11月3日,中國網路空間安全協會發布團體標準《應用商店App個人資訊收集使用上架稽核和管理規範(徵求意見稿)》(以下簡稱“意見稿”),向社會公開徵求意見,時間截至11月15日。
南都記者注意到,意見稿擬對應用商店等App分發平臺進行規範,其中提出建立App開發者信用檔案,產品被有關監管部門通報五次以上或者下架三次以上的開發者,五年內不得從事App開發和運營。
意見稿擬規範物件為應用商店、應用市場、分發網站等分發平臺運營者。這些運營者不僅稽核管理申請上架的移動應用程式(App),也稽核管理小程式、快應用、H5頁面等新形態網路應用程式的分發。另外,接入平臺運營者也需對所分發和接入的應用程式進行規範性稽核和安全管理。
南都記者梳理發現,自去年起,監管部門曾多次強調應用分發平臺的責任落實問題。工信部亦曾公開通報騰訊應用寶、小米應用商店、阿里巴巴豌豆莢存在對上架App稽核把關不嚴,移動應用分發平臺管理主體責任缺位。
“部分應用分發平臺未嚴格審查開發者資訊以及App內個人資訊收集的規則,騰訊應用、安智市場、360手機助手均存在虛假開發者資訊App許可權列表不全的問題。”工信部通管局副局長魯春叢曾在會上說道。
本次意見稿中提出,App收集使用個人資訊時,有下列情形之一的,平臺運營者應當拒絕App進入本平臺。
具體情形包括:誘導、強迫使用者一次性授權同意個人資訊處理規則;因使用者不同意收集非必要個人資訊而拒絕提供服務;在使用者拒絕收集非必要個人資訊後,頻繁徵求使用者同意,干擾使用者正常使用;具有定向推送資訊功能的,未向用戶提供關閉定向推送資訊的選項等12種情形。
值得注意的是,意見稿提出建立App開發者信用檔案,對其產品頻繁出現個人資訊收集使用問題的開發者,及時警告,並向消費者釋出個人資訊保安警示;對產品被有關監管部門通報五次以上或者下架三次以上的開發者,五年內不得從事App開發和運營。
對於違法違規App的處理方面,意見稿擬規定了“清退”情形——經核驗使用者反映問題屬實的,督促App開發者在15個工作日內進行整改,拒不整改或者未在規定時間內按照要求整改的,將其清退;對有關監管部門認定存在違法違規收集使用個人資訊的移動應用程式,配合採取督促整改、清退等措施。
意見稿還表示,平臺運營者應展示App收集使用個人資訊情況,包括App的基本服務型別、開發者名稱、官網連結、個人資訊保護機構或負責人聯絡電話和郵箱;嵌入SDK名稱、所實現業務功能或使用目的、收集個人資訊型別和使用的系統許可權等。
對於個人資訊保安標識方面,徵求意見稿提出,平臺運營者應當設定不同顏色、形狀圖示等方式對移動應用程式的個人資訊收集使用情況進行顯著標識,包括但不限於:對移動應用程式收集個人資訊型別數量、申請系統許可權數量進行顯著標識;對有關部門釋出的,涉及政務和民生領域的移動應用程式標識“官方”字樣,並在使用者搜尋時優先展示等。
另外,意見稿擬規定,平臺運營者每季度對移動應用程式稽核情況、問題移動應用程式處置情況進行彙總分析,並報告所在地省級網信部門。
採寫:南都記者 孫朝