资源描述
移动互联网应用程序(APP) 中国信息通信研究院 2021年11月 No.202116 个人信息保护治理白皮书 版权声明 本白皮书 版权属于 中国信息通信研究院 ,并受法律保护 。 转载、摘编或利用其它方式使用 本白皮书文字或者观点的,应 注明 “ 来源: 中国信息通信研究院 ” 。违反上述声明者,本院 将追究其相关法律责任。 前 言 近年来,互联网、大数据、云计算、人工智能、区块链等新一代信息技术迅猛发展,与经济社会发展、人民生产生活交织融合,数字经济发展速度之快、辐射范围之广、影响程度之深前所未有。我国移动互联网应用创新活跃,截至今年 9 月底,我国移动电话用户总数达16.4 亿,移动互联网应用程序(APP )在架数量达 274 万款,第三方应用商店在架应用分发总量达到 20164 亿次,各类 APP 蓬勃发展,新模式、新业态不断涌现,渗透千行百业、便利方方面,已成为数字经济发展的重要力量。 与此同时, APP 侵害用户权益、违规收集使用个人信息的问题日益突 出,已成为关乎人民群众获得感、幸福感和安全感的重要问题。党的十九届五中全会上,习近平总书记对推进国家治理体系和治理能力现代化做出了全面部署,对保障国家数据安全、加强个人信息保护提出了明确要求。工业和信息化部坚决贯彻党中央决策部署,坚持把实现好、维护好、发展好最广大人民根本利益作为出发点和落脚点,大力推进电信和互联网领域 APP 个人信息保护治理工作。这项工作 得到了社会各界的广泛关注和积极支持。经过各方共同努力, APP 个人信息保护政策法规不断完善,相关技术标准体系基本形成,全国APP 技术检测平台建设稳步推进, APP 专项整治行动有效震慑违法侵权活动,APP 个人信息保护治理工作取得了阶段性重要成果。 2021 年是中国共产党成立一百周年,也是 “十四五 ”开局之年。2021 年 11 月 1 日,我国个人信息保护法正式施行。站在新征程上,党中央对个人信息保护工作提出了更高要求,人民群众对个人信息保护工作给予了更高期待。为充分总结成效经验,持续深入推进APP 个人信息保护治理工作,在工业和信息化部指导下,中国信息通信研究院组织编写了移动互联网应用程序(APP )个人信息保护治理白皮书,从法律法规、标准体系、检测平台、监管实践等方面,系统梳理了前期有关部门组织开展 APP 个人信息保护治理工作的情况,并对下一步纵深推进治理工作提出了展望。期待白皮书能为相关企业和广大用户了解我国 APP 个人信息保护治理工作提供有益参考。 目 录 一、 APP 个人信息保护治理的重要性紧迫性日益凸显 . 1 (一) 落实中央决策部署的重要举措 . 1 (二) 维护用户合法权益的现实需要 . 2 (三) 营造公平竞争环境的关键手段 . 2 (四) 顺应国际发展趋势的普遍做法 . 3 二、 APP 个人信息保护治理工作取得显著成效 . 4 (一)依法治理,政策法规制度持续完善 . 4 (二) 规范指引,标准体系建设基本形成 . 8 (三) 技管结合,检测平台建设稳步推进 . 11 (四) 专项整治,用户权益保护明显改善 . 16 三、 纵深推进 APP 个人信息保护治理工作 . 24 (一)补齐短板,持续完善监管制度依据 . 24 (二)加强协同,建立健全联动治理机制 . 26 (三)发挥优势,提升技术手段治理效能 . 28 (四)多元共治,推动行业发展行稳致远 . 29 图 目 录 图 1 APP 个人信息保护标准框架 . 8 图 2 全国 APP 检测平台检测流程大屏 . 13 图 3 全国 APP 检测平台总体架构图 . 15 图 4 337 号文各批次通知、通报、下架应用数量 . 17 图 5 337 号文各阶段问题数量 . 17 图 6 337 号文通知应用问题项 . 18 图 7 337 号文通报应用问题项 . 18 图 8 337 号文下架应用问题项 . 19 图 9 164 号文各批次通知、通报、下架应用问题数量 . 20 图 10 164 号文各阶段应用问题数量 . 21 图 11 164 号文通知应用问题项 . 21 图 12 164 号文通报应用问题项 . 22 图 13 164 号文下架应用问题项 . 22 表 目 录 表 1 337 号文各阶段应用类型 . 19 表 2 164 号文各阶段应用类型 . 