跳转至

APP侵害用户权益专项整治行动

简介#

工业和信息化部开展APP侵犯用户权益专项整治行动

此次专项整治行动面向 APP 服务提供者和 APP 分发服务提供者两类主体对象,重点整治违规收集用户个人信息、 违规使用用户个人信息、不合理索取用户权限、为用户账号注销设置障碍等四个方面的 8 类突出问题。整治工作分为企业自查自纠、 监督检查和结果处置三个阶段,时间为 2 个月。1

全部页面#

侵害通报
下架通报

附言:2021年12月 后,就没有新的下架通报了。

行动详情#

元数据
标题: 工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知
发文机关: 工业和信息化部
发文字号: 工信部信管函〔2020〕164号
来源: 工业和信息化部网站
主题分类: 工业、交通\其他
公文种类: 通知
成文日期: 2020年07月22日
发布日期: 2020年
链接: https://web.archive.org/web/20210401145133/http://www.gov.cn/zhengce/zhengceku/2020-08/02/content_5531975.htm
工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知

各省、自治区、直辖市通信管理局,中国信息通信研究院、中国互联网协会,各相关单位:

按照2020年信息通信行业行风建设暨纠风工作部署,为切实加强用户个人信息保护,为人民群众提供更安全、更健康、 更干净的信息环境,我部决定开展纵深推进APP侵害用户权益专项整治行动。专项整治时间为通知印发之日至2020年12月10日。 具体事项通知如下:

一、整治目标

依据《网络安全法》、《电信条例》、《规范互联网信息服务市场秩序若干规定》 (工业和信息化部令第20号)、《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号)和 《移动智能终端应用软件预置和分发管理暂行规定》(工信部信管〔2016〕407号)等规定,深入推进技管结合,加强监督检查, 督促相关企业强化APP个人信息保护,及时整改消除违规收集、使用用户个人信息和骚扰用户、欺骗误导用户、 应用分发平台管理责任落实不到位等突出问题,净化APP应用空间。2020年8月底前上线运行全国APP技术检测平台管理系统, 12月10日前完成覆盖40万款主流APP检测工作。

二、整治对象

(一)APP服务提供者,即互联网信息服务提供者提供的可以下载、安装、升级的应用软件,包括快应用和小程序等新应用形态。

(二)软件工具开发包(SDK)提供者,即集成在手机APP里的第三方工具集合。

(三)应用分发平台,包括网站、应用商店、APP等承担下载、安装、升级等分发服务的各类平台。

三、整治任务

(一)APP、SDK违规处理用户个人信息方面。

1.违规收集个人信息。重点整治APP、SDK未告知用户收集个人信息的目的、方式、范围且未经用户同意, 私自收集用户个人信息的行为。

2.超范围收集个人信息。重点整治APP、SDK非服务所必需或无合理应用场景,特别是在静默状态下或在后台运行时, 超范围收集个人信息的行为。

3.违规使用个人信息。重点整治APP、SDK未向用户告知且未经用户同意,私自使用个人信息, 将用户个人信息用于其提供服务之外的目的,特别是私自向其他应用或服务器发送、共享用户个人信息的行为。

4.强制用户使用定向推送功能。重点整治APP、SDK未以显著方式标示且未经用户同意,将收集到的用户搜索、浏览记录、 使用习惯等个人信息,用于定向推送或广告精准营销,且未提供关闭该功能选项的行为。

(二)设置障碍、频繁骚扰用户方面。

5.APP强制、频繁、过度索取权限。重点整治APP安装、运行和使用相关功能时,非服务所必需或无合理应用场景下, 用户拒绝相关授权申请后,应用自动退出或关闭的行为。重点整治短时长、高频次,在用户明确拒绝权限申请后,频繁弹窗、 反复申请与当前服务场景无关权限的行为。重点整治未及时明确告知用户索取权限的目的和用途, 提前申请超出其业务功能等权限的行为。

6.APP频繁自启动和关联启动。重点整治APP未向用户告知且未经用户同意,或无合理的使用场景, 频繁自启动或关联启动第三方APP的行为。

(三)欺骗误导用户方面。

7.欺骗误导用户下载APP。重点整治通过“偷梁换柱”“移花接木”等方式欺骗误导用户下载APP, 特别是具有分发功能的移动应用程序欺骗误导用户下载非用户所自愿下载APP的行为。

