工信部征集規范A個人信息處理意見違規情節嚴重將直接下架

方熠志

2021年4月26日，在國家網信辦的統籌指導下，工信部會同公安部、市場監管總局起草了《移動互聯網應用程序個人信息保護管理暫行規定（征求意見稿）》（以下簡稱《暫行規定》），將在5月26日前就規范App個人信息處理進行意見征集。

在此之前，工信部發布過《電信和互聯網用戶個人信息保護規定》《移動智能終端應用軟件預置和分發管理暫行規定》《關于開展縱深推進App侵害用戶權益專項整治行動的通知》等規定，牽頭制定了《App用戶權益保護測評規范》《App收集使用用戶個人信息最小必要評估規范》，四部委聯合發布了《App違法違規收集使用個人信息行為認定方法》《常見類型移動互聯網應用程序必要個人信息范圍規定》等規定。截止目前，工信部通報了十余批次侵害用戶權益的App，并下架了部分未能完成整改的App，社會反映熱烈，取得了階段性的明顯成效。

網經社電子商務研究中心特約研究員、北京大成（杭州）律師事務所合伙人孫鵬程律師認為關于《征求意見稿》的主要內容包括：

界定適用范圍

在適用范圍方面，《征求意見稿》明確了在中華人民共和國境內開展的App個人信息處理活動，應當遵守本規定。包括開發運營主體在境內、在境內登記或備案、服務器在境內以及分發平臺在境內等情況。法律、行政法規對個人信息處理活動另有規定的，從其規定。另外，參照近期對標立法和工信部執法活動，移動互聯網應用程序應當包括App、小程序（不僅微信小程序）及SDK等。由于工信部ICP年檢中，未將小程序作為單獨網源登記，缺乏相關數據，所以小程序的執法案例相對較少。

明確了App個人信息保護的聯合工作機制

國家互聯網信息辦公室會同工業和信息化部、公安部、市場監管總局健全完善App個人信息保護監督管理聯合工作機制，統籌推進政策標準規范等相關工作，各部在各自職責范圍內負責App個人信息保護和監督管理工作。這一監管機制也將在即將公布的《個人信息保護法（二審稿）》修訂內容中進一步明確。

確立了“知情同意”“最小必要”兩項重要原則

《征求意見稿》“知情同意”規定，從事App個人信息處理活動的，應當以清晰易懂的語言告知用戶個人信息的處理規則，由用戶在充分知情的前提下作出自愿、明確的意思表示，并明確了“六項應當”要求。其中第一項，應當在App登錄注冊頁面及App首次運行時向用戶告知的規定，與之前App首次運行時告知的要求有所增加。

最小必要規定從事App個人信息處理活動的，應當具有明確、合理的目的，并遵循最小必要原則，不得從事超出用戶同意范圍或者與服務場景無關的個人信息處理活動，并提出了“六項不得”要求。此外，App個保新規還借鑒了《常見類型移動互聯網應用程序必要個人信息范圍規定》有關內容，明確規定用戶拒絕提供非必要個人信息時不得拒絕為用戶提供該服務。

規范關鍵環節主體責任義務

《征求意見稿》對App治理的全鏈條、全主體、全流程予以規范，規定了App開發運營者、App分發平臺、App第三方服務提供者、移動智能終端生產企業和網絡接入服務提供者在App個人信息保護方面的具體義務。

例如App開發運營者合規責任包括但不限于：提升個人信息保護意識、非個性化推送、制定管理規則、協議明確權利義務、風險監督、加強安全措施及事故響應處置要求等。App分發平臺合規責任包括但不限于：登記核驗身份、顯著標明信息、不得欺騙誤導下載、上架審核、建立管理機制、報送機制和設置投訴渠道。

另外還提出了投訴舉報、監督檢查、處置措施和風險提示等4方面規范要求。

細化違規處置流程和具體措施

App個保新規在總結工信部前期監管執法經驗的基礎上，將專項整治行動中確立的監管措施上升到立法層面，即“責令整改（5日）一社會公告（5日）一下架處置一斷開接入一信用管理”。特別提出，對未按要求完成整改或反復出現問題、采取技術對抗等違規情節嚴重的App，將對其進行直接下架，且下架后的App在40個工作日內不得通過任何渠道再次上架的管理要求。此外，監督管理部門將指導App分發平臺和移動智能終端生產企業在集成、分發、預置和安裝等環節進行風險提示，情節嚴重的采取禁入措施。實踐中，浙江給予的整改期限有所放寬。