2022年12月27日,工信部发布《关于进一步提升移动互联网应用服务能力的通知(征求意见稿)》(以下简称“《通知(征求意见稿)》”),向社会公开征求意见,意见反馈截至2023年1月10日。该稿在《中华人民共和国个人信息保护法》(下称“《个人信息保护法》”)、《中华人民共和国电信条例》(下称“《电信条例》”)、《规范互联网信息服务市场秩序若干规定》(下称“《互联网信息服务若干规定》”)、《电信和互联网用户个人信息保护规定》等相关法律法规的基础之上进一步细化了互联网应用服务的要求。明确要规范安装卸载行为、优化服务体验、加强个人信息保护、响应用户诉求,提出要落实APP开发运营者主体责任、强化平台分发管理、规范SDK应用服务、筑牢终端安全防线、夯实接入企业责任等要求,提升全流程服务感知、全链条管理能力,优化服务供给,改善用户体验,营造良好的信息消费环境,促进行业高质量发展。下文将就该通知中的亮点进行分析。
01 提高全流程感知,保护用户合法权益
(一)规范安装卸载行为
《通知(征求意见稿)》提到要确保知情同意安装,具体而言包括“向用户推荐下载APP应遵循公开、透明原则,真实、准确、完整地明示开发者信息、产品功能、隐私政策、权限列表等必要信息,并同步提供明显的“取消”选项,经用户确认同意后方可下载安装,切实保障用户知情权、选择权。不得通过‘偷梁换柱’‘强制捆绑’‘静默下载’等方式欺骗误导用户下载安装。”该要求也体现了《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》(下称“《专项整治行动的通知》”)的重点整治任务,具有分发功能的移动应用程序应当避免通过上述方式欺骗误导用户下载非用户所自愿下载的App。
值得注意的是,《通知(征求意见稿)》提出了为用户提供APP自启动和关联启动的关闭功能,以及便捷的设备识别码重置选项,以此加强对APP静默下载、热更新的监测,防范未经用户同意私自下载、安装的行为,进一步夯实了App终端的安全防线。除此之外,我们也建议App不得在未向用户告知且未经用户同意,或无合理的使用场景,频繁自启动或关联启动第三方APP。
此外,《通知(征求意见稿)》进一步规范了网页推荐下载行为,要求为“在用户浏览页面内容时,未经用户同意或主动选择,不得自动或强制下载APP,或以折叠显示、主动弹窗、频繁提示等方式强迫用户下载、打开APP影响用户正常浏览信息。无合理正当理由,不得要求用户不下载APP就不给看,或者不让看全文。除基本功能软件外,APP应可便捷卸载,不得以空白名称、透明图标、后台隐藏等方式恶意阻挠用户卸载。”
该要求以列举的方式明确了干扰用户下载行为的情形,约束了通过违背用户意愿和选择权、增加操作复杂性、破坏使用连贯性等方式影响用户选择权的行为,与《互联网信息服务若干规定》第八条和第九条的规定的规定一脉相承,第八条规定“互联网信息服务提供者在用户终端上进行软件下载、安装、运行、升级、卸载等操作的,应当提供明确、完整的软件功能等信息,并事先征得用户同意。互联网信息服务提供者不得实施下列行为:1.欺骗、误导或者强迫用户下载、安装、运行、升级、卸载软件;2.未提供与软件安装方式同等或者更便捷的卸载方式;3.在未受其他软件影响和人为破坏的情况下,未经用户主动选择同意,软件卸载后有可执行代码或者其他不必要的文件驻留在用户终端。”以及,第九条规定“互联网信息服务终端软件捆绑其他软件的,应当以显著的方式提示用户,由用户主动选择是否安装或者使用,并提供独立的卸载或者关闭方式,不得附加不合理条件。”