23 一、APP个人信息保护治理的重要性紧迫性日益凸显 当前,以移动互联网为代表的新一代信息通信技术快速发展,数字化、网络化、智能化加速推进,不断催生新业态、产生新模式,推动各类应用程序蓬勃发展,我国 APP 在架数量和用户规模持续扩大,已经成为个人信息保护的关键领域。移动互联网发展焕发新活力的同时,也带来了一系列侵害用户个人信息权益问题,开展 APP 个人信息保护治理成为党中央国务院高度关注、人民群众广泛关切、经济发展迫切需要、国际社会普遍推进的重要议题。 (一)落实中央决策部署的重要举措 开展 APP 个人信息保护治理是信息通信行业落实 “以人民为中心”发展思想的具体体现,也是认真贯彻党中央国务院决策部署的重要举措。习近平总书记指出, “要适应人民期待和需求,加快信息化服务普及,降低应用成本,为老百姓提供用得上、用得起、用得好的信息服务,让亿万人民在共享互联网发展成果上有更多获得感”。党中央国务院高度重视个人信息保护问题,党的十九届五中全会提出,要保障国家数据安全,加强个人信息保护。近年来,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局等监管部门贯彻落实党中央国务院决策部署,持续组织开展个人信息保护治理工作,把 “以人民为中心” 思想贯穿到工作的各个环节。工业和信息化部立足主责主业,大力推进电信和互联网领域个人信息保护工作,聚焦人民群众反映强烈、社会高度关注的 APP 侵害用户个人信息权益问题,迅速出击、积极作为,切实解决人民群众最关心最直接最现实的问题。 1 (二)维护用户合法权益的现实需要 进入数字经济时代,技术发展日新月异,万物互联、人机交互使得个人信息保护面临前所未有的挑战,不仅极大地扩展了个人信息收集使用的规模,也加剧了个人信息泄露、滥用的风险。我国互联网产业普遍采用 “前端免费、后端获利” 的模式,随着信息通信技术的演进,企业盈利模式也从在线广告向基于大数据的定向推送、精准营销转变,用户个人信息成为企业获利的核心价值来源。虽然近年来我国个人信息保护力度不断加大,但在现实生活中,由于企业个人信息保护能力良莠不齐,用户个人信息收集使用规则、目的、方式和范围仍存在不明确的地方,用户个人信息保护仍然面临诸多问题和挑战,尤其是APP侵犯用户个人信息问题突出。截至目 前,我国移动应用程序数量达 274 万款,部分 APP 随意收集、违法获取、过度使用个人信息情况比较严重。例如, 2021 年央视 “315”晚会反映出 “商家安装摄像头盗取人脸识别信息”“ 招聘平台贩卖个人简历信息”“APP 、 SDK 违规收集使用个人信息” 等诸多侵害用户个人信息权益问题。深入开展 APP 个人信息保护治理工作,维护用户个人信息合法权益,切实回应用户权利侵害、感知差等问题已经刻不容缓。 (三)营造公平竞争环境的关键手段 用户权益保护水平的高低对数字经济发展环境具有重要影响,开展 APP 个人信息保护治理是适应我国信息通信行业高质量发展的关键一步。当前和今后一段时期,我国已转向高质量发展阶段,这并不是意味着我国已经实现了高质量发展,而是指我国发展已经到了必须以高质量发展为主要目标要求的阶段。习近平总书记在中央政治局第2 三十四次集体学习时强调,要规范数字经济发展,坚持促进发展和监管规范两手抓、两手都要硬,在发展中规范、在规范中发展。推进APP个人信息保护治理不仅是一项具有重大社会效益的益民举措,也是为数字经济持续健康发展营造公平竞争环境的重要保障。违法违规处理用户个人信息活动不仅侵害了人民群众的切身利益,也严重扰乱了数字经济市场秩序,要集中快速解决降低用户体验、阻碍用户使用服务、恶化行业生态等问题,破除行业发展的制约因素。通过开展APP 个人信息保护治理工作,进一步明确 APP 开发运营者、 APP 分发平台、 APP 第三方服务提供者、移动智能终端生产企业以及网络接入服务提供者等各类主体的责任;也通过监管实践,细化违规处置流程和具体措施,明确具体时间期限,提升监管的规范性和透明度。通过 APP 个人信息保护系列治理活动,有利于降低各类市场主体合规成本,稳定市场预期,促进数字经济发展行稳致远。 (四)顺应国际发展趋势的普遍做法 从全球范围来看,制定个人信息保护立法、开展监管执法、强化用户权益保护,是全球数字经济发展背景下的大势所趋,已经成为国际社会广泛关注的重要议题和普遍做法。据不完全统计,目前已经有近 140 多个国家和地区制定了个人信息保护立法,还有多个国家和地区正在起草制定相关法律法规,并不断加大个人信息保护执法处罚力度。例如,欧盟模式坚持统一立法、严格保护,树立了全球个人信息保护标杆。