8.欺骗误导用户提供个人信息。重点整治非服务所必需或无合理场景,通过积分、奖励、 优惠等方式欺骗误导用户提供身份证号码以及个人生物特征信息的行为。

(四)应用分发平台责任落实不到位方面。

9.应用分发平台上的APP信息明示不到位。重点整治应用分发平台上未明示APP运行所需权限列表及用途,未明示APP收集、 使用用户个人信息的内容、目的、方式和范围等行为。

10.应用分发平台管理责任落实不到位。重点整治APP上架审核不严格、违法违规软件处理不及时和APP提供者、运营者、 开发者身份信息不真实、联系方式虚假失效等问题。

四、工作要求

(一)开展检测检查。我部将于即日起组织第三方检测机构对APP、SDK进行技术检测, 对应用分发平台的主体责任落实情况进行监督检查。对第一次检查发现存在问题的企业,我部将责令5个工作日内完成整改, 对整改不彻底仍然存在问题的,将采取向社会公告、组织下架、 行政处罚以及将受到行政处罚的违规主体纳入电信业务经营不良名单或失信名单等措施;对在APP不同版本中反复出现问题的企业, 我部将向社会公告,并依法依规开展后续处置工作。

(二)抓好执行落实。各地通信管理局要结合实际开展检查工作,每月15日前将违规线索录入全国APP技术检测平台管理系统, 并按照部工作要求开展相关问题处置。相关企业要及时开展自查自纠,对发现的问题立行立改,举一反三,切实有效保护个人信息。 APP企业要完善用户权益保障制度,加强对所集成SDK的管理。应用分发平台要强化平台管理责任, 积极配合电信主管部门开展相关监管工作。

(三)推动行业自律。鼓励行业协会组织APP开发运营者、应用分发平台、第三方服务提供者、电信设备生产企业、 安全厂商等相关单位,制定行业自律公约和技术检测标准,健全第三方评议机制,强化行业规范。

(四)强化手段建设。中国信息通信研究院要大力推进全国APP技术检测平台管理系统建设,进一步凝聚产业力量, 鼓励有条件的企业积极参与平台建设,提升自动化检测水平和能力。各地通信管理局要尽快接入,用好相关技术手段,做到关口前移, 及时发现解决问题,不断提升行业治理能力和水平。

(五)畅通投诉渠道。专项整治工作期间,各企业应畅通用户投诉渠道,完善投诉处理服务机制和流程。 中国互联网协会应通过互联网信息服务投诉平台(https://ts.isc.org.cn/)或12321举报中心接受群众投诉, 及时汇总处理用户反映的相关问题。

工业和信息化部

2020年7月22日


元数据
标题: 工业和信息化部关于进一步提升移动互联网应用服务能力的通知
发文机关: 工业和信息化部
发文字号: 工信部信管函〔2023〕26号
来源: 工业和信息化部网站
主题分类: 信息通信管理
成文日期: 2023-02-06
发布日期: 2023-02-28
链接: https://web.archive.org/web/20231115090233/https://wap.miit.gov.cn/jgsj/xgj/APPqhyhqyzxzzxd/tzgg/art/2023/art_be5c5d0782af4300a4cdcbc10a60f202.html
工业和信息化部关于进一步提升移动互联网应用服务能力的通知

各省、自治区、直辖市通信管理局,中国信息通信研究院、中国互联网协会,各相关企业:

近年来,工业和信息化部大力推动提升移动互联网应用服务质量,切实维护用户合法权益,取得积极社会成效, 但部分企业服务行为不规范、相关环节责任落实不到位等问题仍时有发生。为优化服务供给,改善用户体验, 维护良好的信息消费环境,促进行业高质量发展,依据《个人信息保护法》《电信条例》《规范互联网信息服务市场秩序若干规定》 《电信和互联网用户个人信息保护规定》等相关法律法规规章,现就有关事项通知如下:

一、提升全流程服务感知,保护用户合法权益

(一)规范安装卸载行为

1.确保知情同意安装。向用户推荐下载APP应遵循公开、透明原则,真实、准确、完整地明示开发运营者、产品功能、隐私政策、 权限列表等必要信息,并同步提供明显的取消选项,经用户确认同意后方可下载安装,切实保障用户知情权、选择权。 不得通过“偷梁换柱”“强制捆绑”“静默下载”等方式欺骗误导用户下载安装。

