6月17日,全国信息安全标准化技术委员会发布国家标准《信息安全技术 应用商店的移动互联网应用程序(App)个人信息处理规范性审核与管理指南》并公开征求意见。
指南拟要求,应用商店运营者在应用商店的App下载页面提供有效的隐私政策链接,并支持用户下载、复制。三年内被公开通报、下架的App,应用商店或对其作特殊标识,包含次数、问题类型等。
App展示页的隐私政策链接需有效、可供下载
应用商店在App个人信息保护中起到重要作用,有助于推动App的源头治理。南都记者注意到,国家互联网信息办公室、工业和信息化部均对应用商店审核、管理App的责任做出过明确表态。
3月17日,国家网信办副主任盛荣华在国务院新闻办公室举办的新闻发布会上表示,今年将开展专项行动,以应用程序内容审核和分发平台上架审核为切入点,推动形成“平台管程序、程序管账号”的管理链条。
工信部信息通信管理局局长赵志国则在今年1月的一场国新办新闻发布会上提到,今年App治理的重点工作就包括对应用商店、终端企业等实现监管全覆盖。此前,工信部曾在相关通报中点名应用宝、豌豆荚、小米等应用商店,称它们存在管理主体责任缺位,对上架App审核把关不严等问题。
然而,指南指出,目前应用商店对App个人信息处理活动的审核管理面临缺乏标准依据、缺乏实操指南的问题。
为此,指南拟针对应用商店运营者对App审核管理的总体流程框架、App进入应用商店前的个人信息处理活动审核和App进入应用商店后的个人信息安全管理等提出要求。
去年12月,南都发布的《个人信息安全年度报告(2021)》对十大应用商店进行了测评。测评发现,应用商店普遍在展示App的隐私政策链接方面存在问题,比如未提供链接、链接无法打开、隐私政策版本与App内不一致等。
对此,指南拟提出,应用商店运营者宜在应用商店的App下载页面清晰、全面地展示和介绍App基本信息(App名称、App版本号、涉及的服务类型)、App运营者公开信息(App运营者主体名称、App运营者联系方式),以及隐私政策链接和生效日期并支持用户下载、复制。
对于经审核发现提交信息不完整、不准确,且未及时反馈的,或经验证发现存在个人信息处理活动问题的,应用商店宜拒绝App上架请求。对于已经进入应用商店的App,应用商店运营者在审核验证中发现存在问题的,需对其进行通知整改和处理,符合拒绝进入情形的,将其从应用商店中下架。
3年内被公开通报、下架的App将被特殊标识
2021年,共有1196款App因个人信息保护相关问题被中央网信办、工信部、公安部共通报,其中侵害用户权益、违法违规收集使用个人信息、存在隐私不合规行为的问题最为突出。
结合上述通报,指南拟要求应用商店运营者通过设置不同颜色、形状图标等方式对App进行显著标识,帮助用户快速了解App个人信息处理活动情况。
其中负面信息标识包括对近期(如1个月)被外界公开通报存在个人信息处理问题的App进行特殊标识;对近期(如1年内)曾因违法违规个人信息处理活动并不积极整改而导致下架的App进行特殊标识。
据悉,上述标识信息可包含次数、问题类型等要素,涉及的具体问题还可以点击链接等方式予以展示。应用商店可将同一App运营者提供的不同App的负面信息汇总,形成标识在App运营者的信息查询界面予以展示。不过,负面信息数据只限3年内。
指南还拟要求应用商店设立便捷的渠道,接收用户关于App个人信息处理问题的投诉举报,并对用户投诉举报的本平台App违法违规个人信息处理活动的问题,在5个工作日内向用户进行响应。经核验用户反映问题属实的,督促App运营者在15个工作日内进行整改,拒不整改或者未在规定时间内按照要求整改的,予以下架处置。
据了解,指南适用于指导应用商店运营者审核管理App个人信息处理活动,也适用于第三方机构对应用商店运营者审核管理App个人信息处理活动的能力进行审查和评估。
附全文:《信息安全技术 应用商店的移动互联网应用程序(App)个人信息处理规范性审核与管理指南》
采写:南都记者蒋琳