2018 年欧盟通用数据保护条例(GDPR )正式实施,对数据控制者、处理者建立了更为严苛的监管要求。自 GDPR 生效以来,欧盟监管机构执法频率高、处罚力度大,截止 2021 年 10 月,依3 法处罚超过 800 起案件,累计罚款金额超过 12.9 亿欧元。从国际社会来看,高水平个人信息保护的国家和地区相对比较容易在数字经济发展国际合作中取得信任,在数据跨境流动等关键议题上建立合作关系,例如欧盟通过充分性认定不断扩大跨境数据流动范围,美国推动建立 APEC 跨境隐私规则体系。在我国数字产业走向全球化的过程中,也需要以国内高水平、严要求的个人信息保护为基础,在数字经济发展国际合作中取得充分信任,达成国际合作,释放我国数据规模优势。 二、APP个人信息保护治理工作取得显著成效 近年来,在国家网信部门的统筹协调下,国务院有关行业主管部门积极贯彻落实党中央、国务院决策部署,立足主责主业,大力推进本领域个人信息保护工作,持续推动完善政策法规制度和标准体系。作为电信和互联网行业主管部门,自 2019 年以来,工业和信息化部连续两年部署开展 APP 侵害用户权益专项整治行动,指导建设全国APP 技术检测平台,组织开展 APP 专项整治行动,在个人信息保护方面探索出新的治理模式,取得显著成效。 (一)依法治理,政策法规制度持续完善 法治是治国理政的基本方式,是互联网治理特别是个人信息保护工作不可或缺的重要手段。在我国互联网产业高速发展的同时,国家立法机构和有关部门高度重视个人信息保护工作,逐步完善相关法律法规建设,为依法开展 APP 个人信息保护治理提供了坚实的制度基础和可靠法律保障。 一是国家个人信息保护法律制度顶层设计基本形成。早在 20124 年,国家层面就认识到个人信息保护的重要性,全国人大常委会通过全国人大常委会关于加强网络信息保护的决定,明确 “国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”,这是首次从法律层面确认个人信息保护的要求,同时也确定了 “合法、正当、必要” 的原则,并一直在后续立法中 得到延续。 2016 年 11 月,全国人大常委会通过网络安全法,在 “网络信息安全” 章节中对个人信息保护问题作出了较为全面的规定,明确了我国个人信息保护的基本原则和基础制度规则,为开展个人信息保护执法监督工作提供了法律依据。2021 年 6 月,全国人大常委会审议通过数据安全法,界定了数据及数据安全的内涵,完善了数据安全监管机制,明确了数据安全治理重点制度规则。2021 年 8 月,全国人大常委会审议通过个人信息保护法,作为我国个人信息保护领域的专门立法,个人信息保护法坚持问题导向、回应社会需求,对公民在处理个人信息活动中的权利、个人信息处理者的义务、个人信息跨境传输、监管部门职责及法律责任等作出了全面的规定,为深入开展我国个人信息保护工作提供了坚实有力的法律保障。此外,民法典刑法消费者权益保护法电子商务法等法律中也对个人信息保护作出了相关规定和要求。 二是行业主管部门立足自身职责积极推进本领域个人信息保护保护管理规定。 2013 年,落实全国人大常委会关于加强网络信息保护的决定,工业和信息化部率先制定出台了电信和互联网用户个人信息保护规定(工业和信息化部第 24 号令),对提供电信服5 务和互联网信息服务过程中收集、使用用户个人信息的活动进行规范管理,要求电信业务经营者、互联网信息服务提供者在提供服务的过程中收集、使用用户个人信息,应当遵循合法、正当、必要的原则,并对其在提供服务过程中收集、使用的用户个人信息的安全负责。2016 年 12 月,工业和信息化部发布移动智能终端应用软件预置和分发管理暂行规定(工信部信管2016 407 号),规定了移动智能终端生产企业和互联网信息服务提供者的个人信息保护义务,要求采取有效措施,维护网络安全,切实保护用户合法权益。 2019 年 8月,国家互联网信息办公室审议通过儿童个人信息网络保护规定,对通过网络从事收集、存储、使用、转移、披露儿童个人信息等活动进行了规范,明确任何组织和个人不得制作、发布、传播侵害儿童个人信息安全的信息,要求网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护。此外,中国人民银行、公安部等行业主管部门也先后制定出台了个人信用信息基础数据库管理暂行办法互联网个人信息安全保护指南等个人信息保护相关行业管理规定。 