2.规范网页推荐下载行为。在用户浏览页面内容时,未经用户同意或主动选择,不得自动或强制下载APP,或以折叠显示、主动弹窗、 频繁提示等方式强迫用户下载、打开APP,影响用户正常浏览信息。无正当理由,不得将下载APP与阅读网页内容相绑定。

3.实现便捷卸载。除基本功能软件外,APP应当可便捷卸载,不得以空白名称、透明图标、后台隐藏等方式恶意阻挠用户卸载。

(二)优化服务体验

4.窗口关闭用户可选。开屏和弹窗信息窗口提供清晰有效的关闭按钮,保证用户可以便捷关闭;不得频繁弹窗干扰用户正常使用, 或利用“全屏热力图”、高灵敏度“摇一摇”等易造成误触发的方式诱导用户操作。

5.服务事项提前告知。清晰明示产品功能权益及资费等内容,存在开通会员、收费等附加条件的,应当显著提示。未经明示, 不得在提供产品服务过程中擅自添加限制性条件,并以此为由终止用户正常使用的产品功能和服务,或降低服务体验。

6.启动运行场景合理。在非服务所必需或无合理场景下,不得自启动和关联启动其它APP,或进行唤醒、调用、更新等行为。

7.服务续期及时提醒。采取自动续订、自动续费方式提供服务的,应当征得用户同意,不得默认勾选、强制捆绑开通。在自动续订、 自动续费前5日以短信、消息推送等显著方式提醒用户,服务期间提供便捷的随时退订方式和自动续订、自动续费取消途径。

(三)加强个人信息保护

8.坚持合法正当必要原则。从事个人信息处理活动,应具有明确合理的目的,不得仅以服务体验、产品研发、算法推荐、 风险控制等为由,强制要求用户同意超范围或者与服务场景无关的个人信息处理行为。用户拒绝提供非当前服务所必需的个人信息时, 不得影响用户使用该服务的基本功能。

9.明示个人信息处理规则。通过简洁、清晰、易懂的方式告知用户个人信息处理规则,如发生变动,应及时告知用户最新情况。 突出显示敏感个人信息的处理目的、方式和范围,建立已收集个人信息清单,不得采用默认勾选、缩小文字、 冗长文本等方式诱导用户同意个人信息处理规则。

10.合理申请使用权限。在对应业务功能启动时,动态申请所需权限,不得要求用户一揽子同意多个非本业务功能的必要权限。 在调用终端相册、通讯录、位置等权限时,同步告知用户申请该权限的目的。未经用户同意,不得更改用户未授权权限状态。

(四)响应用户诉求

11.设立客服热线。鼓励互联网企业建立客服热线,主要互联网企业在网站、APP显著位置公示客服热线电话号码, 简化人工服务转接程序。鼓励提高客服热线响应能力,月均响应时限最长为30秒,人工服务应答率超过85%。

12.妥善处理用户投诉。公布有效联系方式,接受用户投诉。按照规范要求答复互联网信息服务投诉平台上的投诉, 确保15日内处理完成,提高投诉处理满意率。鼓励在APP中设置用户满意度测评链接,引导用户参与测评。

二、提升全链条管理能力,营造健康服务生态

(一)落实APP开发运营者主体责任

1.完善内部管理机制。明确用户服务和权益保护的牵头管理部门和负责人,建立全生命周期个人信息保护机制,健全考核问责制度, 将相关法规政策要求落实到产品研发、推广和运营各环节,不断提高合规水平。定期对个人信息保护措施及执行情况等进行合规审计, 有效防范风险隐患。

2.增强技术保障能力。采取访问控制、技术加密、去标识化等安全技术措施,加强前端和后端安全防护。主动监测发现个人信息泄露、 窃取、篡改、毁损、丢失、非法使用等风险威胁,及时响应处置要求。

3.加强软件开发工具(SDK)使用管理。使用SDK前对其进行个人信息保护能力评估,通过合同等形式明确约定各方权利和义务, 确保个人信息处理依法合规。集中展示并及时更新嵌入的SDK名称、功能及其处理个人信息的规则。共同处理用户个人信息, 侵害用户权益造成损害的,依法承担相应责任。

(二)强化平台分发管理

4.严格APP上架审核。准确登记并核验APP开发运营者的真实身份和联系方式、APP的主要功能及用途等基本信息, 并对拟上架APP进行技术检测。相关审核应明确负责人,并留存审核日志记录,不符合要求的不予上架。全量公示在架APP, 并在显著位置标明APP名称及功能、开发运营者、版本号、所需获取的用户终端权限列表及用途、个人信息处理规则等信息。 尚未建立分发明示界面的,应将APP下载链接到应用商店,引导用户从正规渠道下载所分发的APP。

