BETHASH官方网站(访问: hash.cyou 领取999USDT）

　　十年前，习在网络安全和信息化工作座谈会上强调，网信事业要发展，必须贯彻以人民为中心的发展思想。党的二十届四中全会指出，实现人民对美好生活的向往是中国式现代化的出发点和落脚点。作为物理世界和数字世界的连接门户，互联网应用程序是人民群众享受信息化便利的重要窗口，做好其治理工作对于让信息化成果更多更公平惠及全体人民至关重要。近日，国家互联网信息办公室就《互联网应用程序个人信息收集使用规定》(征求意见稿)(以下简称《规定》）面向社会公开征求意见，对互联网应用程序收集使用个人信息做出明确的要求，这对于推动信息惠民便民、加强个人信息保护、推进网络生态治理具有重要意义。

　　着力解决应用程序“不好用”问题。当前，部分互联网应用程序未能从用户的角度出发对隐私提示、隐私保护等功能进行便捷性设计，导致不少用户心存顾虑。例如，有的应用程序将隐私设置藏多级菜单中，查找隐私规则、关闭非必要权限需经历多步操作，用户难以快速找到入口；有的应用程序通过对用户开展精准画像进行个性化的信息推送，一些用户不想使用个性化推荐功能，却不知道如何关闭；有的应用程序一旦注册就不能注销账号，或者即使注销账号也不能删除用户的个人信息。为此，《规定》针对隐私规则便捷查询，要求互联网应用程序应当在设置页面等醒目位置提供个人信息收集使用规则一键访问功能，方便用户查阅和保存；针对关闭个性化推荐功能，要求互联网应用程序通过自动化决策方式向用户进行信息推送、商业营销的，应当设置易于理解、便于访问和操作的个性化推荐关闭选项；针对注销账号删除个人信息，要求互联网应用程序应当为用户提供注销账号的便捷功能，并要求在15个工作日内完成账号注销，删除已收集的相关个人信息或者进行匿名化处理。

　　着力解决应用程序“不能用”问题。“不授权就退出”成为不少应用程序的霸王条款，用户有时不得不被迫同意应用程序收集与功能无关个人信息。为此，《规定》强调，互联网应用程序应当提供基于功能场景的个人信息收集配置选项，允许用户根据需要，设定哪些功能场景可以收集使用个人信息；同时，杜绝反复索要信息。对于用户拒绝的，要求互联网应用程序不得频繁索要影响用户正常使用其他功能；此外，禁止强制索取信息。除个人信息属于提供产品或服务所必需的外，要求不得以个人信息主体不同意收集使用其个人信息或者撤回同意为由，拒绝提供产品或者服务。

　　着力解决应用程序“不敢用”问题。个人信息被滥用、售卖、泄露导致的诈骗、骚扰等问题，让用户对互联网应用程序心存顾虑。为此，《规定》针对保护用户通信秘密，要求互联网应用程序、软件开发包、分发平台运营者和智能终端厂商对掌握的属于通信秘密的个人信息，不得对内容进行检查，不得向第三方提供；针对规范向第三方提供个人信息，要求互联网应用程序向第三方提供个人信息的，应当取得用户的单独同意；针对防止电信网络诈骗，要求互联应用程序、软件开发工具包、分发平台运营者和智能终端厂商应当制定内部管理制度和操作规程，建立健全内部合规管理体系和问责机制，防止个人信息被用于电信网络诈骗等违法犯罪活动，充分保护用户个人信息。

　　着力解决“非法”获取个人信息问题。这是应用程序个人信息采集行为中严重的违规情形。例如，有的应用程序使用的插件、软件开发工具包等在用户不知情下“悄悄”抓取用户手机通讯录、通话记录；有的应用程序伪装成工具类软件，安装后自动打开麦克风、摄像头，扫描手机存储的照片、文件获取用户的敏感信息。为此，《规定》明确要求应用程序、软件开发工具包的个人信息收集使用全过程公开透明，一是各方收集使用个人信息须告知用户并取得同意，要求收集使用个人信息应当向个人信息主体充分告知收集使用规则，并取得个人信息主体同意；二是应用商店等应用程序分发平台要加强审核，建立互联网应用程序收集使用个人信息规范性档案；三是手机等智能终端要对索权调权情况进行记录、提示、风险提醒等防范“越权”,要求智能终端应当在屏幕顶部等显著位置，以易于理解的图标等显著标识，如实地向用户提示当前正在调用的麦克风、摄像头、位置等权限，同时应当准确提示互联网应用程序调用权限可能带来的安全风险。

