宁波市通信管理局,省内APP开发运营者、互联网接入服务企业、移动应用商店及分发平台、终端生产企业、SDK 开发运营者、各互联网企业,浙江省互联网协会:
按照《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》(工信部信管函〔2023〕26号)工作部署,我局决定于2023年4月至9月开展移动互联网应用服务能力“浙里跃升”专项行动。现将有关事项通知如下:
一、 总体目标
以习*平近**新时代中国特色社会主义思想为指导, 全面贯彻*党**的二十大精神,依据《个人信息保护法》《数据安全法》《电信条例》等相关法律法规,坚持发展与规范并重、自查与督查同步、政府与社会共治,以规范移动互联网服务5类关键主体为抓手,进一步提升移动互联网应用服务能力,持续优化信息消费环境和移动互联网应用服务质量,维护好广大用户合法权益。
二、 工作内容
(一)提升全流程服务感知,保护用户合法权益
1.进一步规范安装卸载行为
(1)确保知情同意安装。向用户推荐*载下**APP应遵循公开、透明原则,真实、准确、完整地明示开发运营者、产品功能、隐私政策、权限列表等必要信息,并同步提供明显的取消选项,经用户确认同意后方可*载下**安装,切实保障用户知情权、选择权。不得通过“偷梁换柱”“强制*绑捆**”“静默*载下**”等方式欺骗误导用户*载下**安装。
(2)规范网页推荐*载下**行为。在用户浏览页面内容时,未经用户同意或主动选择,不得自动或强制*载下**APP,或以折叠显示、主动弹窗、频繁提示等方式强迫用户*载下**、打开APP,影响用户正常浏览信息。无正当理由,不得将*载下**APP与阅读网页内容相绑定。
(3)实现便捷卸载。除基本功能软件外,APP应当可便捷卸载,不得以空白名称、透明图标、后台隐藏等方式恶意阻挠用户卸载。
2.进一步优化服务体验
(4)窗口关闭用户可选。开屏和弹窗信息窗口提供清晰有效的关闭按钮,保证用户可以便捷关闭;不得频繁弹窗干扰用户正常使用,或利用“全屏热力图”、高灵敏度“摇一摇”等易造成误触发的方式诱导用户操作。
(5)服务事项提前告知。清晰明示产品功能权益及资费等内容,存在开通会员、收费等附加条件的,应当显著提示。未经明示,不得在提供产品服务过程中擅自添加限制性条件,并以此为由终止用户正常使用的产品功能和服务,或降低服务体验。
(6)启动运行场景合理。在非服务所必需或无合理场景下,不得自启动和关联启动其它APP,或进行唤醒、调用、更新等行为。
(7)服务续期及时提醒。采取自动续订、自动续费方式提供服务的,应当征得用户同意,不得默认勾选、强制*绑捆**开通。在自动续订、自动续费前5日以短信、消息推送等显著方式提醒用户,服务期间提供便捷的随时退订方式和自动续订、自动续费取消途径。
3.进一步加强个人信息保护
(8)坚持合法正当必要原则。从事个人信息处理活动,应具有明确合理的目的,不得仅以服务体验、产品研发、算法推荐、风险控制等为由,强制要求用户同意超范围或者与服务场景无关的个人信息处理行为。用户拒绝提供非当前服务所必需的个人信息时,不得影响用户使用该服务的基本功能。
(9)明示个人信息处理规则。通过简洁、清晰、易懂的方式告知用户个人信息处理规则,如发生变动,应及时告知用户最新情况。突出显示敏感个人信息的处理目的、方式和范围,建立已收集个人信息清单、第三方共享个人信息清单,并在APP二级菜单中展示,方便用户查询,不得采用默认勾选、缩小文字、冗长文本等方式诱导用户同意个人信息处理规则。
(10)合理申请使用权限。在对应业务功能启动时,动态申请所需权限,不得要求用户一揽子同意多个非本业务功能的必要权限。在调用终端相册、通讯录、位置等权限时,同步告知用户申请该权限的目的。未经用户同意,不得更改用户未授权权限状态。