三是针对APP个人信息保护的治理规范相继出台。随着 APP 成为个人信息保护的关键领域,国家有关部门开始制定发布 APP 个人信息保护的专门规定和治理文件。2019 年 1 月,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合发布关于开展 APP 违法违规收集使用个人信息专项治理的公告(以下简称公告),决定自 2019 年 1 月至 12 月,在全国范围组织开展6 APP 违法违规收集使用个人信息专项治理。公告的发布推动 APP个人信息保护治理工作进入快速发展的阶段。 2019 年 10 月,工业和信息化部聚焦人民群众反映强烈、社会关注度高的 APP 侵害用户权益行为,发布了关于开展 APP 侵害用户权益专项整治工作的通知(工信部信管函2019 337 号),重点整治 “私自收集个人信息”“ 不给权限不让用” 等四个方面 8 类问题。 2020 年 7 月,针对 APP 违规收集、使用用户个人信息和骚扰用户、应用分发平台管理责任落实不到位等突出问题,工业和信息化部再次发布关于纵深推进 APP 侵害用户权益专项整治行动的通知(工信部信管函 2020 164 号),重点对 “APP、 SDK 违规处理用户个人信息”“ 欺骗误导用户” 等四方面10 类问题继续深入开展专项整治。2021 年 3 月,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局共同发布常见类型移动互联网应用程序必要个人信息范围规定,明确 39 类 APP必要个人信息范围。与此同时,结合行业发展新形势新特点新问题,工业和信息化部还会同相关部门起草制定了移动互联网应用程序个人信息保护管理暂行规定(征求意见稿),并向社会公开征求意见。2021 年 11 月,工业和信息化部印发关于开展信息通信服务感知提升行动的通知(工信部信管函2021 292 号),聚焦影响用户感知的信息通信服务环节,要求相关企业建立已收集个人信息清单和与第三方共享个人信息清单,并在 APP 二级菜单中展示,方便用户查询。 7 (二)规范指引,标准体系建设基本形成 强化 APP 用户个人信息保护,治理侵害用户权益行为,离不开标准规范建设。标准本质上是一种技术制度,为应对风险社会挑战,标准越来越强调 “事前引领” 的功能,制定好的标准能够有效实现支撑法律法规实施和 APP 个人信息保护治理的目的。在推动开展 APP 个人信息保护治理过程中,工业和信息化部组织中国信息通信研究院、电信终端产业协会先后制定发布了多项团体标准和行业标准,并积极推动国家标准编制工作,目前已经基本形成了APP个人信息保护标准体系框架(见图 1),在开展 APP 专项整治过程中发挥了积极支撑作用。 APP个人信息保护标准框架APP用户权益保护测评规范APP收集使用个人信息最小必要评估规范行业标准国家标准 违规收集个人信息超范围收集个人信息违规使用个人信息移动应用分发平台信息展示移动应用分发平台管理APP收集使用个人信息最小必要评估规范-总则APP收集使用个人信息最小必要评估规范-人脸信息APP收集使用个人信息最小必要评估规范-设备信息APP收集使用个人信息最小必要评估规范-终端通讯录APP收集使用个人信息最小必要评估规范-软件列表APP收集使用个人信息最小必要评估规范-好友列表APP收集使用个人信息最小必要评估规范-交易记录APP收集使用个人信息最小必要评估规范-录音信息用户个人信息保护-定义及分类用户个人信息保护-分级指南用户个人信息保护-移动应用商店用户个人信息保护-电子商务用户个人信息保护-即时通信服务.APP收集使用个人信息最小必要评估规范-人脸信息APP收集使用个人信息最小必要评估规范-日志信息APP收集使用个人信息最小必要评估规范-短信信息APP收集使用个人信息最小必要评估规范-图片信息电信和互联网服务 -用户个人信息保护技术要求 -第1部分定义及分类分级团体标准 来源:中国信息通信研究院 图 1 APP 个人信息保护标准框架 8 一是制定发布APP用户权益保护测评规范10项团体标准。随着移动互联网应用种类和数量呈爆发式增长, APP 侵害用户权益事件层出不穷,个人信息保护态势愈加严峻,如何保护用户个人信息权益受到国家和社会公众高度关注。该标准体系根据网络安全法等相关法律要求,依据工业和信息化部关于开展纵深推进 APP 侵害用户权益专项整治行动的通知(164 号文)提出了检测细则。