工信部解读“524”行动 个人信息保护持续推进

首页 / 业界 / 资讯 /  正文
来源:安全419
发布于:4周前
日前,工信部印发《关于开展信息通信服务感知提升行动的通知》(以下简称《通知》),决定2021年11月至2022年3月,开展信息通信服务感知提升行动(简称“524”行动)。11月8日,工信部发文进一步对“524”行动进行了解读。
 
《通知》包含三个方面共十项重点任务,提出了推动实现服务举措“五优化”,建立个人信息保护“双清单”,实现服务能力“四提升”要求,简称“524”行动。据安全419发现,其中大量涉及刚刚实施的《个人信息保护法》相关内容,现总结如下:
 
 
隐私政策和权限调用持续优化
 
作为“五优化”一项,即“524”当中的5,优化隐私政策和权限调用展示方式行动方向之一。
 
大多数企业在隐私政策中向用户告知了个人信息处理规则,但在形式和内容上,普遍存在晦涩难懂、冗长繁琐、使用大量专业术语等问题,导致用户难以真正理解个人信息被收集的用途和目的。为此,在隐私政策方面,《通知》中明确指出企业应通过简洁、清晰、易懂的方式,向用户提供APP隐私政策摘要,呈现内容应简练、重点突出,便于用户阅读和理解。在权限调用方面,我部前期开展的APP侵害用户权益专项整治行动中,发现APP强制、频繁、过度索取用户权限等问题屡禁不止,APP在调用权限时存在未详细告知用户调用权限的目的、调用权限展示不清晰的问题,引发了用户的质疑和误解。《通知》要求涉及调用用户终端中相册、通讯录、位置等敏感权限的,应当以适当方式,如通过蒙层、顶栏浮窗等,在服务场景实际发生时同步向用户告知调用权限的目的,让用户更清晰地了解权限用途,充分保障用户知情权,从而便于用户更明确地作出主动性选择。
 
建立个人信息保护“双清单”
 
作为“524”当中的2,即指建立个人信息保护“双清单”工作,2021年11月1日,《个人信息保护法》正式实施。根据相关法律规定,此次专项行动要求相关企业(结合企业规模、用户体量,首批包含了39家主要互联网企业)建立已收集个人信息清单和与第三方共享个人信息清单,并在APP二级菜单中展示,方便用户查询。
 
一是建立已收集个人信息清单。针对用户反映强烈、侵害用户权益严重的违规收集、超范围收集个人信息问题,前期,工信部印发了《关于开展纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号),对APP信息收集行为提出了明确要求。目前,部分企业仍存在收集使用信息告知不清晰的问题,用户反映不清楚APP收集了哪些个人信息。为更好的保护用户知情权,《通知》要求相关企业简洁、清晰列出APP(包括内嵌第三方软件工具开发包SDK)已经收集到的用户个人信息基本情况,包括信息种类、使用目的、使用场景等。
 
二是建立与第三方共享个人信息清单。使用第三方SDK及其他第三方服务,已经成为APP开发、运行过程中常见的技术手段,其在帮助APP功能服务快速实现的同时,也引发一些侵害用户权益的问题。用户经常反映“在某一APP上浏览、购买产品,而其他APP会推送相关内容”,用户对个人信息被共享到何处不知情,容易造成恐慌。为了让用户清晰掌握个人信息在APP、SDK及其他第三方间的共享情况,工信部在前期APP专项治理行动基础上,进一步要求企业在二级菜单中列出APP与第三方共享的用户个人信息基本情况,包括与第三方共享的个人信息种类、使用目的、使用场景和共享方式等。
 
提升APP关键责任链个人信息保护能力
 
“524”当中的4是指四提升,其中要求提升APP责任链关键环节,解读指出,牢牢把住APP责任链关键环节是提升个人信息保护能力的重要一环。一方面,应用商店作为APP分发的“守门员”,平台管理失位将直接导致违规APP“钻空子、打擦边球”。与事后检查检测相比,应用商店对APP的事前审核更有利于帮用户将违法违规APP挡在门外。因此,《通知》要求应用商店应为本平台APP提供检测服务,防止违规APP上架。
 
另一方面,APP、SDK是个人信息保护的源头,在前期APP专项整治工作中,发现部分APP或SDK违规自启动或关联启动,并且在用户不知情的情况下私自收集使用用户个人信息。相关开发者应充分考虑用户选择权,内嵌SDK在非服务所必需或无合理应用场景下不得自启动或关联启动,同时APP开发者、内嵌SDK应提供相应功能,由用户自主选择是否开启关联启动。