(工信部信管函〔2023〕26号)
各省、自治区、直辖市通信管理局,中国信息通信研究院、中国互联网协会,各相关企业:
近年来,工业和信息化部大力推动提升移动互联网应用服务质量,切实维护用户合法权益,取得积极社会成效,但部分企业服务行为不规范、相关环节责任落实不到位等问题仍时有发生。为优化服务供给,改善用户体验,维护良好的信息消费环境,促进行业高质量发展,依据《个人信息保护法》《电信条例》《规范互联网信息服务市场秩序若干规定》《电信和互联网用户个人信息保护规定》等相关法律法规规章,现就有关事项通知如下:
一、提升全流程服务感知,保护用户合法权益
(一)规范安装卸载行为
1.确保知情同意安装。向用户推荐下载APP应遵循公开、透明原则,真实、准确、完整地明示开发运营者、产品功能、隐私政策、权限列表等必要信息,并同步提供明显的取消选项,经用户确认同意后方可下载安装,切实保障用户知情权、选择权。不得通过“偷梁换柱”“强制捆绑”“静默下载”等方式欺骗误导用户下载安装。
2.规范网页推荐下载行为。在用户浏览页面内容时,未经用户同意或主动选择,不得自动或强制下载APP,或以折叠显示、主动弹窗、频繁提示等方式强迫用户下载、打开APP,影响用户正常浏览信息。无正当理由,不得将下载APP与阅读网页内容相绑定。
3.实现便捷卸载。除基本功能软件外,APP应当可便捷卸载,不得以空白名称、透明图标、后台隐藏等方式恶意阻挠用户卸载。
(二)优化服务体验
4.窗口关闭用户可选。开屏和弹窗信息窗口提供清晰有效的关闭按钮,保证用户可以便捷关闭;不得频繁弹窗干扰用户正常使用,或利用“全屏热力图”、高灵敏度“摇一摇”等易造成误触发的方式诱导用户操作。
5.服务事项提前告知。清晰明示产品功能权益及资费等内容,存在开通会员、收费等附加条件的,应当显著提示。未经明示,不得在提供产品服务过程中擅自添加限制性条件,并以此为由终止用户正常使用的产品功能和服务,或降低服务体验。
6.启动运行场景合理。在非服务所必需或无合理场景下,不得自启动和关联启动其它APP,或进行唤醒、调用、更新等行为。
7.服务续期及时提醒。采取自动续订、自动续费方式提供服务的,应当征得用户同意,不得默认勾选、强制捆绑开通。在自动续订、自动续费前5日以短信、消息推送等显著方式提醒用户,服务期间提供便捷的随时退订方式和自动续订、自动续费取消途径。
(三)加强个人信息保护
8.坚持合法正当必要原则。从事个人信息处理活动,应具有明确合理的目的,不得仅以服务体验、产品研发、算法推荐、风险控制等为由,强制要求用户同意超范围或者与服务场景无关的个人信息处理行为。用户拒绝提供非当前服务所必需的个人信息时,不得影响用户使用该服务的基本功能。
9.明示个人信息处理规则。通过简洁、清晰、易懂的方式告知用户个人信息处理规则,如发生变动,应及时告知用户最新情况。突出显示敏感个人信息的处理目的、方式和范围,建立已收集个人信息清单,不得采用默认勾选、缩小文字、冗长文本等方式诱导用户同意个人信息处理规则。
10.合理申请使用权限。在对应业务功能启动时,动态申请所需权限,不得要求用户一揽子同意多个非本业务功能的必要权限。在调用终端相册、通讯录、位置等权限时,同步告知用户申请该权限的目的。未经用户同意,不得更改用户未授权权限状态。
(四)响应用户诉求
11.设立客服热线。鼓励互联网企业建立客服热线,主要互联网企业在网站、APP显著位置公示客服热线电话号码,简化人工服务转接程序。鼓励提高客服热线响应能力,月均响应时限最长为30秒,人工服务应答率超过85%。
12.妥善处理用户投诉。公布有效联系方式,接受用户投诉。按照规范要求答复互联网信息服务投诉平台上的投诉,确保15日内处理完成,提高投诉处理满意率。鼓励在APP中设置用户满意度测评链接,引导用户参与测评。
