《APP个人信息保护管理暂行规定》解读:抢跑个保法二审
发布时间:2021-04-27
文 | 黄春林 刘月莹 汇业律师事务所
2021年4月26日,工信部发布《移动互联网应用程序个人信息保护管理暂行规定》(下称“APP个保新规”)公开征求意见。在此之前,工信部先后发布了《电信和互联网用户个人信息保护规定》、《移动智能终端应用软件预置和分发管理暂行规定》、《关于开展纵深推进APP侵害用户权益专项整治行动的通知》等规定,牵头制定了《App用户权益保护测评规范》、《APP收集使用用户个人信息最小必要评估规范》等标准文件,并启动了十余批次APP个人信息保护专项整治行动,通报、下架了一批违法违规APP,引起了市场主体及社会各界广泛关注。
结合近期立法趋势、执法实践,参考类似项目经验,汇业律师事务所黄春林律师团队简要解读APP个保新规如下,仅供参考。
一、明确了监管及执法机制
为了增强立法协调性,确保执法口径一致性,减轻市场主体在法规适用和理解上的困惑,APP个保新规明确,建立健全由网信办、工信部、公安部及市监总局四部门组成的APP个人信息保护监督管理联合工作机制,统筹推进政策标准规范等相关工作,避免各部门多头监管、各自为政的局面。这一监管机制也将在即将公布的《个人信息保护法(二审稿)》修订内容中进一步明确。
此外,APP个保新规在总结工信部前期监管执法经验的基础上,将专项整治行动中确立的监管措施上升到立法层面,即“支撑机构检测——私下责令整改(5个工作日)——向社会公告(5个工作日)——下架处置——断开接入——禁入措施”。
二、重申并细化了个人信息保护基本原则
除了合法、正当及诚实信用原则外,APP个保新规再次重申并细化了个人信息保护的两项基本原则:“告知-同意”和“最小-必要”原则。
1. 关于“告知-同意”原则
首先,关于告知,APP个保新规明确必须满足“清晰易懂”、“充分知情”的要求,并从法律文件层面细化了告知的具体合规要求,包括但不限于告知的内容、形式、时点、频率等,以及场景变更、对外提供、敏感个人信息的特殊告知要求。
其次,关于同意,APP个保新规明确必须满足“意思表达”、“主动作为”等要求。
2. 关于“最小-必要”原则
APP个保新规明吸收了《个人信息保护法(二审稿)》修订内容的基础上,明确APP处理个人信息应当“具有明确、合理的目的”,并遵循最小必要原则。具体的,包括但不限于如下维度的“最小-必要”:范围、频次、颗粒度、权限、场景等。
此外,APP个保新规还借鉴了《常见类型移动互联网应用程序必要个人信息范围规定》有关内容,明确规定用户拒绝提供非必要个人信息时,不得拒绝为用户提供该服务。
三、明确了APP生命周期各主体的合规责任
APP个保新规在借鉴《移动智能终端应用软件预置和分发管理暂行规定》、《关于开展纵深推进APP侵害用户权益专项整治行动的通知》等规定的基础上,明确了移动智能终端生产企业、网络接入服务提供者及APP分发平台的合规责任。例如,要求APP分发平台履行身份核验、隐私透明度、合规审核、报送及投诉处理等合规义务。
其次,APP个保新规首次从立法层面全面、详细明确了APP开发运营者的合规责任,具体包括但不限于:
(1)应当加强人员教育培训;
(2)应制定个人信息保护管理制度及应急预案;
(3)应落实网络安全等级保护要求;
(4)依法制定并公示个人信息处理规则,并遵从告知-同意、最小必要等基本原则;
(5)使用第三方服务的,应当制定管理规则,对第三方进行管理监督,签订处理协议并明确权利义务,依法披露信息;
(6)将个人信息保护要求落实在产品设计、开发及运营环节,以显著、清晰的方式定期向用户呈现APP的个人信息收集使用情况;
(7)加强前端和后端安全防护、访问控制、技术加密、去标识化、安全审计等工作,防止未经授权的访问及个人信息泄露或者被窃取、篡改、删除等风险,主动监测发现个人信息泄露等违规行为,并及时响应处置要求;
(8)基于个人信息向用户提供商品或者服务的搜索结果的,或者向用户提供独立功能的业务模块,应当保证用户的知情权、选择权等合法权益;
(9)依法并根据平台规则向应用商店、分发平台等履行身份核验、隐私透明度等责任;
(10)需要认证用户真实身份信息的,应当通过国家统一建设的公民身份认证基础设施所提供的网上公民身份核验认证服务进行;等等。
最后,APP个保新规还规定了APP第三方服务提供者应当履行的合规责任,包括但不限于公示个人信息处理规则、遵从告知-同意和最小必要等基本原则等等。
四、关于APP个保新规的适用范围
地域上,APP个保新规适用于在中国境内处理个人信息的APP,具体包括如下几个维度:开发运营主体是否在境内,是否在境内登记或备案,服务器是否在境内,以及分发平台是否在境内,等等。根据之前工信部监管活动,在App Store中国区上架的APP,也适用本新规。
主体上,包括监管部门,以及APP开发运营者、APP分发平台、APP第三方服务提供者、移动智能终端生产企业、网络接入服务提供者等。
客体上,参照近期对标立法和工信部执法活动,移动互联网应用程序应当包括APP、小程序(不仅微信小程序)及SDK等。
整体上来看,《移动互联网应用程序个人信息保护管理暂行规定》的部分内容与即将发布的《个人信息保护法(二审稿)》修订内容不谋而合,被认为是《个人信息保护法(二审稿)》发布前夜的抢跑之作。