5.强化在架APP巡查。加强对APP的动态巡查,确保公示信息真实准确。对与公示信息不一致,或采用“热更新、 热切换”等方式擅自更改APP主要功能、申请的权限、个人信息收集使用的场景和范围等违规APP,应当停止提供服务。

6.完善分发管理机制。建立APP开发运营者信用评价、风险提示等机制,鼓励对分发APP进行电子签名认证,实现上架应用、 分发行为全流程可溯源。加强与面向移动互联网应用程序的检测及认证公共服务平台联动,做好信息上报、监测溯源、信息共享、 响应处置工作。

(三)规范SDK应用服务

7.建立信息公示机制。公开明示SDK名称、开发者、版本号、主要功能、使用说明等基本信息,以及个人信息处理规则。 SDK独立采集、传输、存储个人信息的,应当单独作出说明。鼓励发挥SDK管理服务平台作用,引导APP开发运营者使用合规的SDK。

8.优化功能配置。遵循最小必要原则,根据不同应用场景或用途,明确SDK功能和对应的个人信息收集范围, 并向APP开发运营者提供功能模块及个人信息收集的配置选项,不得一揽子过度收集个人信息。

9.加强服务协同。在产品使用全生命周期过程中,通过明确易懂的方式主动向APP开发运营者提供合规使用指南, 引导APP开发运营者正确合理使用,共同提高合规水平。当个人信息处理规则变更或发现风险时,及时更新并告知APP开发运营者。

(四)筑牢终端安全防线

10.强化APP运行管理。为用户提供APP自启动和关联启动的关闭功能,以及便捷的相关设备识别码重置选项,加强对APP静默下载、 热更新的监测,防范未经用户同意私自启动、下载、安装等行为。

11.加强APP行为记录提醒。增强对权限调用行为的记录能力,为用户查询权限调用情况提供便利。建立通讯录、麦克风、相机、位置、 剪切板等权限在用状态的明显提示机制,保障用户及时准确了解个人信息收集状态。

12.提高APP风险预警能力。推动开展APP电子签名认证,并向用户进行预警提示,提高对仿冒、不良、违规等风险APP的识别能力。

(五)夯实接入企业责任

13.准确登记信息。在为APP、SDK提供网络接入服务时,登记并核验APP、SDK开发运营者的真实身份、联系方式等信息, 提高溯源能力。

14.确保有效处置。按照电信监管部门要求,依法对违规APP、SDK采取停止接入等必要措施,有效阻止其侵害用户权益的违规行为。

三、工作要求

(一)抓好组织落实。各单位要坚持以人民为中心的发展思想,提高政治站位,强化责任担当,细化分解任务, 认真抓好本通知的贯彻实施,确保取得实效。相关企业要落实主体责任,对照本通知要求开展自查自纠,切实维护用户合法权益。 同时,健全长效机制,创新模式方法,不断提升移动互联网应用服务水平,不断增强用户的获得感、幸福感、安全感。

(二)加强指导监督。工业和信息化部健全完善测评、通报、排名、公示机制,推动工作扎实有序开展,及时总结、 推广优秀案例和经验做法。各地通信管理局要加强监督检查,指导督促属地企业落实本通知各项要求。 对落实不到位或出现违规行为的,依法采取责令限期整改、向社会公告、组织下架等措施,严肃问责查处。

(三)强化技术运用。中国信息通信研究院要组织产业力量,综合运用人工智能、大数据等新技术新手段, 升级打造面向移动互联网应用程序的全国检测及认证公共服务平台,持续完善平台功能,做好技术检测、监测服务和监管支撑工作。 积极推广应用电子签名认证等可溯源技术手段,促进提高服务管理能力。

(四)推动行业自律。鼓励行业协会及相关机构制定行业自律公约、技术标准、服务规范,加强评估认证和人才培养。 进一步畅通渠道倾听群众意见,促进各方交流互动,引导企业依法合规经营,不断优化改进服务,营造争先创优、 互促共进的良好环境,以高质量服务促进高质量发展。

工业和信息化部

2023年2月6日

(由于更新时间是手动更新的,所以部分页面内容已更新,但忘记修改新的日期了……)