二、提升全链条管理能力,营造健康服务生态
(一)落实APP开发运营者主体责任
1.完善内部管理机制。明确用户服务和权益保护的牵头管理部门和负责人,建立全生命周期个人信息保护机制,健全考核问责制度,将相关法规政策要求落实到产品研发、推广和运营各环节,不断提高合规水平。定期对个人信息保护措施及执行情况等进行合规审计,有效防范风险隐患。
2.增强技术保障能力。采取访问控制、技术加密、去标识化等安全技术措施,加强前端和后端安全防护。主动监测发现个人信息泄露、窃取、篡改、毁损、丢失、非法使用等风险威胁,及时响应处置要求。
3.加强软件开发工具(SDK)使用管理。使用SDK前对其进行个人信息保护能力评估,通过合同等形式明确约定各方权利和义务,确保个人信息处理依法合规。集中展示并及时更新嵌入的SDK名称、功能及其处理个人信息的规则。共同处理用户个人信息,侵害用户权益造成损害的,依法承担相应责任。
(二)强化平台分发管理
4.严格APP上架审核。准确登记并核验APP开发运营者的真实身份和联系方式、APP的主要功能及用途等基本信息,并对拟上架APP进行技术检测。相关审核应明确负责人,并留存审核日志记录,不符合要求的不予上架。全量公示在架APP,并在显著位置标明APP名称及功能、开发运营者、版本号、所需获取的用户终端权限列表及用途、个人信息处理规则等信息。尚未建立分发明示界面的,应将APP下载链接到应用商店,引导用户从正规渠道下载所分发的APP。
5.强化在架APP巡查。加强对APP的动态巡查,确保公示信息真实准确。对与公示信息不一致,或采用“热更新、热切换”等方式擅自更改APP主要功能、申请的权限、个人信息收集使用的场景和范围等违规APP,应当停止提供服务。
6.完善分发管理机制。建立APP开发运营者信用评价、风险提示等机制,鼓励对分发APP进行电子签名认证,实现上架应用、分发行为全流程可溯源。加强与面向移动互联网应用程序的检测及认证公共服务平台联动,做好信息上报、监测溯源、信息共享、响应处置工作。
(三)规范SDK应用服务
7.建立信息公示机制。公开明示SDK名称、开发者、版本号、主要功能、使用说明等基本信息,以及个人信息处理规则。SDK独立采集、传输、存储个人信息的,应当单独作出说明。鼓励发挥SDK管理服务平台作用,引导APP开发运营者使用合规的SDK。
8.优化功能配置。遵循最小必要原则,根据不同应用场景或用途,明确SDK功能和对应的个人信息收集范围,并向APP开发运营者提供功能模块及个人信息收集的配置选项,不得一揽子过度收集个人信息。
9.加强服务协同。在产品使用全生命周期过程中,通过明确易懂的方式主动向APP开发运营者提供合规使用指南,引导APP开发运营者正确合理使用,共同提高合规水平。当个人信息处理规则变更或发现风险时,及时更新并告知APP开发运营者。
(四)筑牢终端安全防线
10.强化APP运行管理。为用户提供APP自启动和关联启动的关闭功能,以及便捷的相关设备识别码重置选项,加强对APP静默下载、热更新的监测,防范未经用户同意私自启动、下载、安装等行为。
11.加强APP行为记录提醒。增强对权限调用行为的记录能力,为用户查询权限调用情况提供便利。建立通讯录、麦克风、相机、位置、剪切板等权限在用状态的明显提示机制,保障用户及时准确了解个人信息收集状态。
12.提高APP风险预警能力。推动开展APP电子签名认证,并向用户进行预警提示,提高对仿冒、不良、违规等风险APP的识别能力。
(五)夯实接入企业责任
13.准确登记信息。在为APP、SDK提供网络接入服务时,登记并核验APP、SDK开发运营者的真实身份、联系方式等信息,提高溯源能力。
14.确保有效处置。按照电信监管部门要求,依法对违规APP、SDK采取停止接入等必要措施,有效阻止其侵害用户权益的违规行为。