除此之外,互联网企业往往可能利用算法干扰用户下载App的行为,该要求也反映了《反不正当竞争法(修订草案征求意见稿)》第十五条的要求,即“经营者利用网络从事生产经营活动,应当遵守本法的各项规定。经营者不得利用数据和算法、技术以及平台规则等,通过影响用户选择或者其他方式,扰乱市场公平竞争秩序。”我们理解该条体现出了数据保护领域与反不正当竞争领域日趋结合的倾向,体现了对《禁止网络不正当竞争行为(征求意见稿)》第十五条规定的协调衔接,即“经营者不得利用技术手段,违背用户意愿下载、安装、运行应用程序,损害消费者合法权益或者影响其他经营者合法提供的设备、功能或者其他程序正常运行,”进而干扰其他经营者合法提供的网络产品或者服务。
(二)优化服务体验
《通知(征求意见稿)》明确提出要为用户提供可选择关闭的窗口,具体而言,“开屏和弹窗信息窗口要提供清晰有效的关闭按钮,不得频繁弹窗干扰用户正常使用,或利用‘全屏热力图’、高灵敏度‘摇一摇’等易造成误触发的方式诱导用户操作。”该要求呼应并细化了《互联网信息服务若干规定》第十条的规定,即“互联网信息服务提供者在用户终端弹出广告或者其他与终端软件功能无关的信息窗口的,应当以显著的方式向用户提供关闭或者退出窗口的功能标识。”此外,根据《工业和信息化部关于开展信息通信服务感知提升行动的通知》(下称“《信息通信服务感知提升行动的通知》”)提出的服务优化举措建议,开屏信息和弹窗信息的关闭按钮大小、位置、颜色应易于操作辨认,让用户“找得到,关得了”,同时App开屏信息窗口不得使用整屏图片、视频等作为跳转链接,诱导用户点击或易造成用户误点击,给用户带来不便。通过优化App开屏弹窗信息的展示方式,保护了用户的便捷选择权,并举例说明了易引发误触发的方式清除用户体验过程中可能遇到的操作障碍,进一步优化了用户的使用体验。
《通知(征求意见稿)》明确应提前告知服务事项,包括“清晰明示产品功能权益及资费水平等内容,存在开通会员、收费等附加条件的,应显著提示。未经明示,不得在提供产品服务过程中擅自添加限制性条件,并以此为由终止用户正常使用的产品功能和服务,或降低服务体验。在非服务所必需或无合理场景下,不得自启动和关联启动其他APP,或进行唤醒、调用、更新等行为”。除此之外,《通知(征求意见稿)》还明确要求,对自动续订、自动续费方式服务,应当征得用户同意,不得默认勾选、强制捆绑开通。具体而言,在自动续订、自动续费前5日以短信等显著方式提醒用户注意,服务期间提供便捷的随时退订方式和自动续订、自动续费取消途径。
从上述规定可以看出,相较于《个人信息保护法》等法律法规的要求,《通知(征求意见稿)》在优化用户服务体验方面走向了更细化的层面,针对自动续订、自动续费等常见的场景和服务,规定了不得默认勾选和强制捆绑开通的要求,为用户的选择清除了障碍,为用户使用续费服务带来了快捷与便利。
(三)加强个人信息保护
《通知(征求意见稿)》在《信息安全技术个人信息安全规范(GB/T 35273一2020)》(下称“《个人信息安全规范》”)等标准基础上进一步明确了个人信息处理活动应具有明确合理的目的,除了不得仅以服务体验、产品研发、提升安全性为由收集个人信息外,考虑到算法技术的隐蔽性以及实践当中一些企业可能出于自身风险控制建模和产品更新迭代等原因,可能超出原有范围收集用户个人信息,《通知(征求意见稿)》还进一步提出了不得以算法推荐、风险控制等为由违规收集个人信息,或强制用户同意收集与服务场景无关的个人信息,并在用户拒绝提供非当前服务所必需的个人信息时,不得影响用户使用该服务的基本功能。由此可见,该条囊括了2022年3月生效的《互联网信息服务算法推荐管理规定》中对算法服务的要求,¹旨在进一步增强收集个人信息规则的透明度和可解释度,从更全面的合规维度符合用户的隐私期待。
