App收集个人信息相关监管要求清单
从19年开始对App隐私合规治理,整治对象从App扩展到SDK、手机厂商、网络访问接入商(ISP),贯穿整个生态,立法也在不断完善,尤其“两法一例”(《个保法》、《数安法》、《关基保护条例》)颁布后,对个人信息和隐私的关注度更高;“tikiok”、“滴滴案例”后,国家对于大型企业的出海、数据跨境问题也格外关注,网络安全进入强监管时代。
序号 | 名称 | 时间 | 发文部门 | 监管要求 | 备注 |
---|---|---|---|---|---|
1 | 关于开展App违法违规收集使用个人信息专项治理的公告 | 2019/1/23 | 四部委:中央网信办、工业和信息化部、公安部、市场监管总局 | 1、监管要求:遵循合法、正当、必要的原则,不收集与所提供服务无关的个人信息; 收集个人信息时要以通俗易懂、简单明了的方式展示个人信息收集使用规则,并经个人信息主体自主选择同意;不以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得违反法律法规和与用户的约定收集使用个人信息。倡导App运营者在定向推送新闻、时政、广告时,为用户提供拒绝接收定向推送的选项。2、监督部门:全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会。3、监管处罚:依据《网络安全法》、《消费者权益保护法》中的要求以及其他行政/刑事(公安部)处罚;4、鼓励企业进行App认证。 | 标志着App专项治理活动正式开启,App隐私合规的强监管时代来临… |
2 | App违法违规收集使用个人信息自评估指南 | 2019/3/1 | App专项治理工作组 | 1、隐私政策文本要求:独立性、易读性;清晰说明各项业务功能及所收集的个人信息类型;清晰说明个人信息处理规则及用户权益保障;不应设置不合理条款;2、APP收集使用个人信息行为:明示收集目的、方式、范围;应经用户自主同意、不强制捆绑授权;收集个人信息满足必要性要求;3、对用户权利的保障;支持注销、更正和删除个人信息;及时处理用户反馈和申述 | App专项治理工作组结合2017年和2018年“隐私条款专项评审”等工作经验,梳理出自评估指南以指导App运营者自查自纠。 |
3 | 移动互联网应用基本业务功能必要信息规范 | 2019/6/1 | 信安标委 | 对个人信息搜集原则(合法、正当、必要)中的必要性原则进行了,详细说明:对地图、游戏、社交等16类App最小必要信息进行了说明,对App通用收集的信息进行了说明。 | 法律效用如何:《规范》在性质上属于技术文件,不属于国家标准,企业可以不必完全依样遵守执行。但若有企业收集使用了超出《规范》所列的必要信息,应当有更充分的理由进行说明,否则容易被认为超出必要性范畴,带来监管执法风险。 |
4 | 关于开展APP侵害用户权益专项整治工作的通知 | 2019/10/31 | 工信部 | 一、违规收集用户个人信息方面:1、私自收集个人信息。2、超范围收集个人信息。二、违规使用用户个人信息方面:3、私自共享给第三方。4、强制用户使用定向推送功能。三、不合理索取用户权限方面:5、不给权限不让用。6、频繁申请权限。7、过度索取权限。四、为用户账号注销设置障碍方面: 8、账号注销难。 | |
5 | 【191号文】《APP违法违规搜集使用个人信息行为认定方法》 | 2019/11/28 | 四部委:国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、市场监管总局办公厅 | 六类违法违规行为:未公开收集使用规则;未明示收集使用个人信息的目的、方式和范围;未经用户同意收集使用个人信息;违反必要原则,收集与其提供的服务无关的个人信息;未经同意向他人提供个人信息;未按法律规定提供删除或更正个人信息功能 或 未公布投诉、举报方式等信息 | 制定的背景:为App专项治理提供执法依据。 |
6 | 信息安全技术 移动互联网应用程序(App)收集个人信息基本规范(征求意见稿) | 2020/1/15 | 全国市场监督总局、全国信息安全标准化技术委员会 | App收集使用个人信息的原则;30类App可搜集的最小必要信息、申请的最小必要权限 | 和 19年信安标委出的 移动互联网应用基本业务功能必要信息规范 相比,APP种类(16→30)更加丰富 ;前者列出了使用 “业务功能”、“收集信息”、“使用要求”,后者针对“信息类型”(法律法规要求信息、实现服务所必需信息)、“收集字段”、“使用要求和法律依据”,更加明晰、指导作用强。 |
7 | 工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知 | 2020/7/22 | 工信部 | 一、治理对象:App服务提供者、SDK提供者、应用分发平台(包括网站、应用商店、APP等承担下载、安装、升级等分发服务的各类平台)。二、监管要求:1、APP、SDK违规处理用户个人信息方面;2、设置障碍、频繁骚扰用户方面;3、欺骗误导用户方面;4、应用分发平台责任落实不到位方面 | 和 2019年 关于开展App违法违规收集使用个人信息专项治理的公告 相比,被监管的对象从仅App运营扩展到SDK提供者、应用分发平台;监管要求也更加具体。 |
8 | 《网络安全标准实践指南 移动互联网应用程序(App)收集使用个人信息自评估指南》 | 2020/7/22 | 信安标委 | 根据191号文中六类违法违规行为的自评做出解释 | 基于App违法违规收集使用个人信息自评估指南 、《App违法违规收集使用个人信息行为认定方法》,对自评估方法进行了详细的描述和场景扩充 |
9 | 《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》 | 2021/4/26 | 工业和信息化部信息通信管理局 | 一、治理对象进一步扩展:1、App开发运营者:是指从事APP开发和运营活动的主体;2、App分发平台,是指通过应用商店、应用市场、网站等方式提供APP下载、升级服务的软件服务平台;3、App第三方服务提供者,是指相对于用户和APP以外的,为APP提供软件开发工具包(SDK)、封装、加固、编译环境等第三方服务的主体;4、移动智能终端生产企业,提供预置APP或者具备安装APP能力的移动智能终端设备的主体;5、网络接入服务提供者,从事互联网数据中心(IDC)业务、互联网接入服务(ISP)业务和内容分发网络(CDN)业务,为APP提供网络接入服务的电信业务经营者; |
本文来自博客园,作者:人间修行,转载请注明原文链接:https://www.cnblogs.com/ffx1/p/16695161.html