三、工作要求
(一)抓好组织落实。各单位要坚持以人民为中心的发展思想,提高政治站位,强化责任担当,细化分解任务,认真抓好本通知的贯彻实施,确保取得实效。相关企业要落实主体责任,对照本通知要求开展自查自纠,切实维护用户合法权益。同时,健全长效机制,创新模式方法,不断提升移动互联网应用服务水平,不断增强用户的获得感、幸福感、安全感。
(二)加强指导监督。工业和信息化部健全完善测评、通报、排名、公示机制,推动工作扎实有序开展,及时总结、推广优秀案例和经验做法。各地通信管理局要加强监督检查,指导督促属地企业落实本通知各项要求。对落实不到位或出现违规行为的,依法采取责令限期整改、向社会公告、组织下架等措施,严肃问责查处。
(三)强化技术运用。中国信息通信研究院要组织产业力量,综合运用人工智能、大数据等新技术新手段,升级打造面向移动互联网应用程序的全国检测及认证公共服务平台,持续完善平台功能,做好技术检测、监测服务和监管支撑工作。积极推广应用电子签名认证等可溯源技术手段,促进提高服务管理能力。
(四)推动行业自律。鼓励行业协会及相关机构制定行业自律公约、技术标准、服务规范,加强评估认证和人才培养。进一步畅通渠道倾听群众意见,促进各方交流互动,引导企业依法合规经营,不断优化改进服务,营造争先创优、互促共进的良好环境,以高质量服务促进高质量发展。
工业和信息化部
2023年2月6日
《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》的解读
“一图读懂”
近日,工业和信息化部印发《关于进一步提升移动互联网应用服务能力的通知》(以下简称《通知》),现就相关内容解读如下:
一、《通知》出台的背景及目的是什么?
近年来,我国移动互联网蓬勃发展,各类应用服务日益丰富。目前,在架APP数量达258万款,小程序、快应用等创新形态不断出现,在推动经济社会发展、服务群众生活方面发挥了重要作用。前期,我部持续推进APP侵害用户权益整治行动,针对用户反映突出问题,强化治理,取得积极成效,受到社会广泛认可。
此次《通知》的出台,一是贯彻落实党的二十大精神的务实之举。党的二十大报告提出要“提高人民生活品质”“加强个人信息保护”,移动互联网应用服务水平是当前人民群众最关心最直接最现实的利益问题之一。《通知》坚持人民至上,以务实举措推动服务能力提升,以实际行动践行发展为人民、发展依靠人民、发展成果由人民共享的重要理念。
二是落实落细法律法规要求的应有之义。为确保《网络安全法》《数据安全法》《个人信息保护法》等上位法要求在信息通信行业领域落实落细,我部连续三年发布关于移动互联网相关治理政策文件,在促进产业健康发展和强化监管方面发挥了重要作用。《通知》在现有制度基础上进一步完善可操作性实施细则,不断增强法规的适用性、针对性和可操作性。
三是彰显整治侵害用户权益问题的坚定决心。自开展APP侵害用户权益整治行动以来,我部已公开发布27批次通报,对违法违规行为保持高压震慑。《通知》坚持问题导向,聚焦行业发展出现的新问题,人民群众愁盼解决的急问题,提出了体系化治理新思路,着力构建“全流程、全链条”综合治理体系,推动行业治理走深走实。
四是促进我国数字经济发展行稳致远的迫切需要。我部前期就APP弹窗广告“关不掉、乱跳转”、欺骗误导用户点击、下载等突出问题进行了集中整治,维护了良好的数字经济发展环境。《通知》持续深化对数字经济发展规律认识,坚持在发展中规范、在规范中发展,加强对行业的服务引导,推动企业不断完善内部管理、提升依法合规经营意识和能力,共同营造良好的信息消费环境。
我们在充分调研和广泛征求意见的基础上,制定出台了《通知》。
二、 《通知》的重点考虑是什么?主要措施有哪些?