针对164 号文要求整治的违规问题,该标准体系明确了具体评估规范,包括对违规收集个人信息、超范围收集个人信息、违规使用个人信息等10 类突出问题,提出了明确的规范要求。 二是制定发布APP收集使用个人信息最小必要评估规范17项团体标准。针对 APP 侵害用户权益中的典型问题,工业和信息化部组织相关机构按照收集用户个人信息 “最小必要化” 等原则有针对性地制定了最小必要评估规范系列标准,涉及图片、通信录、设备信息、人脸、位置、录像、软件列表等信息收集使用规范。该系列标准按照信息分类明确不同场景下个人信息收集使用的最小必要原则。APP 开发运营者可以对照最小必要这一系列的标准设计开发符合最小必要原则的 APP 产品,相关测评机构也可以依据这份标准开展最小必要符合性的评估。 三是制定发布电信和互联网服务 用户个人信息保护系列行业标准。该系列行业标准属于通信服务标准,弥补了国内空白,系列标准的实施发布有效支撑了政府监管和企业内部管理。首先,制定 YD/T 2781-2014 电信和互联网服务 用户个人信息保护 定义及分9 类 YD/T 2782-2014 电信和互联网服务 用户个人信息保护 分级指南两项标准作为顶层设计,不同类型的电信互联网业务可依据这两项标准进行个人信息分类分级。其次,针对用户个人信息规模较大的电信互联网业务,优先制定了YD/T 3106 -2016 电信和互联网服务 用户个人信息保护技术要求 移动应用商店YD/T 3105- 2016 电信和互联网服务 用户个人信息保护技术要求 电子商务 YD/T 3327-2018 电信和互联网服务 用户个人信息保护技术要求 即时通信服务三项技术要求标准,指导相应企业根据该系列标准建立个人信息保护管理制度和技术手段,提升个人信息保护水平。与此同时,该系列标准面向新业态、新服务不断完善。 四是积极推进电信和互联网服务用户 个人信息保护技术要求 第1部分定义及分类分级国家标准的制定工作。电信和互联网服务用户 个人信息保护技术要求 第 1 部分定义及分类分级国家标准,是为了适应电信和互联网行业的快速发展形势,保证用户个人信息保护相关行业标准能够在更广泛的领域应用,根据电信和互联网服务 用户个人信息保护系列行业标准完善形成的国家标准。该标准综合考虑电信和互联网服务中用户个人信息的属性和类型特征,将电信和互联网用户个人信息进行分类。同时,根据所处理用户个人信息的敏感性,对电信和互联网服务进行用户个人信息保护级别划分,要求服务提供方按照所对应级别的规定,在处理收集和使用个人信息过程中提供相应的保护机制。 10 (三)技管结合,检测平台建设稳步推进 目前,APP 在架数量大,且保持平均两周一次的频繁迭代更新,对 APP 个人信息保护工作提出了新的更高要求。原有技术监管手段由于自动化检测能力低、覆盖范围受限,很难实现全面均衡监管。为解决此问题,提升全面监管能力, 实现 “以产业管产业、以技术管技术 ”,在工业和信息化部指导下,中国信息通信研究院联合部分互联网企业组织开展移动互联网应用用户个人信息保护自动化监测检测公共服务能力提升和全国 APP 技术检测平台建设工作。这种行之有效的技术检测做法为监管部门进行 APP 个人信息保护检查和企业进行合规检测提供了有力支撑。 一是以技治技,利用技术平台支撑监管治理。全国 APP 技术检测平台推动 APP 侵害用户权益整治规范化、标准化、统一化,立足于丰富 APP 检测技术手段,提升 APP 自动化测评能力,在强化自动化检测等技术手段能力的同时,建立线上线下、联防联控的管理体系。检测平台建立 “用数据说话、用数据决策、用数据管理、用数据创新”的管理机制,通过统一规则、统一标准、统一平台,对内实现信息共享、业务协同办理,推进 APP 全局的监测检测、高效运行和精准管理。通过积累的多源数据以及任务检测数据,完成深层次的数据挖掘,支撑日常监管决策。 二是平台通过凝聚产业力量,不断提升自动化检测水平和能力。全国 APP 技术检测平台积极利用相关技术手段,做到关口前移,及时发现解决问题,不断提升行业治理能力和水平。摸清我国 APP、分11 发平台等关联环节的底数,掌握 APP 发展动态,持续丰富监管手段,有效支撑 APP 的发现、检测和处置,形成 APP 大数据监管能力,为从静态监管转向动态监管、从重点监管转向全面监管、从分散监管转向协同监管提供有效支撑。目前,全国 APP 技术检测平台先后建立了移动 APP 监测能力、移动应用个人信息保护合规检测能力、个人信息保护合规监测预警能力、大数据应用能力以及对外公共服务能力等多项有效的行业监管和产业服务能力。 