4.进一步响应用户诉求
(11)设立客服热线。鼓励互联网企业建立客服热线,主要互联网企业在网站、APP显著位置公示客服热线电话号码,简化人工服务转接程序。鼓励提高客服热线响应能力,月均响应时限最长为30秒,人工服务应答率超过85%。
(12)妥善处理用户投诉。公布有效联系方式,接受用户投诉。按照规范要求答复互联网信息服务投诉平台上的投诉,确保15日内处理完成,提高投诉处理满意率。鼓励在APP中设置用户满意度测评链接,引导用户参与测评。
(二)提升全链条管理能力,营造健康服务生态
1.进一步落实APP开发运营者主体责任
(1)完善内部管理机制。明确用户服务、权益保护、数据安全的牵头管理部门和负责人,落实数据分类分级管理,建立全生命周期个人信息保护机制,健全考核问责制度,将相关法规政策要求落实到产品研发、推广和运营各环节,不断提高合规水平。定期对个人信息保护措施及执行情况进行合规审计,有效防范风险隐患。
(2)增强技术保障能力。采取访问控制、技术加密、去标识化等安全技术措施,加强前端和后端安全防护。落实在数据采集、传输、存储、使用、开放共享、销毁等数据全生命周期各环节中技术保护措施,主动监测发现个人信息泄露、窃取、篡改、毁损、丢失、非法使用等风险威胁,及时响应处置要求。
(3)加强软件开发工具(SDK)使用管理。使用SDK前对其进行个人信息保护能力评估,通过合同等形式明确约定各方权利和义务,确保个人信息处理依法合规。集中展示并及时更新嵌入的SDK名称、功能及其处理个人信息的规则。共同处理用户个人信息,侵害用户权益造成损害的,依法承担相应责任。
2.进一步强化平台分发管理
(4)严格APP上架审核。准确登记并核验APP开发运营者的真实身份和联系方式、APP的主要功能及用途等基本信息,并对拟上架APP进行技术检测。相关审核应明确负责人,并留存审核日志记录,不符合要求的不予上架。全量公示在架APP,并在显著位置标明APP名称及功能、开发运营者、版本号、所需获取的用户终端权限列表及用途、个人信息处理规则等信息。尚未建立分发明示界面的,应将APP*载下**链接到应用商店,引导用户从正规渠道*载下**所分发的APP。
(5)强化在架APP巡查。加强对APP的动态巡查,确保公示信息真实准确。对与公示信息不一致,或采用“热更新、热切换”等方式擅自更改APP主要功能、申请的权限、个人信息收集使用的场景和范围等违规APP,应当停止提供服务。移动应用商店及分发平台全年APP抽测合格率应达到70%以上。
(6)完善分发管理机制。建立APP开发运营者信用评价、风险提示等机制,鼓励对分发APP进行电子签名认证,实现上架应用、分发行为全流程可溯源。加强与面向移动互联网应用程序的检测及认证公共服务平台联动,做好信息上报、监测溯源、信息共享、响应处置工作。
3.进一步规范SDK应用服务
(7)建立信息公示机制。公开明示SDK名称、开发者、版本号、主要功能、使用说明等基本信息,以及个人信息处理规则。SDK独立采集、传输、存储个人信息的,应当单独作出说明。鼓励发挥SDK管理服务平台作用,引导APP开发运营者使用合规的SDK。
(8)优化功能配置。遵循最小必要原则,根据不同应用场景或用途,明确SDK功能和对应的个人信息收集范围,并向APP开发运营者提供功能模块及个人信息收集的配置选项,不得一揽子过度收集个人信息。
(9)加强服务协同。在产品使用全生命周期过程中,通过明确易懂的方式主动向APP开发运营者提供合规使用指南,引导APP开发运营者正确合理使用,共同提高合规水平。当个人信息处理规则变更或发现风险时,及时更新并告知APP开发运营者。
4.进一步筑牢终端安全防线
