方熠志

2021年4月26日，在国家网信办的统筹指导下，工信部会同公安部、市场监管总局起草了《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》（以下简称《暂行规定》），将在5月26日前就规范App个人信息处理进行意见征集。

在此之前，工信部发布过《电信和互联网用户个人信息保护规定》《移动智能终端应用软件预置和分发管理暂行规定》《关于开展纵深推进App侵害用户权益专项整治行动的通知》等规定，牵头制定了《App用户权益保护测评规范》《App收集使用用户个人信息最小必要评估规范》，四部委联合发布了《App违法违规收集使用个人信息行为認定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等规定。截止目前，工信部通报了十余批次侵害用户权益的App，并下架了部分未能完成整改的App，社会反映热烈，取得了阶段性的明显成效。

网经社电子商务研究中心特约研究员、北京大成（杭州）律师事务所合伙人孙鹏程律师认为关于《征求意见稿》的主要内容包括：

界定适用范围

在适用范围方面，《征求意见稿》明确了在中华人民共和国境内开展的App个人信息处理活动，应当遵守本规定。包括开发运营主体在境内、在境内登记或备案、服务器在境内以及分发平台在境内等情况。法律、行政法规对个人信息处理活动另有规定的，从其规定。另外，参照近期对标立法和工信部执法活动，移动互联网应用程序应当包括App、小程序（不仅微信小程序）及SDK等。由于工信部ICP年检中，未将小程序作为单独网源登记，缺乏相关数据，所以小程序的执法案例相对较少。

明确了App个人信息保护的联合工作机制

国家互联网信息办公室会同工业和信息化部、公安部、市场监管总局健全完善App个人信息保护监督管理联合工作机制，统筹推进政策标准规范等相关工作，各部在各自职责范围内负责App个人信息保护和监督管理工作。这一监管机制也将在即将公布的《个人信息保护法（二审稿）》修订内容中进一步明确。

确立了“知情同意”“最小必要”两项重要原则

《征求意见稿》“知情同意”规定，从事App个人信息处理活动的，应当以清晰易懂的语言告知用户个人信息的处理规则，由用户在充分知情的前提下作出自愿、明确的意思表示，并明确了“六项应当”要求。其中第一项，应当在App登录注册页面及App首次运行时向用户告知的规定，与之前App首次运行时告知的要求有所增加。

最小必要规定从事App个人信息处理活动的，应当具有明确、合理的目的，并遵循最小必要原则，不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动，并提出了“六项不得”要求。此外，App个保新规还借鉴了《常见类型移动互联网应用程序必要个人信息范围规定》有关内容，明确规定用户拒绝提供非必要个人信息时不得拒绝为用户提供该服务。

规范关键环节主体责任义务

《征求意见稿》对App治理的全链条、全主体、全流程予以规范，规定了App开发运营者、App分发平台、App第三方服务提供者、移动智能终端生产企业和网络接入服务提供者在App个人信息保护方面的具体义务。

例如App开发运营者合规责任包括但不限于：提升个人信息保护意识、非个性化推送、制定管理规则、协议明确权利义务、风险监督、加强安全措施及事故响应处置要求等。App分发平台合规责任包括但不限于：登记核验身份、显著标明信息、不得欺骗误导下载、上架审核、建立管理机制、报送机制和设置投诉渠道。

另外还提出了投诉举报、监督检查、处置措施和风险提示等4方面规范要求。

细化违规处置流程和具体措施

App个保新规在总结工信部前期监管执法经验的基础上，将专项整治行动中确立的监管措施上升到立法层面，即“责令整改（5日）一社会公告（5日）一下架处置一断开接入一信用管理”。特别提出，对未按要求完成整改或反复出现问题、采取技术对抗等违规情节严重的App，将对其进行直接下架，且下架后的App在40个工作日内不得通过任何渠道再次上架的管理要求。此外，监督管理部门将指导App分发平台和移动智能终端生产企业在集成、分发、预置和安装等环节进行风险提示，情节严重的采取禁入措施。实践中，浙江给予的整改期限有所放宽。