全国APP技术检测平台建立移动APP监测能力,获取主流 APP分发平台和其他渠道上架、更新应用数据,实现各级主管部门之间的数据互联互通、资源共享,有利于开展多个部门的联合监管。 全国APP技术检测平台建立移动应用个人信息保护合规检测能力,集成多家技术检测引擎对 APP 进行自动化的个人信息保护合规性检测,发现可能存在的侵犯用户权益的问题或者风险。 全国APP技术检测平台建立个人信息保护合规监测预警能力,通过收集全国范围的移动互联网应用数据,平台可以对各类数据进行检测、聚合、分析,形成可视化的产业监管情报信息,对存在的合规风险实现监管预警。 全国APP技术检测平台建立大数据应用能力,平台借助大数据技术手段,进行分析研判,提供科学、合理、有效的辅助决策方案,为监管机构提供切实可靠的决策辅助参考。 全国APP技术检测平台建立对外公共服务能力,通过数据共享、资源共享的方式进行高效监管整合,同时,面向市场提供 APP 用户12 个人信息保护在线检测等公共服务,保障移动互联网产业健康创新发展。 来源:中国信息通信研究院 图 2 全国 APP 检测平台检测流程大屏 三是以点及面,推进平台建设全网覆盖。全国 APP 技术检测平台建设采取 “三步走 ”策略:第一步是平台建设期。以搭建 APP 技术检测平台主体框架、初步形成一定规模的自动化测评能力为主要目标。在工业和信息化部的指导下,中国信息通信研究院联合多家企业推进平台建设工作。平台管理系统于 2020 年 7 月正式上线试运行,为专项整治行动提供了有效的技术支撑。第二步是平台扩容期。以提升APP 自动获取和自动化检测批量处理能力为主要目标,不断完善基础数据、线索信息、投诉信息的报送和采集机制,扩展自动化检测引擎部署,加强应用分发市场对接,进一步提升平台自动化检测的广度和深度。第三步是平台全面升级期。建立中心式数据处理和服务体系,实现数据清洗汇聚、关联标识与挖掘分析,通过对 APP 相关数据的综合分析与研判,实现 APP 态势感知和跟踪预警,有效支撑 APP 的监督检查、溯源取证和违法处置等工作,为静态监管转向动态监管、重点监管转向全面监管、分散监管转向协同监管提供精准支撑,推动13 APP 产业全面提升个人信息保护水平。 四是引领汇聚,平台架构集成引擎集群。全国 APP 技术检测平台由全网监测系统、自动化检测系统、 APP 大数据中心、任务管理系统、公共服务系统五部分组成。全网监测系统主要对主流应用分发平台上的每日新增和每日更新应用,以及用户关注度高、投诉多、问题严重的应用开展常规监测,通过主动监测、数据报送、线索报送等方式,形成主动发现获取 APP 基础数据、违法违规线索、投诉举报信息的能力。自动化检测系统是集成按照 337 号文和 164 号文配套标准规范开发的自动化检测引擎,形成交叉验证、大规模的 APP 自动检测能力。 APP大数据中心建立中心式数据处理和数据服务体系,实现数据清洗汇聚、关联标识与挖掘分析,通过对 APP 相关数据的综合分析与研判,实现 APP 态势感知和跟踪预警,提升数据利用效益,形成对 APP 全面监管的大数据支撑能力。任务管理系统实现 APP 监管任务的下达、检测、审核、通知、复测、通报等管理工作,支撑部省监管联动,为地方信息通信管理局开展 APP 治理工作提供检测支撑。公共服务系统向 APP 开发者、应用分发服务提供者、 SDK 提供者等行业用户提供统一接入门户,实现行业信息共享共建,建立 APP治理联动机制。 14 来源:中国信息通信研究院 图 3 全国 APP 检测平台总体架构图 五是全线支撑,形成线上线下联防联控。全国 APP 技术检测平台运用人工智能、大数据等新技术,致力于拓展检测深度和广度,大幅提升监管自动化、智能化、标准化水平,实现监测检测全覆盖。全国 APP 技术检测平台主体框架功能上线以来,监测采集范围和检测引擎数量不断扩展。平台将 APP 监测能力与检测能力相融合,打造集数据报送、监督检查、监测预警、通报处置、协同共享、公共服务为一体的综合管理平台,利用 APP 运营者、APP 开发者、 APP 检测者和 APP 监管者的数据分析碰撞,破解工作难题,形成从全国到地区、从全范围到具体领域分类的整体监管能力。全国 APP 技术检测平台建立了 APP 基本信息库,实现全国范围内 APP 资产的检索和自动化检测,对 APP 资产进行持续监测分析和展示,支撑监管机构及15 时获取业务信息资源。