《移動互聯網應用用戶個人信息保護十大倡議》發布

2020年01月10日20:36  來源:人民網
 

人民網、中國信息通信研究院、中國互聯網協會共同發起了《移動互聯網應用用戶個人信息保護十大倡議》(人民網記者 翁奇羽攝)

人民網北京1月10日電(吳曉琴) 1月10日,由公安部網絡安全保衛局指導、人民網和中國信息通信研究院聯合主辦、巨掌互動科技協辦的首屆移動互聯網應用安全發展峰會在人民日報社新媒體大廈舉行。

本屆峰會以“5G互聯 安全先行”為主題,邀請相關部委領導、專家學者、知名APP企業代表、媒體代表等300余人齊聚一堂,圍繞“5G時代移動互聯網的安全隱患和風險防范”等議題,共同探討如何打造更安全、更可靠的移動應用市場,助力行業健康有序發展。

為加強行業自律,強化產業協作體系,為用戶提供更安全放心的移動互聯網應用服務,人民網聯合中國信息通信研究院、中國互聯網協會共同發起了《移動互聯網應用用戶個人信息保護十大倡議》。來自中國普天、浪潮、百度、順豐速運、首汽約車、字節跳動、平安集團、高德地圖等60余家企業代表參與倡議,共同維護行業健康有序發展。

“十大倡議”全文如下:

(一) 加強行業自律,明確企業主體責任

嚴格遵守法律法規,全面加強行業自律。行業自律是用戶個人信息保護的關鍵,也是企業可持續發展的內在基礎。鼓勵企業在行業協會的組織下,嚴格遵守法律法規,積極開展自律工作。應用服務和應用分發廠商積極落實主體責任,主動適應個人信息保護和數據管理新形勢新要求,嚴格遵守法律法規,貫徹落實個人信息收集使用規定,不斷完善企業內部的個人信息保護和數據管理制度,持續優化用戶隱私政策,並將個人信息保護的要求貫徹執行到規劃、開發、運營等各個環節,積極配合主管部門的監管要求,切實有效維護好用戶合法權益。

(二) 依托公眾監督,及時響應用戶關切

高度重視用戶權益保障,為用戶舉報監督創造便利條件。公眾監督是保障用戶權益的重要渠道,也是約束企業行為的有效方式。應用服務、應用分發平台應以用戶為中心,為用戶舉報投訴設置便捷的方式和渠道,健全公眾參與監督的機制,時刻關注用戶感受和體驗,尊重並保障用戶的投訴權和可追溯權,積極向行業主管部門移交公眾舉報信息。

(三) 規范收集使用規則,落實告知同意

規范告知明示內容,確保用戶知情權、選擇權。收集使用規則是用戶了解移動互聯網應用用戶個人信息收集使用的主要渠道,收集使用規則應滿足清晰、明確、完整、易懂等要求,確保用戶充分理解。收集使用規則應包含收集使用信息的內容、目的、方式、范圍、頻次、保護措施以及公開、轉移、共享等相關信息。移動應用服務商應嚴格依照收集使用規則進行用戶個人信息收集處理,遵循告知同意原則,在收集用戶個人信息前,以易於感知的方式,明示告知用戶收集使用規則,待用戶同意后,方可執行。

(四) 規范信息共享規則,明確責任歸屬

根據信息共享和責任歸屬原則,增加信息可追溯性。移動應用服務商應制定清晰、明確的信息共享規則,在轉移、共享用戶個人信息前,應先明示用戶共享的內容、共享對象、共享用途等相關信息,征得用戶同意后,方可轉移或共享信息。移動應用服務商應與信息接收方訂立安全協議,明確各方信息保護責任,並要求信息接收方依規執行。

(五) 規范推送及權限調用,加強用戶可知可控

加強應用推送及權限調用管理,淨化應用環境。完善的應用推送及權限調用管理機制可以有效約束應用服務在未向用戶告知或未以顯著方式標示情況下,將收集到的用戶搜索、瀏覽記錄、使用習慣等個人信息用於定向推送或精准營銷的行為。構建應用服務合規合理定向推送,淨化移動互聯網應用環境,以期提高公眾對應用服務的使用信心。

(六) 提高應用防護能力,保障用戶合法權益

提高安全專業能力,高度重視個人信息保護。安全防護能力是移動應用保護用戶個人信息的基礎保障。移動應用開發者應採取必要的手段保障應用的安全性和用戶數據的機密性、完整性和可用性。應用服務開發者應將安全編碼原則貫穿整個軟件開發周期,採用高等級API和安全SDK、適配最新操作系統及外部代碼庫、盡量減少代碼的攻擊面。並對應用進行必要的安全加固、採用安全存儲和傳輸技術保障用戶敏感信息安全,通過完善的身份認証機制保障通信過程安全。

(七) 規范平台信息聲明,保証下載用戶知情

為用戶提供應用詳情,增加應用環境透明度。應用平台信息聲明是用戶了解應用基本信息的重要途徑。平台應明示用戶,應用名稱、功能描述、卸載方法、開發者信息、應用安裝及運行所需權限列表等,明確告知用戶應用收集使用用戶個人信息的內容、目的、方式和范圍等。在用戶下載應用時,平台應明示應用名稱、功能描述、卸載方法、開發者信息、應用安裝及運行所需權限列表等,且應明示用戶收集使用個人信息的內容、目的、方式和范圍。

(八) 完善安全審核職責,落實分發上架機制

通過應用檢查審核機制,為用戶提供合規應用。應用分發平台審核機制是保証用戶個人信息的基礎保障。平台應審核開發者資質和應用相關信息。平台應制定明確的上架要求並建立完備的檢測機制,通過自動化檢測和人工審核手段,對應用收集使用用戶個人信息的行為進行規范。應用分發平台應對應用進行跟蹤監測和管控,包括定期復查,定期對已上架的應用進行復查,發現問題立即下架。

(九) 健全投訴反饋渠道,配合監管落實規范

根據反饋保障機制,為用戶提供可查可控途徑。應用分發平台承擔連接用戶、應用及終端的橋梁責任,是用戶個人信息保護工作的重要環節。應用分發平台應建立多種途徑及時接收和反映用戶的建議和投訴,並通過既定規則流程,及時響應用戶投訴和應用侵權審核情況。平台應積極支撐主管部門開展市場監測工作,敦促落實用戶信息收集使用規則,輔助主管部門進行監管和決策。

(十) 加強多方溝通協調,強化產業協作體系

針對焦點和難點問題,產業界齊心協力聯手行動。針對焦點和難點問題,產業界齊心協力聯手行動。針對當前用戶普遍關注的移動互聯網應用用戶個人信息安全問題,產業界應積極響應產業訴求,加強終端廠商、應用服務商、應用分發商、安全廠商等多方面的溝通協調,在設備安全、應用安全、數據安全等多方面加強交流合作,共享技術經驗,制定行業標准規范,強化產業協作體系,共同提升移動互聯網應用用戶個人信息保護能力。

(責編:馮粒、曹昆)