《通知》从供给、需求双向发力,在供给侧,推动提升行业上下游服务能力;在需求侧,着力解决影响用户服务感知的问题。《通知》紧扣“两全”治理思路,即“全流程、全链条”,一方面,围绕应用服务安装、使用、卸载的全流程,系统梳理影响用户感知的环节,提出优化改善的措施;另一方面,围绕移动互联网行业上下游全链条各主体,提出强化管理要求,着力提升体系化服务能力。
《通知》围绕提升用户服务感知、提升行业管理能力,即“两提升”,共提出26条措施:一是聚焦APP安装卸载、服务体验、个人信息保护、诉求响应等,针对性提出改善用户服务感知的12条措施。二是从行业协同规范发展、上下游联防共治的角度出发,抓住当前移动互联网服务的5类关键主体,即APP开发运营者、分发平台、SDK(软件开发工具包)、终端和接入企业,提出14条措施。
三、《通知》在提升用户服务感知方面,提出了哪些具体要求?
《通知》从规范安装卸载、优化服务体验、加强个人信息保护、响应用户诉求等关键点方面提出要求,保障用户知情权、选择权,维护群众合法权益。
关于规范安装卸载。提出3方面要求:一是确保知情同意安装。真实、准确、完整地向用户明示相关必要信息,并经用户确认同意后方可下载安装。二是规范网页推荐下载行为。在前期整治的基础上,进一步明确要求,保障用户正常浏览页面信息。三是实现便捷卸载。除《工业和信息化部 国家互联网信息办公室关于进一步规范移动智能终端应用软件预置行为的通告》中明确的基本功能软件外,APP应当可便捷卸载。
关于优化服务体验。围绕用户广泛关注、反映较为突出的问题,提出4方面要求:一是窗口关闭用户可选。对于开屏和弹窗信息窗口难以关闭、“摇一摇”乱跳转等问题予以规范。二是服务事项提前告知。要求清晰明示产品功能权益及资费等内容,特别是存在开通会员、收费等附加条件的应显著提示。三是启动运行场景合理。明确在非服务所必需或无合理场景下,不得进行自启动、关联启动、或者唤醒、调用、更新等行为。四是服务续期及时提醒。在自动续订、自动续费前5日以短信、消息推送等显著方式提醒用户,并提供便捷的退订和取消途径。
关于加强个人信息保护。《通知》聚焦超范围收集使用个人信息、规则告知不充分、过度索取权限等群众反映突出的问题,进一步细化相关要求,提出3方面措施:一是坚持合法正当必要原则。不得强制要求用户同意超范围或者与服务场景无关的个人信息处理行为。二是明示个人信息处理规则。通过简洁、清晰、易懂的方式告知用户个人信息处理规则,发生变动应及时告知。突出显示敏感个人信息的处理目的、方式和范围,建立已收集个人信息清单。三是合理申请使用权限。在业务功能启动时,动态申请所需权限,特别是在调用终端相册、通讯录、位置等权限时,应同步告知用户申请该权限的目的。以上这些要求是对《个人信息保护法》《电信和互联网用户个人信息保护规定》的落实和细化,有利于指导行业更好地保护用户的个人信息安全。
关于响应用户诉求。从设立客服热线、妥善处理用户投诉两个方面提出要求,明确热线响应能力和投诉处理时限等,推动企业畅通问题反馈渠道,根据用户诉求改进服务。
四、《通知》在提升行业管理能力方面,聚焦哪些主体?提出了哪些工作要求?
移动互联网应用服务涉及APP开发运营、分发、运行等多个链条,需要行业上下游各企业主体加强协同、共同努力营造健康的服务生态。《通知》根据服务形态、业务场景、功能特点,重点针对5类主体提出了具体规范要求:APP开发运营者直接面向用户提供服务,要落实主体责任;分发平台为用户提供APP搜索、下载安装渠道,要强化分发管理;SDK内嵌在APP中,广泛应用于定位、支付、信息推送等功能场景,要规范应用服务;智能终端为用户提供APP运行的硬件载体,要筑牢安全防线;接入企业提供网络连接服务,要夯实信息登记和处置责任。通过各链条联防共治,共同提高行业整体服务水平。
五、APP开发运营者要落实哪些主体责任?
推动APP开发运营者练好“内功”,提高用户权益保护的意识和能力,是强化源头治理的根本。《通知》从3个方面推动APP开发运营者落实主体责任:一是完善内部管理机制。明确用户服务和权益保护的牵头管理部门和负责人,建立全生命周期个人信息保护机制,健全考核问责制度,将相关法规政策要求落实到产品研发、推广和运营各环节,不断提高合规水平。二是增强技术保障能力。采取访问控制、技术加密、去标识化等安全技术措施,加强前端和后端安全防护,做好监测和风险处置。三是加强SDK使用管理。按照“谁使用,谁负责”的原则,加强对所使用SDK的管理。
六、《通知》如何强化分发平台的“守门人”责任?