全国 APP 技术检测平台汇总互联网信息服务投诉平台和 12321 举报中心的用户投诉信息,支持投诉信息检索,有效支持对于 APP 监管情况的掌控。此外,全国 APP 技术检测平台汇总了多源数据,实现了从地域、违规情况、监管处置、舆论等多维度进行统计分析输出,形成对 APP 监测对象及违规应用的综合分析能力,为监管决策提供支撑。 (四)专项整治,用户权益保护明显改善 为维护用户个人信息安全,保障用户权益,工业和信息化部先后发布工业和信息化部关于开展 APP 侵害用户权益专项整治工作的通知(工信部信管函2019 337 号)和工业和信息化部关于纵深推进 APP 侵害用户权益专项整治行动的通知(工信部信管函2020164 号),持续开展 APP 侵害用户权益专项整治行动。截止目前,APP 专项整治行动共开展 21 批,对 5406 款 APP 发出整改通知,公开通报 2049 款整改不到位的 APP,下架 540 款仍存在问题的 APP。其中,违规收集个人信息、强制频繁过度索取权限、违规使用个人信息和定向推送问题最为突出。 按照 337 号文部署, APP 侵害用户权益专项整治行动共开展 5批,累计通知 539 款违规 APP 进行整改,公开通报 145 款应用,占通知应用的比重为 26.90%,下架 11 款应用,占通知应用的比重为2.04%。 16 来源:中国信息通信研究院 图 4 337 号文各批次通知、通报、下架应用数量 在通知应用整改阶段,问题数量排前 4 位的包括私自收集个人信息,账号注销难,过度索取权限,私自共享给第三方,分别占比 20%、16%、 15%和 14%。在通报阶段, 私自收集个人信息问题占比达 25%。 来源:中国信息通信研究院 图 5 337 号文各阶段问题数量 17 来源:中国信息通信研究院 图 6 337 号文通知应用问题项 来源:中国信息通信研究院 图 7 337 号文通报应用问题项 18 来源:中国信息通信研究院 图 8 337 号文下架应用问题项 从违规应用的类型分布来看,教育学习类应用占比最高,达 53款,占全部违规应用的 9.83%。金融服务类、新闻资讯类和实用工具类数量分别达 42 款、 37 款、36 款,分列违规应用类型数量的第二、三、四位,占全部违规应用的比重分别为 7.79%、6.86 %和 6.67%。在下架应用中,游戏娱乐类应用占比最高,达 3 款,占全部下架应用的 27.27%。(详见表 1) 表 1 337 号文各阶段应用类型 办公商务 博客论坛 餐饮外卖 地图导航 房屋集市 健康医疗 通知 18 16 15 6 10 16 通报 2 4 2 0 2 5 下架 1 1 0 0 0 1 健康运动 教育学习 金融服务 快递速运 旅游出行 上网输入 通知 13 53 42 6 30 7 通报 4 17 14 2 7 0 下架 1 0 0 0 0 0 摄影图像 生活日常 实用工具 通讯社交 图书阅读 网上购物 通知 21 24 36 17 18 29 通报 4 5 10 4 4 5 下架 0 0 0 0 0 0 19 新闻资讯 音乐音频 影音播放 应用商店 游戏娱乐 招聘婚恋 通知 37 16 23 2 29 16 通报 16 3 8 0 11 7 下架 1 1 1 0 3 1 直播短视频 安全管理 交通票务 通知 29 6 4 通报 8 1 0 下架 0 0 0 来源:中国信息通信研究院 按照 164 号文部署,工业和信息化部切实加强用户个人信息保护,为人民群众提供更安全、更健康、更干净的信息环境,开展纵深推进APP 侵害用户权益专项整治行动。截至目前,整治行动共开展 16 批次,针对 4867 款 APP 下发整改通知,公开通报 1904 款应用,占通知应用的比重为 39.12%,下架 529 款应用,占通知应用的比重为10.87%。相比于针对 337 号文开展的专项行动,针对 164 号文的检测数量显著增加,同时处罚力度也明显加大。 来源:中国信息通信研究院 图 9 164 号文各批次通知、通报、下架应用问题数量 20 来源:中国信息通信研究院 图 10 164 号文各阶段应用问题数量 在通知应用整改阶段,问题数量排前 3 位的包括违规收集个人信息, APP 强制、频繁、过度索取权限,违规使用个人信息,分别占比36%、 24%和 14%。 在通报阶段,违规收集个人信息问题占比 46%。 