为了规范互联网应用程序的个人信息收集使用活动,保障个人信息权益,促进个人信息合理利用,国家网信办起草了《互联网应用程序个人信息收集使用规定(征求意见稿)》(以下简称《征求意见稿》),于1月10日向社会公开征求意见。《征求意见稿》提出,收集使用个人信息应当采取对个人信息主体权益影响最小的方式,限于提供产品或者服务所必需,不得超范围收集使用个人信息。
《征求意见稿》明确规定,收集使用个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式收集使用个人信息。在收集使用行为开始前,需向个人信息主体充分告知收集使用规则,并征得其同意;若涉及敏感个人信息,应当获取个人的单独同意。如法律、行政法规另有规定,则从其规定。同时,不得以个人信息主体不同意收集使用或撤回同意为由,拒绝提供核心产品服务,但用于优化体验的非必需个人信息除外。
《征求意见稿》要求,应用程序应在首次启动时,通过弹窗等显著方式向用户清晰告知个人信息收集使用规则,并在用户充分知情的前提下,征得其明确同意。如果需向第三方提供个人信息,应取得用户的单独同意。应用应在设置页等醒目位置,提供个人信息政策一键访问功能,方便用户随时查阅和保存。当个人信息收集使用规则发生重大变更并涉及用户权益时,应通过弹窗、消息推送等显著方式及时告知用户具体更新内容,并重新征得同意。
《征求意见稿》强调,应用程序不应通过调用通讯录、通话记录、短信权限间接收集其他用户的个人信息。确有必要用于通讯联系、添加好友、数据备份等场景的,需单独说明并获取同意。向第三方提供个人信息时,同样应取得用户的单独授权。
《征求意见稿》指出,应用程序收集人脸、指纹、声纹等生物识别信息,应具有特定目的和充分的必要性,并采取对个人权益影响最小的方式,同时实施严格保护措施。除非法律、行政法规另有规定或取得用户单独同意,相关信息应存储在本地生物识别设备内,不得通过互联网对外传输。生物识别信息的保存期限不得超过实现处理目的所必需的最短时间。
《征求意见稿》明确,应用程序运营者应采取充分的管理措施和必要的技术手段,严格落实未成年人个人信息保护要求,切实防范未成年人个人信息泄露、篡改、丢失。收集使用不满十四周岁未成年人个人信息的,应当专门制定规则,并取得未成年人父母或其他监护人的同意。
此外,《征求意见稿》规定,当个人信息收集使用的目的、方式、种类、保存期限或权限调用的名称、频率、嵌入的软件工具包收集行为等发生变化时,应用程序应及时修订和更新规则。注册用户数超过5000万或月活用户数超过1000万、业务类型复杂的应用程序,还应通过首页、游戏、公众号等途径同步公开征求意见,征求意见期不少于7个工作日。
值得注意的是,本次《征求意见稿》对智能终端安全管理提出明确要求:当应用程序申请获取日历、通话记录、相机、通讯录、位置、麦克风、电话、短信、存储、身体活动等权限时,智能终端操作系统应通过弹窗征得用户同意,并根据权限特点提供基于时间、频率、精度等细化授权模式选项。智能终端应在屏幕顶部等显著位置,以易于理解的图标等显著标识,如实向用户提示当前正在调用的麦克风、摄像头、位置等权限。
同时,智能终端应如实记录并集中展示各类应用程序调用日历、通话记录、相机、通讯录、位置、麦克风、电话、短信、存储、身体活动等权限的情况;记录应用程序在后台期间自启动、关联启动的行为;以及应用程序通过智能终端收集剪切板、设备唯一标识、应用列表等个人信息的行为。相关记录规则应当予以公开。
北京商报综合报道