《通知(征求意见稿)》在《个人信息安全规范》等标准基础上进一步强调了要明示告知用户个人信息处理规则,突出显示敏感个人信息的处理目的、方式和范围,建立已收集个人信息清单,同时,也提出了细化的要求,即不得采用默认勾选、缩小文字、冗长文本等方式诱导用户同意个人信息处理规则。
关于申请使用权限,《通知(征求意见稿)》进一步强调了在对应业务功能启动时,动态申请所需权限,不得要求用户一揽子同意打开多个非必要权限。在调用终端的相册、通讯录、位置等权限时,同步告知用户申请该权限的目的。由此看出,该规定体现了2020年9月发布的《网络安全标准实践指南—移动互联网应用程序(App)系统权限申请使用指南》中强调的用户可知原则、不强制不捆绑原则、动态申请原则的权限申请原则。²此外,还规定了“未经用户同意,不得更改用户设置的权限状态。”
(四)响应用户诉求
《中华人民共和国网络安全法》第四十九条和《网络数据安全管理条例(征求意见稿)》(下称“《数安条例》”)第十八条分别规定了网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。《通知(征求意见稿)》在现行法律规定的三十天回应期限基础上,对互联网企业提出了更高的响应标准。“鼓励提高客服热线能力,月均响应时限最长为30秒,人工服务的应答率超过85%。同时,鼓励互联网企业建立客服热线,主要互联网企业在网站、APP 显著位置公示客服热线电话号码,简化人工服务转接程序。”该要求呼应了《信息通信服务感知提升行动的通知》提出的提升服务能力的目标,具备条件的企业还应提供充足的人工客服坐席,并向老年人提供人工直连热线服务。
同时,《通知(征求意见稿)》也规定了互联网企业对用户诉求的响应质量,即按照规范要求公布有效联系方式并答复互联网信息服务投诉平台上的投诉,确保在15日内处理完成,提高投诉处理满意率。鼓励在App中设置用户满意度测评链接,引导用户参与测评。据此,我们建议企业应当注意公布接受投诉、举报的联系方式、责任人信息,每年公开披露受理和收到的个人信息安全投诉数量、投诉处理情况、平均处理时间情况,接受社会监督。
¹《规范互联网信息服务市场秩序若干规定》第十一条“未经用户同意,互联网信息服务提供者不得收集用户个人信息。”
²《网络安全标准实践指南—移动互联网应用程序(App)系统权限申请使用指南》3.1条
02 落实 APP 开发运营者主体责任
为落实App开发运营者主体责任,基于《个人信息保护法》对个人信息保护负责人和个人信息保护机构的规定,《通知(征求意见稿)》进一步明确建立用户服务和权益保护的牵头管理部门和负责人,建立全生命周期个人信息保护机制,健全考核问责制度,将相关法规政策要求落实到产品研发、推广和运营各环节,不断提高合规水平。同时,建议App开发运营者定期对个人信息保护措施及执行情况等进行独立审计,防范潜在风险。
《电信和互联网用户个人信息保护规定》第十六条规定了电信业务经营者、互联网信息服务提供者应当对用户个人信息保护情况每年至少进行一次自查,记录自查情况,及时消除自查中发现的安全隐患。综合上述分析可以看出,由对个人信息保护情况的自查发展到进行独立审计,体现出《通知(征求意见稿)》强化了App开发运营者保护用户权益的主体责任,我们建议可由App开发运营者企业的内部机构或外部第三方定期开展个人信息保护措施的安全审计工作。
在健全考核问责制度的基础上,《通知(征求意见稿)》还明确了App开发运营者的技术保障能力,包括采取访问控制、技术加密、去标识化等安全技术措施,加强前端和后端安全防护;并主动监测发现个人信息泄露、窃取、篡改、毁损、丢失、非法使用等风险威胁,及时响应处置要求。该要求也衔接了《互联网信息服务规定》第十二条的规定,“互联网信息服务提供者应当妥善保管用户个人信息,当保管的用户个人信息泄露或者可能泄露时,应当立即采取补救措施;造成或者可能造成严重后果的,应当立即向准予其互联网信息服务许可或者备案的电信管理机构报告,并配合相关部门进行的调查处理。”
