工信部解读“524”行动 个人信息保护持续推进

 

《通知》包含三个方面共十项重点任务，提出了推动实现服务举措“五优化”，建立个人信息保护“双清单”，实现服务能力“四提升”要求，简称“524”行动。据安全419发现，其中大量涉及刚刚实施的《个人信息保护法》相关内容，现总结如下：
 

 

 

作为“五优化”一项，即“524”当中的5，优化隐私政策和权限调用展示方式行动方向之一。

 

大多数企业在隐私政策中向用户告知了个人信息处理规则，但在形式和内容上，普遍存在晦涩难懂、冗长繁琐、使用大量专业术语等问题，导致用户难以真正理解个人信息被收集的用途和目的。为此，在隐私政策方面，《通知》中明确指出企业应通过简洁、清晰、易懂的方式，向用户提供APP隐私政策摘要，呈现内容应简练、重点突出，便于用户阅读和理解。在权限调用方面，我部前期开展的APP侵害用户权益专项整治行动中，发现APP强制、频繁、过度索取用户权限等问题屡禁不止，APP在调用权限时存在未详细告知用户调用权限的目的、调用权限展示不清晰的问题，引发了用户的质疑和误解。《通知》要求涉及调用用户终端中相册、通讯录、位置等敏感权限的，应当以适当方式，如通过蒙层、顶栏浮窗等，在服务场景实际发生时同步向用户告知调用权限的目的，让用户更清晰地了解权限用途，充分保障用户知情权，从而便于用户更明确地作出主动性选择。

 

 

作为“524”当中的2，即指建立个人信息保护“双清单”工作，2021年11月1日，《个人信息保护法》正式实施。根据相关法律规定，此次专项行动要求相关企业（结合企业规模、用户体量，首批包含了39家主要互联网企业）建立已收集个人信息清单和与第三方共享个人信息清单，并在APP二级菜单中展示，方便用户查询。

 

一是建立已收集个人信息清单。针对用户反映强烈、侵害用户权益严重的违规收集、超范围收集个人信息问题，前期，工信部印发了《关于开展纵深推进APP侵害用户权益专项整治行动的通知》（工信部信管函〔2020〕164号），对APP信息收集行为提出了明确要求。目前，部分企业仍存在收集使用信息告知不清晰的问题，用户反映不清楚APP收集了哪些个人信息。为更好的保护用户知情权，《通知》要求相关企业简洁、清晰列出APP（包括内嵌第三方软件工具开发包SDK）已经收集到的用户个人信息基本情况，包括信息种类、使用目的、使用场景等。

 

二是建立与第三方共享个人信息清单。使用第三方SDK及其他第三方服务，已经成为APP开发、运行过程中常见的技术手段，其在帮助APP功能服务快速实现的同时，也引发一些侵害用户权益的问题。用户经常反映“在某一APP上浏览、购买产品，而其他APP会推送相关内容”，用户对个人信息被共享到何处不知情，容易造成恐慌。为了让用户清晰掌握个人信息在APP、SDK及其他第三方间的共享情况，工信部在前期APP专项治理行动基础上，进一步要求企业在二级菜单中列出APP与第三方共享的用户个人信息基本情况，包括与第三方共享的个人信息种类、使用目的、使用场景和共享方式等。

 

 

“524”当中的4是指四提升，其中要求提升APP责任链关键环节，解读指出，牢牢把住APP责任链关键环节是提升个人信息保护能力的重要一环。一方面，应用商店作为APP分发的“守门员”，平台管理失位将直接导致违规APP“钻空子、打擦边球”。与事后检查检测相比，应用商店对APP的事前审核更有利于帮用户将违法违规APP挡在门外。因此，《通知》要求应用商店应为本平台APP提供检测服务，防止违规APP上架。

 

另一方面，APP、SDK是个人信息保护的源头，在前期APP专项整治工作中，发现部分APP或SDK违规自启动或关联启动，并且在用户不知情的情况下私自收集使用用户个人信息。相关开发者应充分考虑用户选择权，内嵌SDK在非服务所必需或无合理应用场景下不得自启动或关联启动，同时APP开发者、内嵌SDK应提供相应功能，由用户自主选择是否开启关联启动。