信息方面

私自共享给第三方

“认定方法”第五节:1.2等;

“自评估指南”评估点22等;

“GB/T 35273”8.2、8.7节等;

“收集基本规范”第4章h)等。

强制用户使用定向推送功能

“认定方法”第三节:4等;

“GB/T 35273”7.5节等。

不合理索取用户权限方面

不给权限不让用

“认定方法”第四节:3.4等;

“自评估指南”评估点24.26等;

“GB/T 35273”5.3节 a)b)e)等;

“收集基本规范”第4章d)j)等。

频繁申请权限

“认定方法”第三节:8等;

“自评估指南”评估点28等;

“GB/T 35273”5.3节 d)等;

“收集基本规范”第4章g)等。

过度索取权限

“认定方法”第四节:1.7等;

“自评估指南”评估点27等;

“GB/T 35273”5.2节等;

“收集基本规范”第4章d)e)等。

为用户账号注销设置障碍方面

账号注销难

“认定方法”第六节:1.2.3等;

“自评估指南”评估点30等;

“GB/T 35273”7.12节等。

在实践中,个人信息保护问题还具有一定的复杂性、矛盾性,如何理解问题的成因、提出更加有针对性,有助于用户理解的方案,还需要具体问题具体分析。App专项治理工作组针对一些难点问题,撰写了具体技术研讨文章,可供细读和参考。文章链接如下:

1、违规收集用户个人信息方面:

不点“同意”隐私政策不让用App,这合理吗?

专题研究 | 手机设备识别码类型分析

2、违规使用用户个人信息方面:

专题·研究|关注App嵌入第三方SDK收集使用个人信息安全隐患

3、不合理索取用户权限方面:

App申请和使用“可收集个人信息权限”案例分析

专题研究|App申请安卓系统权限机制分析与建议

App申请权限时告知目的,是多此一举吗?

存储权限,到底是不是必需的?

4、为用户账号注销设置障碍方面:

注销难,难于上青天,使人听此凋朱颜!

结语

个人信息保护管理工作不可能一蹴而就、一劳永逸,亟待建立科学、长效的监督机制,以有效化解风险,促进发展创新,建设良好生态,引导对个人信息的良性开发利用。同样,企业的个人信息保护合规工作也是不断优化调整的过程,面对商业利益和个人权益、产品研发创新和用户合理诉求之间,还需不断探索寻求更加透明、友好、合理的解决方案。

声明:本文来自App个人信息举报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。