2021年4月26日，在國家互聯網信息辦公室的統籌指導下，工業(yè)和信息化部會同公安部、市場監(jiān)管總局發(fā)布《移動互聯網應用程序個人信息保護管理暫行規(guī)定（征求意見稿）》（以下簡稱《規(guī)定》），對移動互聯網應用程序（以下簡稱 App）個人信息處理活動作出專門規(guī)定。

《規(guī)定》全文共二十條，以“依法治理、源頭治理、系統治理、綜合治理”為方法論，以“知情同意”和“最小必要”兩項保護原則為綱領，以App開發(fā)運營者、App分發(fā)平臺、App第三方服務提供者、移動智能終端生產企業(yè)以及網絡接入服務提供者等五類監(jiān)管對象為重點，以標準制定、自律評估、投訴舉報以及處置措施作為監(jiān)管抓手，縱深推進App個人信息保護治理工作，向違法違規(guī)處理App用戶個人信息的行為精準亮劍。

一、 《規(guī)定》以四個治理理念為方法論

《規(guī)定》以“依法治理、源頭治理、系統治理、綜合治理”作為總體框架，為深入開展App個人信息保護治理工作提供了強有力的制度基礎。

一是堅持依法治理，充分銜接現有法律依據。《規(guī)定》中的制度設計以《網絡安全法》等上位法為依據，為App個人信息處理活動劃出了底線和紅線，明確了App個人信息保護的具體要求。

二是堅持源頭治理，聚焦最突出的問題?！兑?guī)定》對App違規(guī)收集個人信息、超范圍收集個人信息、違規(guī)使用個人信息、強制用戶使用定向推送功能、強制頻繁過度索取權限等人民群眾關注的重點問題，作出了有針對性制度規(guī)定。

三是堅持系統治理，做好整體統籌協調?！兑?guī)定》明確了“專項整治和長效治理相結合”的監(jiān)管模式，從“局部監(jiān)管、突出問題”轉為“全流程、全鏈條、全主體”監(jiān)管，將有效提升行業(yè)領域個人信息保護監(jiān)管水平。

四是堅持綜合治理，完善多元主體參與機制?！兑?guī)定》秉持“多元共治”的思維，明確了政府機構、行業(yè)組織、企業(yè)、用戶等多元主體在App個人信息保護工作中相應的法律義務和社會責任。

二、 《規(guī)定》以兩項保護原則為綱領

《規(guī)定》以“知情同意”和“最小必要”兩項個人信息保護基本原則為綱領，并在具體應用場景中細化了認定標準，能夠有效解決實踐中用戶個人信息收集使用規(guī)則、目的、方式和范圍不明確的問題。

一是《規(guī)定》第七條明確了“知情同意”原則的具體管理要求，規(guī)定從事App個人信息處理活動的，應當以清晰易懂的語言告知用戶個人信息處理規(guī)則，由用戶在充分知情的前提下，作出自愿、明確的意思表示，并明確了“六項應當”要求。

二是《規(guī)定》第八條明確了“最小必要”原則的具體規(guī)定，規(guī)定從事App個人信息處理活動的，應當具有明確、合理的目的，并遵循最小必要原則，不得從事超出用戶同意范圍或者與服務場景無關的個人信息處理活動，并提出了“六項不得”要求。

三、 《規(guī)定》以五類監(jiān)管對象為重點

目前，各類App在開發(fā)、運營、預置、分發(fā)等不同環(huán)節(jié)中涉及的主體較多，個人信息保護責任難以界定。同時，不同環(huán)節(jié)中相應主體從事的服務類型不同，在App個人信息保護方面既有共通性要求也有差異性要求。為此，《規(guī)定》以App開發(fā)運營者、App分發(fā)平臺、App第三方服務提供者、移動智能終端生產企業(yè)以及網絡接入服務提供者等主體作為重點監(jiān)管對象，采取“共性+個性”的規(guī)范思路。

《規(guī)定》既明確了各類主體應當共同遵循的個人信息保護總體性要求，也分別規(guī)定了各類主體在App個人信息保護方面應當承擔的個性化義務，以實現App治理全鏈條、全主體、全流程規(guī)范。

四、 《規(guī)定》以四大監(jiān)管舉措為抓手

《規(guī)定》以標準制定、自律評估、投訴舉報以及處置措施作為監(jiān)管抓手。

一是完善政策標準制定?！兑?guī)定》明確，監(jiān)督管理部門推進政策標準規(guī)范等相關工作，加強信息共享及對App個人信息保護工作的指導。此前，針對App治理中發(fā)現的問題，在工業(yè)和信息化部的指導下，電信終端產業(yè)協會聯合終端廠商、互聯網企業(yè)、安全企業(yè)等行業(yè)力量，制定發(fā)布了《App用戶權益保護測評規(guī)范》《App收集使用個人信息最小必要評估規(guī)范》兩個系列標準。下一步，還需要繼續(xù)完善App治理標準體系，推動將已發(fā)布的團體標準上升為行業(yè)標準，進一步細化App收集使用個人信息規(guī)范要求，推動制定終端、SDK、分發(fā)平臺等有關權限管控、集成接口、上架明示等配套標準，與App個人信息保護標準做好銜接，為企業(yè)合規(guī)經營提供明確的指引。

二是開展評估認證。《規(guī)定》明確，相關行業(yè)組織和專業(yè)機構按照有關法律法規(guī)、標準及本規(guī)定，開展App個人信息保護能力評估、認證。下一步相關行業(yè)組織和專業(yè)機構需要積極運用人工智能、大數據等新技術新手段，組織優(yōu)勢力量，有力保障、持續(xù)優(yōu)化、高效推進評估認證工作，開展違法行為監(jiān)測和檢測活動，實現線上線下、聯防聯控管理體系。

三是推動投訴舉報?！兑?guī)定》指出，任何組織和個人發(fā)現違反本規(guī)定行為的，可以向監(jiān)督管理部門或者中國互聯網協會、中國網絡空間安全協會投訴舉報。此舉有助于暢通社會監(jiān)督表達渠道，下一步應用好互聯網信息服務投訴平臺以及中國互聯網協會網絡不良與垃圾信息舉報受理中心兩大投訴渠道，加大對于兩大投訴渠道的宣傳力度，推動舉報投訴工作標準化、規(guī)范化，及時處理相關舉報案件。

四是明確處置措施?！兑?guī)定》明確了違法行為的處置措施，依次按照責令整改、社會公告、下架處置、斷開接入等流程進行處置，并明確具體時間期限。其次，《規(guī)定》也對整改反復出現問題的App規(guī)定了處置要求，包括監(jiān)督管理部門可以指導組織App分發(fā)平臺和移動智能終端生產企業(yè)在集成、分發(fā)、預置和安裝等環(huán)節(jié)進行風險提示，情節(jié)嚴重的采取禁入措施。最后，《規(guī)定》設置了銜接性的法律責任條款，規(guī)定從事App個人信息處理活動侵害個人信息權益的，將依照有關規(guī)定予以處罰；構成犯罪的，公安機關依法追究刑事責任。

下一步需要加大對于違法行為的處置力度，集中力量對廣大人民群眾深惡痛疾、反映強烈的違規(guī)行為進行嚴厲打擊，用好用足現有處罰措施。同時，及時公布典型處罰案例，加大對與違法行為懲戒曝光力度，充分發(fā)揮反面案例的警示和教育作用。（文/余曉暉 作者系中國信息通信研究院院長）