APP应用隐私合规性实施方案.docx

PAGE 2 APP应用隐私合规性实施方案  目 录 TOC \o 1-3 \h \z \u 一、背景 3 二、法律法规和其他规范要求 3 《消费者权益保护法》 4 《中华人民共和国网络安全法》 4 《GB/T-2020-35273 信息安全技术-个人信息安全规范》 7 《App违法违规收集使用个人信息行为认定方法》 7 三、APP隐私合规怎么做 7 1）、隐私政策文本 7 2）、App 收集使用个人信息行为 11 3）、App 运营者对用户权利的保障 14 四、总结 15 附录 16 个人信息举例 16 个人敏感信息举例 18  一、背景 目前，大量的移动app在使用过程中，涉及个人隐私信息和敏感信息。在个人信息处理、共享、转让、公开披露过程中，管理流程和技术手段不规范造成个人信息泄露的安全事件层出不穷。 中央网信办、工信部、公安部、市场监管总局指导成立App违法违规收集使用个人信息专项治理工作组（App专项治理工作组），组织开展的App收集使用个人信息评估工作，收到举报信息超过3480条，其中实名举报1040余条，涉及1300余款App。被举报App主要集中在金融借贷、社区社交、网上购物、短视频与直播、即时通讯等领域。 26%的App没有隐私条款或未在隐私条款中明确收集个人信息的目的、方式、范围； 31%的App在申请打开收集个人信息相关权限时，未明确告知用户； 20%的App收集与业务功能无关的个人信息，如金融借贷App收集用户通信录； 19%的App未经用户同意，向他人提供设备ID、应用程序列表等个人信息； 13%的App强制索要与业务功能无关的权限，如计算器、手电筒App强制要求打开地理位置权限。 从以上数据可以看出，个人信息保护还需要技术加强。 好消息的是，APP专项治理工作组发布了《App违法违规收集使用个人信息行为认定方法》，细化了判定app违法违规使用个人信息的方法。后面将以此作为判定，法律法规约束处罚。 二、法律法规和其他规范要求 《消费者权益保护法》 第二十九条 经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。经营者收集、使用消费者个人信息，应当公开其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息。 经营者及其工作人员对收集的消费者个人信息必须严格保密，不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施，确保信息安全，防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时，应当立即采取补救措施。 经营者未经消费者同意或者请求，或者消费者明确表示拒绝的，不得向其发送商业性信息。 处罚条款 第五十六条第九款 侵害消费者人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的，除承担相应的民事责任外，其他有关法律、法规对处罚机关和处罚方式有规定的，依照法律、法规的规定执行；法律、法规未作规定的，由工商行政管理部门或者其他有关行政部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款，没有违法所得的，处以五十万元以下的罚款；情节严重的，责令停业整顿、吊销营业执照： 《中华人民共和国网络安全法》 第二十二条第三款 网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。 第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。 第四十一条 网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。 网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。 第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。 网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。 第四十三条 个人发现网络运营者违反法律、行政法规的规定或者双方的