网信办起草新规防 App「偷听」,有哪些新看点?能彻底杜绝违规收集使用个人信息吗?
TL;DR
网信办起草新规规范App个人信息收集,要求遵循合法、正当、必要原则,明确运营者主体责任,并加强用户同意和透明度要求,旨在减少违规行为,但彻底杜绝仍需持续监管和执行。
为规范互联网应用程序个人信息收集使用活动,保护个人信息权益,促进个人信息合理利用,根据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规,国家互联网信息办公室起草了《互联网应用程序个人信息收集使用规定(征求意见稿)》,现向社会公开征求意见。公众可以通过以下途径和方式提出反馈意见: 互联网应用程序个人信息收集使用规定 (征求意见稿) 第一章 总则 第一条为了规范互联网应用程序个人信息收集使用活动,保护个人信息权益,促进个人信息合理利用,根据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规,制定本规定。 第二条在中华人民共和国境内运营互联网应用程序过程中收集使用个人信息,以及软件开发工具包、分发平台、智能终端等为互联网应用程序收集使用个人信息活动提供服务的,应当遵守相关法律法规和本规定的要求。 互联网应用程序在中华人民共和国境外收集使用中华人民共和国境内自然人个人信息的活动,符合《中华人民共和国个人信息保护法》第三条第二款规定情形的,适用本规定。 第三条收集使用个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式收集使用个人信息。 收集使用个人信息应当向个人信息主体充分告知收集使用规则,并取得个人信息主体同意;收集使用敏感个人信息的,应当取得个人信息主体的单独同意。法律、行政法规另有规定的,依照其规定。 收集使用个人信息应当采取对个人信息主体权益影响最小的方式,限于提供产品或者服务所必需,不得超范围收集使用个人信息。 不得以个人信息主体不同意收集使用其个人信息或者撤回同意为由,拒绝提供产品或者服务,个人信息属于提供产品或者服务所必需的除外。 第四条互联网应用程序、软件开发工具包运营者分别对所运营的互联网应用程序、软件开发工具包个人信息收集使用活动及安全保护承担主体责任。 互联网应用程序运营者对嵌入的软件开发工具包、分发平台运营者对分发的互联网应用程序、智能终端厂商对预置的互联网应用程序依法履行审核义务。未能进行有效审核,对个人信息主体权益造成损害的,依法承担相应责任。 互联网应用程序、软件开发工具包、分发平台运营者和智能终端厂商对掌握的属于通信秘密的个人信息,不得对内容进行检查,不得向第三方提供。法律、行政法规另有规定的,依照其规定。 (一)运营者名称或者姓名和有效的联系方式; (二)以结构化清单形式列明每项功能服务收集使用个人信息的目的、方式、种类,调用权限名称、频度,收集使用敏感个人信息的必要性以及对用户权益的影响; (三)嵌入软件开发工具包的,应当以结构化清单形式列明嵌入的软件开发工具包名称(包名)、版本、主要功能、运营者名称或者姓名、收集使用个人信息的种类和完整的软件开发工具包个人信息收集使用规则链接; (四)个人信息保存期限和到期后的处理方式,保存期限难以确定的,应当明确保存期限的确定方法; (五)用户查阅、复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回同意的方法和途径等; (六)法律、行政法规规定应当告知的其他事项。 互联网应用程序对于前款所述重点内容,应当以加粗字体、放大字号、标记不同颜色等显著方式向用户提示。 注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂的互联网应用程序依照前款规定修订、更新个人信息收集使用规则的,应当同步通过互联网应用程序首页、官方网站、公众号等途径公开征求意见,征求意见期限不少于7个工作日。 互联网应用程序向第三方提供个人信息的,应当取得用户的单独同意。互联网应用程序应当在设置页面等醒目位置提供个人信息收集使用规则一键访问功能,方便用户查阅和保存。 互联网应用程序更新个人信息收集使用规则,符合第八条第一款所列情形的,应当通过弹窗、消息推送等显著方式及时向用户告知更新的具体内容,并重新征得用户同意。 互联网应用程序收集使用前款个人信息,属于通信秘密的,应当符合本规定第五条第二款规定。 互联网应用程序调用权限需与当前功能场景直接相关,应当仅在用户使用具体功能时以所需的最低频度、最小范围收集个人信息。在当前功能场景不再需要权限时停止调用权限,不得收集非必要个人信息、调用非必要权限。 互联网应用程序在地图导航、路径记录、外卖闪送、位置共享等需要实时定位的场景,持续调用位置权限的频率应当限于实现业务功能的最低频度;在添加地点、内容搜索、内容推荐、广告营销等需单次定位场景,应当仅在用户进入功能界面或者用户主动刷新时调用一次位置权限。除法律、行政法规另有规定或者所提供业务功能确需后台持续获取位置外,互联网应用程序不应索要后台访问用户位置信息权限。 用户选择使用上传或者发送图片、文件等功能,互联网应用程序可使用智能终端提供的存储访问框架实现的,不得索要手机相册、通讯录、短信、存储等权限。互联网应用程序通过提供文件编辑、文件备份等功能获得存储权限的,不得访问用户主动选择以外的文件。