(10)强化APP运行管理。为用户提供APP自启动和关联启动的关闭功能,以及便捷的相关设备识别码重置选项,加强对APP静默*载下**、热更新的监测,防范未经用户同意私自启动、*载下**、安装等行为。儿童专用移动智能终端生产企业要严格落实电信设备进网要求,强化技术检测,对不合规的产品,要立即停止销售并落实整改,切实维护未成年*权人**益。
(11)加强APP行为记录提醒。增强对权限调用行为的记录能力,为用户查询权限调用情况提供便利。建立通讯录、麦克风、相机、位置、剪切板等权限在用状态的明显提示机制,保障用户及时准确了解个人信息收集状态。
(12)提高APP风险预警能力。推动开展APP电子签名认证,并向用户进行预警提示,提高对仿冒、不良、违规等风险APP的识别能力。
5.进一步夯实接入企业责任
(13)准确登记信息。在为APP、SDK提供网络接入服务时,登记并核验APP、SDK开发运营者的真实身份、联系方式等信息,提高溯源能力。
(14)确保有效处置。按照我局要求,依法对违规APP、SDK采取停止接入等必要措施,有效阻止其侵害用户权益的违规行为。
三、 工作安排
(一)自查自纠(通知印发之日起至5月31日)。各单位要对照文件要求,明确目标任务、细化工作措施,开展自查自纠工作。请重点企业(名单见附件1)及用户规模达100万以上的增值电信企业于6月5日前将自查整改结果书面报送我局。
(二)监督检查(6月1日至7月31日)。我局将在常态化远程技术检测的基础上,组织专业技术队伍,对问题突出、反映集中的单位开展现场检查评估。
(三)整改总结(8月1日至9月30日)。各单位要认真总结工作经验,形成长效机制。请重点企业、用户规模达100万以上的增值电信业务企业、被现场检查企业于9月30日前将专项工作总结或整改报告报送我局。
四、 工作要求
(一)提高政治站位,加强组织落实。各单位要高度重视,提高站位,加强组织领导、明确工作重点、细化工作举措,积极践行发展为了人民、发展依靠人民、发展成果与人民共享的重要理念,认真开展移动互联网应用服务能力提升工作。
(二)落实主体责任,完善提升机制。各单位要落实主体责任,坚持发展与安全并重,加强互联网应用新业态、新模式服务能力提升落实,及时总结经验,健全固化合规长效机制,切实打造良好的信息通信消费环境。
(三)突出示范引领,强化“责任链”监管。要强化上中下游协同联动,建立健全全链条协同治理问题机制,形成全环节提升的格局。重点企业要发挥表率作用,探索建立上下游责任链管理,建立对上游(终端生产企业、互联网接入服务企业)、中游(SDK开发运营者)下游(分发平台)的责任链清单,“以点带面”“以大带小”推动上下游企业进一步提升依法合规经营意识和能力,引导行业合规发展。
(四)加强指导监督,推进成效落实。我局将进一步健全完善测评、通报、排名、公示机制,推广优秀案例和经验做法,促进行业能力共享。坚持包容审慎的工作原则,采用“管理+指导”相结合的方式,加强对属地企业指导与监督工作。
(五)促进行业自律,强化社会共治。浙江省互联网协会要发挥桥梁纽带作用,搭建交流互动平台,加大宣传培训力度,加强行业服务引导,形成示范效应;开展移动互联网服务能力提升评选活动,营造争先创优、互促共进的良好环境,以高质量服务促进高质量发展。
附件:1.浙江省移动互联网应用服务能力提升重点企业清单
2.APP开发运营者责任清单
3.移动应用商店及分发平台责任清单
4.SDK 开发运营者责任清单
5.终端生产企业责任清单
6.互联网接入服务企业责任清单
7.企业自查/总结报告(模板)
8.重点企业“责任链”工作报告(模板)
浙江省通信管理局
2023年4月11日
(联系人:杨垚娟、杨月;联系方式:0571-87038320。)
温馨提示: 查看 附件1-8 ,请访问浙江省通信管理局网站(zjca.miit.gov.cn) 。