2月27日,工信部发布《关于进一步提升移动互联网应用服务能力的通知》(以下简称《通知》)。《通知》围绕提升用户服务感知、提升行业管理能力,共提出26条措施。在提升用户服务感知方面,《通知》从规范安装卸载、优化服务体验、加强个人信息保护、响应用户诉求等方面做出了规定。
在提升行业管理能力方面,《通知》强调了五类主体:App开发运营者、分发平台、SDK(软件开发工具)、终端和接入企业。《通知》要求,App开发运营者应明确用户服务和权益保护的牵头管理部门和负责人,SDK要建立信息公示机制,明示基本信息及个人信息处理规则。另外,接入企业要登记并核验App、SDK开发运营者的真实身份、联系方式等信息。
南都记者对比此前发布的征求意见稿发现,正式版本新增了个人信息处理“如发生变动,应及时告知用户最新情况”、 防范未经用户同意私自启动(App)等表述,针对影响用户服务感知的问题做出了进一步细化。
自动续费前五日提醒用户并提供退订途径
工信部表示,《通知》出台是为了落实党的二十大报告提出的“加强个人信息保护”“提高人民生活品质”,确保《网络安全法》《数据安全法》《个人信息保护法》等上位法要求在信息通信行业领域落实落细等。
《通知》从供给、需求双向发力,在供给侧,推动提升行业上下游服务能力;在需求侧,着力解决影响用户服务感知的问题。
在提升用户服务感知方面,《通知》从规范安装卸载、优化服务体验、加强个人信息保护、响应用户诉求等关键点方面提出要求。
关于规范安装下载,《通知》要求,确保知情同意安装;规范网页推荐下载行为;实现便捷卸载。
《通知》要求,针对开屏和弹窗信息窗口难以关闭、“摇一摇”乱跳转等问题予以规范,窗口关闭用户可选;清晰明示产品功能权益及资费等内容,特别是存在开通会员、收费等附加条件的应显著提示;明确在非服务所必需或无合理场景下,不得进行自启动、关联启动、或者唤醒、调用、更新等行为;在自动续订、自动续费前五日以短信、消息推送等显著方式提醒用户,并提供便捷的退订和取消途径。
针对加强个人信息保护,《通知》聚焦超范围收集使用个人信息、规则告知不充分、过度索取权限等问题提出要求:不得强制要求用户同意超范围或者与服务场景无关的个人信息处理行为;突出显示敏感个人信息的处理目的、方式和范围,建立已收集个人信息清单;在业务功能启动时,动态申请所需权限,特别是在调用终端相册、通讯录、位置等权限时,应同步告知用户申请该权限的目的。
值得注意的是,去年12月,工信部曾发布上述《通知》的征求意见稿。
南都记者对比发现,正式版本在加强个人信息保护方面新增了个人信息处理“如发生变动,应及时告知用户最新情况”的表述;在强化App运行管理方面,正式版新增了防范未经用户同意私自启动(App)的表述,进一步细化了影响用户服务感知的问题。
接入企业核验App、SDK开发运营者的真实身份
在提升行业管理能力方面,《通知》强调了五类主体:App开发运营者、分发平台、SDK、智能终端、接入企业。其中,接入企业提供网络连接服务,要夯实信息登记和处置责任。
App开发运营者要落实哪些主体责任?《通知》要求,明确用户服务和权益保护的牵头管理部门和负责人,建立全生命周期个人信息保护机制,健全考核问责制度,将相关法规政策要求落实到产品研发、推广和运营各环节;增强技术保障能力;加强SDK使用管理。按照“谁使用,谁负责”的原则,加强对所使用SDK的管理。
工信部表示,分发平台作为连接App开发运营者和用户之间的桥梁,要落实好“守门人”责任。具体而言,分发平台事前要严格App上架审核:准确登记并核验基本信息,对拟上架App进行技术检测,在架App要全量公示,提高透明度;事中要强化在架App巡查:防止采取“热更新、热切换”等方式擅自更改App主要功能、申请权限及个人信息收集使用场景和范围等违规行为。
另外,分发平台在事后要完善分发管理机制:建立App开发运营者信用评价、风险提示等机制,推广App电子签名认证,加强与面向移动互联网应用程序的检测及认证公共服务平台联动,做好信息共享、响应处置工作。
值得注意的是,本次《通知》将SDK列为五类主体之一。据统计,目前主流App中基本都嵌入使用了SDK,平均每款App使用SDK的数量约20款。SDK已成为移动互联网应用服务链条上的重要环节。
《通知》从SDK自身以及使用者App两个角度提出规范要求。从App角度,要加强SDK使用管理,对SDK进行个人信息保护能力评估,通过合同等形式明确约定各自责任,集中展示并及时更新嵌入的SDK相关信息。共同处理用户个人信息,侵害用户权益造成损害的,依法承担相应责任。
从SDK角度,《通知》要求SDK建立信息公示机制,明示基本信息及个人信息处理规则;优化功能配置,明确SDK功能及其对应的个人信息收集范围,并提供配置选项;加强服务协同,向App开发运营者提供合规使用指南,引导App开发运营者正确合理使用,共同提高合规水平。
《通知》对包括智能手机在内的终端提出要求:为用户提供App自启动和关联启动的关闭功能,以及便捷的相关设备识别码重置选项,监测防范未经用户同意私自启动、下载、安装等行为;增强对App权限调用行为的记录能力,建立通讯录、麦克风、相机、位置、剪切板等权限在用状态的明显提示机制;推动开展App电子签名认证,向用户进行预警提示,提高对仿冒、不良、违规等风险App的识别能力。
此外,在夯实接入企业责任方面,《通知》要求,准确登记信息:在为App、SDK提供网络接入服务时,登记并核验App、SDK开发运营者的真实身份、联系方式等信息,提高溯源能力;确保有效处置:按照电信监管部门要求,依法对违规App、SDK采取停止接入等必要措施,有效阻止其侵害用户权益的违规行为。
采写:南都记者孙朝 实习生朱梓函
编辑:蒋琳
- 蒋琳4.93亿
- 南方都市报记者
[email protected],020-87006626。