分发平台作为连接APP开发运营者和用户之间的桥梁,要落实好“守门人”责任,为用户提供合规的产品。《通知》着重从事前、事中、事后3个方面指导分发平台“守好门、把好关”:事前要严格APP上架审核。准确登记并核验基本信息,对拟上架APP进行技术检测,在架APP要全量公示,提高透明度。事中要强化在架APP巡查。防止采取“热更新、热切换”等方式擅自更改APP主要功能、申请权限及个人信息收集使用场景和范围等违规行为。事后要完善分发管理机制。建立APP开发运营者信用评价、风险提示等机制,推广APP电子签名认证,加强与面向移动互联网应用程序的检测及认证公共服务平台联动,做好信息共享、响应处置工作。
七、为什么把SDK作为全链条管理的一个重要环节?
SDK作为软件开发工具,主要作用是为APP开发运营者提供定位、支付、社交、广告等成型的功能程序模块,让APP开发成本更低、迭代更迅速、功能更丰富。近年来,SDK功能不断拓展,专业化程度越来越高,是APP开发运营的必要工具。据统计,目前主流APP中基本都嵌入使用了SDK,平均每款APP使用SDK的数量约20款。SDK已成为移动互联网应用服务链条上的重要环节。
SDK和APP作为行业上下游,紧密关联,共同为用户提供服务。《通知》从SDK自身以及使用者APP两个角度提出规范要求:从APP的角度,要加强SDK使用管理,对SDK进行个人信息保护能力评估,通过合同等形式明确约定各自责任,集中展示并及时更新嵌入的SDK相关信息。共同处理用户个人信息,侵害用户权益造成损害的,依法承担相应责任。从SDK角度,要建立信息公示机制,明示基本信息及个人信息处理规则;优化功能配置,明确SDK功能及其对应的个人信息收集范围,并提供配置选项;加强服务协同,向APP开发运营者提供合规使用指南,引导APP开发运营者正确合理使用,共同提高合规水平。
八、《通知》对终端提出了哪些具体要求?如何强化终端的防护作用?
智能手机等终端作为安装运行APP的载体,在支撑提供丰富应用服务的同时,也要更好发挥底层管控的技术优势,筑牢保障用户权益的安全防线。《通知》提出强化终端的“3个能力”:一是强化运行管理能力。为用户提供APP自启动和关联启动的关闭功能,以及便捷的相关设备识别码重置选项,监测防范未经用户同意私自启动、下载、安装等行为。二是强化记录提醒能力。增强对APP权限调用行为的记录能力,建立通讯录、麦克风、相机、位置、剪切板等权限在用状态的明显提示机制。三是强化风险预警能力。推动开展APP电子签名认证,向用户进行预警提示,提高对仿冒、不良、违规等风险APP的识别能力。
九、如何推动《通知》有关要求落实?
我部将加强与有关部门的协同,构建完善政府监管、行业自律、社会监督、用户参与的共治格局,推动行业落实《通知》有关要求,进一步提升服务能力,为群众提供高质量的移动互联网应用服务。一是抓好组织落实。提高政治站位,强化责任担当,细化分解任务,抓好组织实施,组织相关企业开展自查自纠,健全长效机制,创新模式方法,确保取得实效。二是加强指导监督。健全完善测评、通报、排名、公示机制,推动工作扎实有序开展,及时总结、推广优秀案例和经验做法。加强监督检查,指导督促企业落实各项要求。对落实不到位或出现违规行为的,依法采取相应处置措施。三是强化技术手段。组织产业力量,升级打造公共服务平台,做好技术检测、监测服务和监管支撑工作。四是推动行业自律。鼓励行业协会及相关机构制定行业自律公约、技术标准、服务规范,加强评估认证和人才培养。进一步畅通渠道倾听群众意见,促进交流互动,努力营造争先创优、互促共进的良好环境,以高质量服务促进高质量发展。