总体来说,APP开发运营者可参考《电信和互联网用户个人信息保护规定》第十三条规定的防止用户个人信息泄露、毁损、篡改或者丢失的措施,并做好与相关监管机构的报告与沟通,具体如下:
•确定各部门、岗位和分支机构的用户个人信息安全管理责任;
•建立用户个人信息收集、使用及其相关活动的工作流程和安全管理制度;
•对工作人员及代理人实行权限管理,对批量导出、复制、销毁信息实行审查,并采取防泄密措施;
•妥善保管记录用户个人信息的纸介质、光介质、电磁介质等载体,并采取相应的安全储存措施;
•对储存用户个人信息的信息系统实行接入审查,并采取防入侵、防病毒等措施;
•记录对用户个人信息进行操作的人员、时间、地点、事项等信息;
•按照电信管理机构的规定开展通信网络安全防护工作;
•电信管理机构规定的其他必要措施。
03 强化平台分发管理
(一)严格App上架审核
根据《数安条例》第四十七条的规定,“提供应用程序分发服务的互联网平台运营者,应当按照有关法律、行政法规和国家网信部门的规定,建立、披露应用程序审核规则,并对应用程序进行安全审核。对不符合法律、行政法规的规定和国家标准的强制性要求的应用程序,应当采取拒绝上架、督促整改、下架处置等措施。”《通知(征求意见稿)》在《数安条例》的基础上进一步明确了平台的审核义务要求,“在为APP、SDK提供网络接入服务时,登记并核验APP、SDK开发运营者的真实身份、联系方式等信息,”并登记APP的主要功能及用途等基本信息提高追溯能力,我们理解通过平台对App等开发运营者的身份核实为应用服务问责机制的建立奠定了基础。
值得注意的是,《通知(征求意见稿)》同时也赋予了平台对App进行技术检测的要求,明确平台“对拟上架APP进行技术检测。相关审核应明确负责人,并留存审核日志记录,不符合要求的不予上架。”在此之前,首先,《专项整治行动的通知》提出工业和信息化部将于2020年7月22日起开始组织第三方检测机构对APP、SDK进行技术检测,对应用分发平台的主体责任落实情况进行监督检查。对第一次检查发现存在问题的企业,企业需在5个工作日内完成整改,相关企业要及时开展自查自纠。此后,《信息通信服务感知提升行动的通知》中也鼓励应用商店为本平台App提供检测服务,及时向App开发者反馈相关问题并督促改正,防止违规App上架。此外,《互联网信息服务若干规定》第六条³也规定了对互联网信息服务或产品的评测机制,通过提供平台供用户评价,或者以其他方式对互联网信息服务或者产品的性能等进行评价和测试,对服务或产品进行评测。据此,通过登记和身份核验制度和检测机制保障问责机制的落实,一方面,实现对问题App追责的可溯源性,力图从源头处保障App的合规性和安全性;另一方面,平台对App的检测机制也会在监管机构检测的基础上增强对App的检测频率和针对性,能够更及时地发现问题App,我们建议平台可建立内部的检测机制和检测标准。
针对上述对上架App的技术检测,我们建议,一方面,平台可以针对App可能存在的违法违规收集使用个人信息的行为逐项展开测评,包括但不限于个人信息收集使用规则情况、使用个人信息的目的、方式和范围明示情况、征求用户同意情况、是否违反必要原则收集个人信息、是否向他人提供个人信息、个人信息删除或更正功能情况、投诉或举报方式信息公式情况、是否采取安全保障措施的情况;另一方面,可以针对《个人信息保护法》中规定的App的合规义务进行清单式检测,包括但不限于是否披露个人信息的保存期限、是否建立个人信息“双清单”、收集敏感个人信息是否征得用户单独同意、是否按照要求进行个人信息保护影响评估、如何收集未成年人个人信息等。根据检测结果评估出不同的检测结论,可包括“未通过”、“已通过”、“待确认”等级别,并在检测之后给予待整改App合理的整改期限,在整改期限经过后可对App开展复测,对于经过整改后已修复的事项进行标注,对检测报告进行更新,在检测通过后方可上架。
