为了给中国数字经济提供一个更安全的环境,国家互联网信息办公室(国家网信办)决定建立新的规定,专门用来强化个人信息保护。App如果要给第三方提供用户信息,必须经过用户单独同意才行。为了适应这个快速发展的数字经济,国家互联网信息办公室依据了《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》以及《网络数据安全管理条例》等一系列法律法规,研究起草了《互联网应用程序个人信息收集使用规定(征求意见稿)》,这个《规定》把用户信息收集、使用、存储、传输、提供、公开、删除等过程都纳入了监管框架。《规定》的目标是要解决App在提供服务时可能出现的一些问题,比如用户信息的边界不清楚、规则不明了,还有用户权益容易受到侵害等情况。这个《规定》就是想细化上位法原则,确立更有操作性的合规标准,平衡好个人信息保护和数据合理利用的关系。 在这个《规定》中,“单独同意”被放在了很重要的位置。给第三方提供用户信息之前,必须经过用户的单独同意。过去有些App会把“向第三方共享信息”和一般服务条款混为一谈,利用模糊授权来获取用户同意。现在这种情况就被禁止了。在给用户提供授权时,App需要把目的、方式、种类还有第三方的身份这些关键信息告诉用户。只有用户主动明确地给了肯定性的授权之后,App才能把用户信息分享给第三方。这样一来,用户就能够更好地控制自己的信息流转路径了。 为了更好地保障用户的权益,《规定》还把责任压实给了运营者和相关服务提供者。不管是互联网应用程序运营者还是SDK运营者,都要对自己处理的个人信息活动负责。App运营者对嵌入的SDK也要负责审核,应用分发平台对分发的App也要审核,智能终端厂商对预置的App也要审核。如果审核不力导致用户权益受损的话,就会依法追究相应责任。这就建立起了一个“谁运营谁负责、谁接入谁审核”的责任体系。 这次的《规定》还特别强调了透明公开和用户知情权选择权的重要性。运营者需要以清晰易懂的语言真实准确完整地列出一系列事项给用户看,包括自身身份联系方式、各项功能收集使用个人信息的目的方式种类等等。这个要求是为了改变过去隐私政策冗长晦涩难以理解的情况。 除了行政监管和法律约束外,《规定》还鼓励相关行业组织建立完善行业自律机制来推动社会共治。这样可以形成政府监管、企业自治、行业自律和社会监督的协同治理格局。 这次征求意见本身也是凝聚社会共识和提升立法科学性的关键环节。可以预见的是,《互联网应用程序个人信息收集使用规定(征求意见稿)》会对规范企业数据行为产生深远积极影响。