工信部将规范整治APP违规收集使用用户个人信息等八类问题

工信部将规范整治APP违规收集使用用户个人信息等八类问题

11月4日消息(颜翊)依据《网络安全法》《电信条例》和《规范互联网信息服务市场秩序若干规定》《电信和互联网用户个人信息保护规定》《移动智能终端应用软件预置和分发管理暂行规定》等法律法规和规范性文件,工业和信息化部即日起开展信息通信领域APP侵害用户权益专项整治行动。11月4日,工业和信息化部信息通信管理局召开整治工作启动会。

此次专项整治行动面向APP服务提供者和APP分发服务提供者两类主体对象,重点整治违规收集用户个人信息、违规使用用户个人信息、不合理索取用户权限、为用户账号注销设置障碍等四个方面的8类突出问题。整治工作分为企业自查自纠、监督检查和结果处置三个阶段,时间为2个月。

针对存在问题的APP,将依法依规予以处理,具体措施包括责令整改、向社会公告、组织APP下架、停止APP接入服务,以及将受到行政处罚的违规主体纳入电信业务经营不良名单或失信名单等手段,对于问题突出、严重违法违规、拒不整改的APP主体,将从严处置。

【解读】APP侵害用户权益专项整治工作

一、整治工作的背景

当前,APP违规收集个人信息、过度索权、频繁骚扰、侵害用户权益的问题突出,群众反映强烈。工信部高度重视APP用户权益保护工作,始终贯彻以人民为中心的发展思想,坚决把群众利益放在首位,不断完善APP治理体系,提升APP治理能力。此次组织开展的APP侵害用户权益专项整治行动,是对前期四部委开展APP违法违规收集使用个人信息专项治理行动成果的巩固和深化,是紧扣部行业管理职责定位,在信息通信行业行风纠风工作体系下,重点解决群众关心问题的主动作为。

二、整治工作的主要做法

此次组织开展的APP侵害用户权益专项整治工作,坚持问题导向,聚焦人民群众反映强烈和社会高度关注的侵犯用户权益行为,重点对用户关心的八类问题进行监督检查和规范整治。一方面,推动APP服务提供者和APP分发服务提供者自查自纠,及时整改;另一方面,技管结合,综合运用技术检测和检查、社会监督、用户和专家评议等手段,充分发挥第三方机构、媒体和用户的共同监督作用,构建政府管理、社会协同、公众参与、媒体监督、行业自律、科技支撑的全方位综合监管体系。

三、整治工作的法律依据

专项整治工作依据《网络安全法》《电信条例》和《规范互联网信息服务市场秩序若干规定》《电信和互联网用户个人信息保护规定》《移动智能终端应用软件预置和分发管理暂行规定》等法律法规和规范性文件要求开展。

四、整治工作的主体对象

本次专项整治工作,主要面向两类主体对象,一是APP服务提供者。二是APP分发服务提供者,包含具备分发功能的应用商店、网站、应用软件和基础电信企业营业厅等各类企业。

五、整治工作的重点内容

本次专项整治工作重点检查是否存在人民群众反映强烈和社会高度关注的四个方面8类重点问题。

违规收集用户个人信息方面,重点针对私自收集个人信息、超范围收集个人信息等问题进行监督检查和规范整治。

违规使用用户个人信息方面,重点针对私自共享给第三方、强制用户使用定向推送功能等问题进行监督检查和规范整治。

不合理索取用户权限方面,重点针对不给权限不让用、频繁申请权限、过度索取权限等问题进行监督检查和规范整治。

为用户账号注销设置障碍方面,重点针对账号注销难进行监督检查和规范整治。

APP分发服务提供者应落实《移动智能终端应用软件预置和分发管理暂行规定》(工信部信管[2016]407号)等有关要求,组织对其所分发的APP进行全面检查,对存在问题的违规应用软件予以督促整改,拒不改正的应组织予以下架处理。

六、都有哪些处置措施

针对存在问题的APP,将依法依规予以处理,具体措施包括责令整改、向社会公告、组织APP下架、停止APP接入服务,以及将受到行政处罚的违规主体纳入电信业务经营不良名单或失信名单等手段,对于问题突出、严重违法违规、拒不整改的APP主体,将从严处置。后续我部还将以此次专项行动为契机,推动出台相关规定,为规范行业管理和建立长效机制奠定基础。