同时,在增强平台管理和监督的基础上,《通知(征求意见稿)》明确了通过全量公示在架App的方式,促进社会监督,提高App基本信息的社会公开度,保障用户和社会对App的知情权,包括在显著位置标明App名称、开发运营者、版本号、所需获取的用户终端权限列表及用途、个人信息处理规则等信息。尚未建立分发明示界面的,应将APP下载链接到应用商店,引导用户从正规渠道下载所分发的App。我们建议平台应严格把关APP上架审核标准,及时处理发现的违法违规软件,从App提供者、运营者、开发者接入平台时起就严格审核并查验其身份、产品信息、联系方式,并动态筛查存在的身份信息不真实、联系方式虚假失效等问题,落实好平台企业的管理责任。
(二)强化在架APP巡查以及完善分发管理机制
在落实对在架App的问责机制的基础上,《通知(征求意见稿)》还明确了“加强对APP的动态巡查,确保公示信息真实准确。对与公示信息不一致,或采用‘热更新、热切换’等方式擅自更改APP主要功能、申请的权限、个人信息收集使用的场景和范围等违规APP,应当停止提供服务。”尤其针对具有具有热更新功能的第三方SDK,我们建议可参考《SDK安全指引》的要求,对在架APP巡查过程中应重点关注对第三方SDK的热更新内容进行内容校验、动态检测和安全评估,对于非官方的热更新内容进行阻断,对于发现问题的热更新内容应及时停用。
同时,《通知(征求意见稿)》通过提出增强对权限调用行为的记录能力,一方面,为用户查询权限调用情况提供便利,包括建立通讯录、麦克风、相机、位置、剪切板等权限在用状态的明显提示机制,保障用户及时准确了解个人信息的收集状态。另一方面,该要求也促使了App在运营过程中始终遵守法律法规的个人信息保护要求,维持了平台整体和长期运营环境的健康和安全,从长远意义上保护用户个人权益,持续优化用户的使用体验。
值得注意的是,《通知(征求意见稿)》明确“建立APP开发运营者信用评价、风险提示等机制,鼓励对分发APP进行电子签名认证,实现上架应用、分发行为全流程可溯源,”并向用户进行预警提示,提高对仿冒、不良、违规等风险App的识别能力。我们理解电子签名认证机制确保了App开发运营者身份的真实性,增强了App开发运营者的问责机制保障,保障了互联网应用服务的质量和责任追究机制。同时,《通知(征求意见稿)》明确了要加强与面向移动互联网应用程序的检测及认证公共服务平台联动,配合监管部门做好数据上报、监测溯源、信息共享、响应处置工作。联动机制增强了信息的共享性,提高了监管的效率,并且也从侧面进一步督促App开发运营者遵守相关个人信息保护义务。
综合上述分析,我们建议平台可建立内部的巡查部门,明确巡查负责人员和相应的巡查职责、巡查频率以及巡查范围。同时,通过联动机制配合监管,App运营者应当做好与监管部门的及时对接,汇报数据泄露等安全事件,响应监管部门的通报,并做好个人信息处理流程的备案机制,为监管部门对App的调查做好前期准备。
³《互联网信息服务若干规定》第六条,对互联网信息服务提供者的服务或者产品进行评测,应当客观公正。
04 规范SDK应用服务
(一)对SDK开展个人信息保护能力评估
