多维度、多层次的App监管体系

近日，记者登录工信部网站检索相关信息发现，从2019年开始，我国就逐步形成了多维度、多层次的App监管体系。

2019年，国家互联网信息办公室秘书局等部门印发的《App违法违规收集使用个人信息行为认定方法》明确规定，如果在App中未列出SDK收集使用个人信息的目的、方式、范围则被认定为未明示收集使用个人信息的目的、方式和范围。

2020年11月，全国信息安全标准化技术委员会发布《网络安全标准实践指南——移动互联网应用程序（App）使用软件开发工具包（SDK）安全指引》，对APP使用SDK的相关方和责任进行了明确。从App个人信息安全的角度来看，《安全指引》规定原则上App提供者是App个人信息控制者及保护用户个人信息安全的首要责任人，SDK提供者按照App使用SDK的不同方式承担相应的个人信息安全责任。

2023年2月，工业和信息化部印发的《关于进一步提升移动互联网应用服务能力的通知》明确提出，加强SDK使用管理、规范SDK应用服务以及落实SDK主体责任。上述通知称，遵循最小必要原则，根据不同应用场景或用途，明确SDK功能和对应的个人信息收集范围，并向APP开发运营者提供功能模块及个人信息收集的配置选项，不得一揽子过度收集个人信息。

工信部发布关于侵害用户权益行为的App（SDK）通报（央广网发 工信部截图）

熊文聪表示，首先，可以采取加大事后处罚力度的方法，一旦用户发现特定信息的处理严重损害了其个人合法权益，比如名誉权、隐私权和一般人格权等，在行政和司法救济力度上加大对涉案信息处理者的惩处，倒逼其在处理用户个人信息时，通过各种手段保护好用户的合法权益。另外，个人信息处理者应当提供“选择退出”机制，即当用户看到自己的个人信息被处理而感到不舒适时，用户有途径和方法便捷地要求信息处理者删除自己的个人信息，当然信息处理者可以提示用户，如果不允许处理其信息，则相应的网络服务（比如商品推荐功能）将被终止的后果，由用户自行判断要不要选择退出。此外，个人信息处理者应当向用户明示投诉通道和方式，当用户进行投诉时，接到投诉的个人信息处理者应当尽快回应投诉，并告知用户其是通过什么方式从哪里获取的该用户个人信息。

吴沈括认为，在SDK收集数据的过程当中，按照现在合规的要求，对于收集的范围、收集者就是SDK的主体以及数据的流向都要有一个明确的说明。包括获得相关主体，也就是从普通用户的同意等等针对App或SDK这些监管和监督，需要从主体的准入、业务的流程、非正常状态的响应处置，可以从事前、事中、事后三个层面要强化。

吴沈括表示，首先，在数据的收集处理时，交互共享的过程当中，要遵循包括双清单在内的各项合规要求，特别是尊重用户的知情同意权利。其次，满足用户合法的权利要求、权利期待，同时建立有效的投诉举报机制，及时的响应用户的投诉和举报。另外。建立实时监测的机制，对于非法和其他非正常情形做出一个有效、及时的响应和处置机制。

此外，北京市京都律师事务所高级合伙人、中国计算机协会数据安全产业专家委员会专家委员王菲提醒，用户下载App在勾选相关隐私政策协议，还是需要仔细阅读。比如，App或SDK获取哪些权限，权限中哪些是开启状态，不相关的、涉及隐私的要手动关闭，把所有不影响正常使用的授权全部关闭，避免在不知情的情况下被收集个人信息。

• 上一页
• 1
• 2
• 3
• 全文阅读