　　着力解决“非正当”获取个人信息问题。非正当获取个人信息是通过隐私条款“藏猫猫”“玩文字游戏”等手段规避用户知情权与选择权，本质是对用户权益的漠视。例如，有的应用程序将个人信息采集规则隐藏在数万字的用户协议中，以灰色字体、极小字号呈现。为此，《规定》明确“不得通过误导、欺诈、胁迫等方式收集使用个人信息”,并强调对于用户个人信息收集使用规则，一要清晰易懂，明确互联网应用程序收集使用个人信息应当遵循公开、透明原则，制定公开个人信息使用规则，通过清晰易懂的语言真实、准确、完整、逐项列明；二要显著提示，明确个人信息使用规则应当以加粗字体、放大字号、标记不同颜色等显著方式向用户提示；三要用户知情同意，明确互联网应用程序应当在首次启动时，通过弹窗等显著方式向用户告知个人信息收集使用规则，并在用户充分知情的前提下，取得用户同意规则的明确表示。

　　着力解决“非必要”获取个人信息问题。“最小必要”是《个人信息保护法》规定的基本原则，然而不少应用程序为追求商业利益，超出服务本身需求，过度收集与功能无关的个人信息。为此，《规定》明确收集使用个人信息应当采取对个人信息主体权益影响最小的方式，一是个人信息的收集范围“最小必要”,要求各方不得超出用户同意的目的、方式、种类、保存期限收集使用个人信息；二是个人信息收集所涉主体“最小必要”,除特定功能需要外，要求互联网应用程序不得通过调用通讯录、通话记录、短信权限收集使用用户以外其他个人信息主体的个人信息；三是用户功能权限调取过程“最小必要”,例如要求互联网应用程序应当仅在用户主动选择使用拍照、发送语音、录音录像等功能时调用相机、麦克风权限，不得在用户停止使用相关功能或者无关场景调用相机、麦克风权限。

　　着力加强“系统性”治理。作为个人信息收集使用的核心参与方，互联网应用程序、软件开发工具包、应用程序分发平台、智能终端各主体责任边界模糊，导致经常相互推卸责任，进而带来个人信息治理难题。为此，《规定》一是明确各方主体责任，规定互联网应用程序、软件开发工具包运营者分别对所运营的互联网应用程序、软件开发工具包个人信息收集使用活动及安全保护承担主体责任。二是明确各方应履行的审核义务，规定互联网应用程序运营者对嵌入的软件开发工具包、分发平台运营者对分发的互联网应用程序、智能终端厂商对预置的互联网应用程序依法履行审核义务。未能进行有效审核，对个人信息主体权益造成侵害的，依法承担相应责任。与此同时，《规定》分别对互联网应用程序运营、软件开发工具包运营、应用程序分发平台、智能终端提出了清晰的安全管理要求。

　　着力推动“协同性”治理。当前，对于互联网应用程序收集使用个人信息的治理，部门合力有待加强，第三方机构的积极作用也没有得到有效发挥，社会公众的监督力量也没有得有充分利用。为此，《规定》一是明确有关部门的职责分工，网信部门负责统筹协调和监督管理，电信主管部门、公安部门和其他有关机关在各自职责范围内负责相应个人信息保护和监督管理工作；二是有效利用第三方认证的积极作用，要求分发平台在上架审核中应根据互联网应用程序运营者取得个人信息保护认证和互联网应用程序安全认证的结果，予以优先展示推荐；三是充分发挥社会公众的监督作用，要求互联网应用程序、软件开发工具包运营者应当在产品官方网站、个人信息收集使用规则中提供有效的、易于访问的投诉举报渠道，健全投诉举报的受理处置反馈机制，在承诺时限内受理并处置个人信息相关投诉。

　　着力推动“精准性”治理。随意和频繁调用用户的相机、麦克风、位置、相册、通讯录、短信、存储等信息，是互联网应用程序个人信息保护治理的顽疾，调用用户的生物识别信息以及未成年人的个人信息是高度敏感的问题，社会对此反映强烈。为此，《规定》专门列出条款，对重点权限管理、生物识别信息保护、未成年人保护作出专门规定。值得注意的是，《规定》明确提出，鼓励互联网应用程序接入国家网络身份认证公共服务，有望从更深层次破解互联网应用程序的个人信息保护问题。