《通知(征求意见稿)》明确App开发者应加强软件开发工具(SDK)使用管理,使用SDK前对其进行个人信息保护能力评估。根据《个人信息安全规范》第9条以及2020年11月发布的《网络安全标准实践指南—移动互联网应用程序(App)中的第三方软件开发工具包(SDK)安全指引》(下称“《SDK安全指引》”)第5.2条等法律法规的要求,App提供者在集成第三方SDK前宜对第三方SDK进行安全性评估,确保第三方SDK达到国家标准规定的数据安全能力要求。评估内容包括来源安全性评估,代码安全性评估以及行为安全性评估。我们建议企业在使用SDK前对其进行以下要素的评估,来源安全性评估包括但不限于:SDK提供者的基本信息;SDK提供者的沟通反馈渠道;SDK隐私政策链接地址;SDK提供者的安全能力;SDK的基本功能;SDK的版本号;SDK的安全性评估报告等。代码安全性评估包括但不限于:是否存在已知的恶意代码;是否存在已知的安全漏洞;是否申请敏感权限;是否嵌入了其他第三方SDK等。行为安全性评估包括但不限于调用的敏感权限、目的和频率;收集的个人信息类型、目的和频率;个人信息回传服务器域名、IP地址、所在地域;是否存在热更新行为及热更新是否可主动关闭;传输数据是否加密;是否存在单独收集用户个人信息的界面;是否存在后台自启动和关联启动后收集个人信息的行为等。评估还应包含SDK是否存在违法违规收集使用个人信息行为的监管记录,是否存在个人信息出境行为等内容。除此之外,我们建议公司完善内部评估机制,根据法规要求形成并妥善保管完整的评估报告。
(二)与SDK签署服务协议
《通知(征求意见稿)》继续强调“通过合同等形式明确约定各自的权利和义务,确保个人信息处理依法合规。集中展示并及时更新嵌入的所有SDK名称、功能及其处理个人信息的规则。共同处理用户个人信息,侵害用户权益造成损害的,应依法承担连带责任。”根据《SDK安全指引》以及以往的项目实践,由于许多App与SDK通过开放平台在线签署开发者服务协议来约定权利义务,而开发者服务协议很少有专门约束数据安全的规定,公司在合同签署推进上将存在一定困难,以及App对SDK收集使用个人信息进行技术检测存在难度等原因,这将导致App对嵌入的SDK收集使用个人信息情况不够了解,容易引发SDK违法违规收集使用个人信息的合规风险。据此,需要App对共享给SDK的个人信息,双方权利义务及第三方SDK收集使用个人信息情况等加强管理监督。此外,连带责任的要求也进一步促进了App与各SDK共同致力于建立或完善开发者服务协议的签署工作。
如上所述,我们建议企业应加快推进与第三方的协议签署工作,协议具体可包括第三方SDK收集的个人信息类型、申请的敏感权限、个人信息的收集目的、保存期限、超期处理方式等,明确双方在个人信息保护方面分别应采取的措施、承担的责任和义务等。当双方合作存在重大变更时,应重新达成合作协议。
(三)建立信息公示机制与优化功能配置
《通知(征求意见稿)》中关于建立信息公示机制与优化功能配置与现行法律法规要求基本一致,具体如下:
•公开明示 SDK 名称、开发者、版本号、主要功能、使用说明等基本信息,以及个人信息处理规则。SDK 独立采集、传输、存储个人信息的,应当单独作出说明。鼓励发挥 SDK 管理服务平台作用,引导APP开发运营者使用合规的SDK。
由此可知,SDK管理服务平台将在日后SDK的管理中发挥更大的作用。2022年9月8日,全国SDK管理服务平台上线试运行(sdk.caict.ac.cn),该平台为SDK和APP开发运营者提供SDK政策标准发布、产品信息公示、监管问题处置、用户使用反馈等服务。同时,平台作为移动互联网应用程序检测及认证公共服务平台中的重要组成部分,将逐步建成开放的SDK个人信息保护技术检测服务能力。4此外,除上述需向用户告知的内容以外,根据《SDK安全指引》,宜向用户告知的个人信息处理规则还应包括但不限于,第三方SDK收集的个人信息类型、目的和方式,申请的敏感权限、申请目的等,并征得用户同意。若第三方SDK需向用户单独告知收集使用个人信息的行为,App宜为其中无单独页面的第三方SDK提供向用户告知的便捷渠道。例如通过在App隐私政策中嵌入第三方SDK隐私政策链接的方式进行告知。