来源:中国信息通信研究院 图 11 164 号文通知应用问题项 21 来源:中国信息通信研究院 图 12 164 号文通报应用问题项 来源:中国信息通信研究院 图 13 164 号文下架应用问题项 从违规应用的类型分布来看,实用工具类应用占比最高,达 680款,占全部违规应用的 13.97%。网络游戏类、在线影音类和学习教育类数量分别达 521 款、359 款、326 款,分列违规应用类型数量的22 第二、三、四位,占全部违规应用的比重分别为 10.70%、 7.38%和 6.70%。在下架应用中,实用工具类应用占比最高,达 63 款,占全部下架应用的 11.91%。(详见表 2) 表 2 164 号文各阶段应用类型 安全管理 本地生活 餐饮外卖 地图导航 电子图书 短视频 通知 47 241 169 93 216 72 通报 14 130 130 74 45 25 下架 4 48 30 17 10 9 二手车交易 房屋租售 婚恋相亲 即时通信 交通票务 酒店服务 通知 13 49 53 84 86 29 通报 9 9 31 27 25 4 下架 0 2 9 11 6 1 浏览器 旅游服务 女性健康 拍摄美化 求职招聘 实用工具 通知 46 64 39 118 137 680 通报 9 18 13 38 120 225 下架 0 4 2 14 32 64 手机银行 输入法 投资理财 网络借贷 网络社区 网络游戏 通知 19 39 79 50 185 521 通报 0 14 24 29 64 157 下架 2 2 5 9 25 47 网络约车 网络支付 网络直播 网上购物 问诊挂号 新闻资讯 通知 65 14 98 273 130 132 通报 21 9 30 82 29 38 下架 5 1 9 25 6 12 学习教育 演出票务 应用商店 用车服务 邮件快件寄递 邮箱云盘 通知 326 8 47 84 19 24 通报 82 3 31 40 12 6 下架 16 3 7 8 1 0 远程会议 运动健身 在线影音 通知 11 148 359 通报 7 74 206 下架 3 19 61 来源:中国信息通信研究院 23 三、纵深推进APP个人信息保护治理工作 纵深推进 APP 个人信息保护治理工作是贯彻落实党中央国务院决策部署,践行以人民为中心发展思想的具体行动,是一项具有广泛社会影响力和重大社会效益的益民举措。虽然前期 APP 专项整治工作取得了阶段性明显成效,但移动互联网行业发展变化快,新情况新问题不断出现,需要持续深入推进。尤其是随着 2021 年 9 月 1 日 数据安全法和 11 月 1 日个人信息保护法先后正式生效施行,也对 APP 个人信息保护治理工作提出了新的要求。站在建党百年和 “十四五 ”开局之年的历史交汇点,应坚持以人民为中心的发展原则,落实相关法律法规要求,补齐制度短板,完善治理机制,推动形成政府、企业、相关社会组织、公众共同参与 APP 个人信息保护的良好环境,为经济社会高质量发展提供有力支撑。 (一)补齐短板,持续完善监管制度依据 随着数据安全法个人信息保护法出台施行,我国个人信息保护法律体系基本形成。但相比其他行业和领域,移动互联网领域有创新能力强、迭代周期短、形态变化多样等特征,小程序、快应用、H5 页面等新应用形态不断出现,SDK 、加固壳等新对象不断增加,麦克风窃听、通信录窃取、相册非授权读写等新问题不断曝出,行业持续快速发展带来了监管问题和监管对象的动态性变化,而立法调整本身具有滞后性,这种动态变化使得 APP 个人信息保护治理工作中的监管依据及时性问题进一步凸显,增加了专项治理的难度。与此同时,无论是网络安全法数据安全法还是个人信息保护法,24 作为国家层面的法律,规定相对比较原则,对以 APP 为主要形式的移动互联网创新应用监管针对性不足。 个人信息保护法规定,履行个人信息保护职责的部门组织对应用程序等个人信息保护情况进行测评,并公布测评结果。数据安全法规定,国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。可以预见的是,在个人信息保护法数据安全法实施以后,推动相关制度要求的细化落地将是未来一项重要工作。为落实上位法的制度要求,对于此前出台施行的电信和互联网用户个人信息保护规定儿童个人信息网络保护规定等部门规章以及相关管理规定,需要做相应的修改和调整,尤其是将个人信息保护法的制度要求转化为本行业本领域具体规则。 与此同时,顺应移动互联
展开阅读全文