11月4日,工业和信息化部发布《关于开展APP侵害用户权益专项整治工作的通知》(以下简称“工信部整治工作通知”),即日起,就APP违规收集个人信息、过度索权、频繁骚扰用户等侵害用户权益问题,开展信息通信领域APP侵害用户权益专项整治行动。工业和信息化部信息通信管理局在召开的整治工作启动会上表示,开展APP专项整治,是贯彻以人民为中心的发展思想,聚焦解决群众反映强烈问题的积极作为;是对前期四部委开展APP违法违规收集使用个人信息专项治理行动成果的巩固和深化;是创新监管方式的有益尝试。

本次整治行动将面向APP服务提供者和APP分发服务提供者两类主体对象,重点整治违规收集用户个人信息、违规使用用户个人信息、不合理索取用户权限、为用户账号注销设置障碍等四个方面的8类突出问题。整治工作分为企业自查自纠、监督检查和结果处置三个阶段,时间为2个月。

App专项治理工作组自2019年以来,根据公众举报情况,对各类收集使用个人信息保护问题进行归纳、梳理,重点参照《网络安全法》等相关法律法规要求和个人信息保护相关国家标准,制定、完善了一系列技术规范和标准文本,为相关监管部门界定违法违规收集使用个人信息行为以及App运营者整改提升提供重要参考,也为开展App违法违规收集使用个人信息评估工作和指导企业整改提供重要支撑。相关文件主要包括:

对于此次工信部门“整治工作通知”提到的四个方面的8类突出问题,App专项治理工作组对其内容进行梳理、对照,供企业自查自纠过程中参考:

“工信部整治工作通知”内容

App专项治理工作组公布相关技术规范和标准文本中可参考的主要对应内容

四个方面

8类突出问题

违规收集用户个人信息方面

私自收集个人信息

“认定方法”第三节:1.3.9等;

“自评估指南”评估点20.23等;

“GB/T 35273”5.4节等;

“收集基本规范”第4章b)c)l)等。

超范围收集个人信息

“认定方法”第四节:1.2.5.6等;

“自评估指南”评估点25.26.27等;

“GB/T 35273”5.2节等;

“收集基本规范”第4章d)e)i)等。

违规使用用户个人信息方面

私自共享给第三方

“认定方法”第五节:1.2等;

“自评估指南”评估点22等;

“GB/T 35273”8.2、8.7节等;

“收集基本规范”第4章h)等。

强制用户使用定向推送功能

“认定方法”第三节:4等;

“GB/T 35273”7.5节等。

不合理索取用户权限方面

不给权限不让用

“认定方法”第四节:3.4等;

“自评估指南”评估点24.26等;

“GB/T 35273”5.3节 a)b)e)等;

“收集基本规范”第4章d)j)等。

频繁申请权限

“认定方法”第三节:8等;

“自评估指南”评估点28等;

“GB/T 35273”5.3节 d)等;

“收集基本规范”第4章g)等。

过度索取权限

“认定方法”第四节:1.7等;

“自评估指南”评估点27等;

“GB/T 35273”5.2节等;

“收集基本规范”第4章d)e)等。

为用户账号注销设置障碍方面

账号注销难

“认定方法”第六节:1.2.3等;

“自评估指南”评估点30等;

“GB/T 35273”7.12节等。

在实践中,个人信息保护问题还具有一定的复杂性、矛盾性,如何理解问题的成因、提出更加有针对性,有助于用户理解的方案,还需要具体问题具体分析。App专项治理工作组针对一些难点问题,撰写了具体技术研讨文章,可供细读和参考。文章链接如下:

1、违规收集用户个人信息方面:

不点“同意”隐私政策不让用App,这合理吗?

专题研究 | 手机设备识别码类型分析

2、违规使用用户个人信息方面:

专题·研究|关注App嵌入第三方SDK收集使用个人信息安全隐患

3、不合理索取用户权限方面:

App申请和使用“可收集个人信息权限”案例分析

专题研究|App申请安卓系统权限机制分析与建议