•遵循最小必要原则,根据不同应用场景或用途,明确SDK功能和对应的个人信息收集范围,并向APP开发运营者提供各功能模块及个人信息收集的配置选项,不得一揽子过度收集个人信息。
SDK不得收集与提供服务无关的个人信息,强制申请非必要的权限,自动收集个人信息的频度和时机不合理等。值得注意的是,超范围收集个人信息,包括用户通讯录、通话记录、地理位置等敏感信息,始终都是监管查处和通报的焦点。首先,根据《App收集个人信息基本要求》第6条,《SDK安全指引》第5条和最小必要原则,App应仅嵌入满足App业务功能需要的最少数量的SDK,App向第三方SDK提供的个人信息应限于实现处理目的所必要的最小范围。关于最小必要的判断我们建议App应根据具体的场景做独立的分析,分析各SDK是否在该场景下申请了与App业务功能无关的权限,是否只收集满足所提供服务所需的最少个人信息类型、数量和频度。其次,我们建议公司逐项核对所披露的第三方SDK收集的个人信息范围与申请权限与该SDK隐私政策或其他线上标准文件披露所披露的收集范围是否相一致。
(四)加强服务协同
为加强App提供者与SDK的服务协同,《通知(征求意见稿)》对SDK也提出了安全措施要求,“在产品使用全生命周期过程中,通过明确易懂的方式主动向APP开发运营者提供合规使用指南,引导APP开发运营者正确合理使用,共同提高合规水平。当个人信息处理规则变更或发现风险时,及时更新并告知 APP开发运营者。”
该条增强了App与SDK之间的合规协作和互相监督关系,有利于更高效的满足合规要求,敦促双方完善合作协议,保护用户隐私权益。该条也对应了《SDK安全指引》中SDK向App提供者的多项告知义务,包括向App提供者准确告知SDK的相关信息,在接入App前告知其相应的用户行权渠道,明示自身SDK存在热更新机制;在热更新推送前至少5个工作日向App提供者说明本次热更的情况,当热更新发生变更时应通知App提供者等。
4 https://www.miit.gov.cn/gyhxxhb/jgsj/xxtxglj/APPqhyhqyzxzzxd/xwbd/art/2022/art_345083630ac649b08d4acde4a1e38b44.html 访问于2022年12月28日。
05 结语
本次《通知(征求意见稿)》的发布,进一步完善并细化了对个人信息保护的规范体系,一方面,明确了通过技术检测、监测和监管的多元协作,并借助推广电子签名认证等可溯源技术,共同致力于提高移动互联网应用服务能力;另一方面,通过明确用户选择关闭窗口、提前告知服务事项、合理启动运行场景、服务续期及时提醒、增强客服热线的有效性和及时性等更细节的层面着力于提升用户体验;同时,既落实了App开发运营者的主体责任,又强化了平台的分发管理能力。除此之外,《通知(征求意见稿)》也提出了加强行业自律公约、技术标准的建立。我们建议企业和各平台在履行个人信息保护的法律义务的同时,也应持续关注社会责任的履行,对企业对用户权益保护、公平合法运营等方面展开自我评估或者第三方评估。总而言之,《通知(征求意见稿)》的发布促进了政府监管、社会监督、平台检测、企业自律、用户参与的协同机制,致力于提升互联网应用的服务能力和水准,提高个人信息保护的水平。
(本文作者:环球律师事务所 孟洁、殷坤、吉文行)
声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。