重点规范整治八类问题的典型场景

一、违规收集用户个人信息方面

(一)“私自收集个人信息”

即APP未明确告知收集使用个人信息的目的、方式和范围并获得用户同意前收集用户个人信息。

典型场景1:APP运行时,缺乏向用户明示且征求用户同意的环节,收集IMEI、设备MAC地址、软件安装列表、通讯录、短信等个人信息。

典型场景2:APP运行时,虽然有向用户明示并经用户同意环节,但个人信息收集发生在用户同意前。

(二)“超范围收集个人信息”

即APP收集个人信息,非服务所必需或无合理应用场景,超范围或超频次收集个人信息。

典型场景1:APP收集个人信息,非服务所必需或无合理应用场景,超范围收集个人信息,如过度收集用户通讯录、短信、通话记录等。

典型场景2:APP收集个人信息,非服务所必需或无合理应用场景,超频次收集个人信息,如按照一定频次收集位置信息、IMEI或频繁读取通讯录、短信、图片等。

典型场景3:APP收集身份证号、人脸、指纹等个人信息时,非服务所必需或无合理场景,如将收集身份证号、人脸、指纹等作为应用开启使用的前提条件,或通过积分、奖励等方式诱导用户,收集身份证号、人脸、指纹等个人信息。

二、违规使用用户个人信息方面

(三)“私自共享给第三方”

即APP未经用户同意与其他应用共享、使用用户个人信息,如设备识别信息、商品浏览记录、搜索使用习惯、常用软件应用列表等。

典型场景1:APP未向用户告知且未经用户同意前,将设备识别信息、商品浏览记录、搜索使用习惯、常用软件应用列表等个人信息直接发送给第三方SDK或第三方服务器

典型场景2:APP未向用户告知且未经用户同意,将设备识别信息、商品浏览记录、搜索使用习惯、常用软件应用列表等共享给第三方,用户的商品浏览记录、搜索使用习惯等出现在第三方APP。

(四)“强制用户使用定向推送功能”

即APP未向用户告知,或未以显著方式标示,将收集到的用户搜索、浏览记录、使用习惯等个人信息,用于定向推送或精准营销,且未提供关闭该功能的选项。

典型场景1:APP的定向推送功能未向用户告知,将收集的用户个人信息用于定向推送、精准营销。

典型场景2:APP的定向推送功能未以显著形式标示。

典型场景3:APP的定向推送功能未对用户提供关闭此功能的选项。

三、不合理索取用户权限方面

(五)“不给权限不让用”

即APP安装和运行时,向用户索取与当前服务场景无关的权限,用户拒绝授权后,应用退出或关闭。

典型场景1:APP首次启动时,向用户索取电话、通讯录、定位、短信、录音、相机、存储、日历等权限,用户拒绝授权后,应用退出或关闭。

典型场景2:APP运行时,向用户索取与当前服务场景无关的权限,用户拒绝授权后,应用退出或关闭。

(六)“频繁申请权限”

即APP在用户明确拒绝权限申请后,频繁申请开启通讯录、定位、短信、录音、相机等与当前服务场景无关的权限,骚扰用户。

典型场景1:APP在运行期间,用户明确拒绝权限申请后,仍向用户频繁弹窗申请开启与当前服务场景无关的通讯录、定位、短信、录音、相机等权限。

(七)“过度索取权限”

即APP在用户未使用相关功能或服务时,提前申请开启通讯录、定位、短信、录音、相机等权限,或超出其业务功能或服务外,申请通讯录、定位、短信、录音、相机等权限。

典型场景1:APP在用户未使用权限对应的相关功能或服务时,提前向用户弹窗申请开启通讯录、定位、短信、录音、相机等权限。

典型场景2:APP未提供相关业务功能或服务,仍申请通讯录、定位、短信、录音、相机等权限。

四、为用户账号注销设置障碍方面

(八)“账号注销难”

即APP未向用户提供账号注销服务,或为注销服务设置不合理的障碍。

典型场景1:APP未向用户提供账号注销服务。

典型场景2:APP为账号注销服务设置不合理的障碍。