工信部部署移动互联网应用服务能力“两提升”(2)
二是强化在架APP巡查。加强对APP的动态巡查,确保公示信息真实准确。对与公示信息不一致,或采用“热更新、热切换”等方式擅自更改APP主要功能、申请的权限、个人信息收集使用的场景和范围等违规APP,应当停止提供服务。
三是完善分发管理机制。建立APP开发运营者信用评价、风险提示等机制,鼓励对分发APP进行电子签名认证,实现上架应用、分发行为全流程可溯源。加强与面向移动互联网应用程序的检测及认证公共服务平台联动,做好信息上报、监测溯源、信息共享、响应处置工作。
在规范SDK应用服务方面,一是建立信息公示机制。公开明示SDK名称、开发者、版本号、主要功能、使用说明等基本信息,以及个人信息处理规则。SDK独立采集、传输、存储个人信息的,应当单独作出说明。鼓励发挥SDK管理服务平台作用,引导APP开发运营者使用合规的SDK。
二是优化功能配置。遵循最小必要原则,根据不同应用场景或用途,明确SDK功能和对应的个人信息收集范围,并向APP开发运营者提供功能模块及个人信息收集的配置选项,不得一揽子过度收集个人信息。
三是加强服务协同。在产品使用全生命周期过程中,通过明确易懂的方式主动向APP开发运营者提供合规使用指南,引导APP开发运营者正确合理使用,共同提高合规水平。当个人信息处理规则变更或发现风险时,及时更新并告知APP开发运营者。
在筑牢终端安全防线方面,一是强化APP运行管理。为用户提供APP自启动和关联启动的关闭功能,以及便捷的相关设备识别码重置选项,加强对APP静默下载、热更新的监测,防范未经用户同意私自启动、下载、安装等行为。
二是加强APP行为记录提醒。增强对权限调用行为的记录能力,为用户查询权限调用情况提供便利。建立通讯录、麦克风、相机、位置、剪切板等权限在用状态的明显提示机制,保障用户及时准确了解个人信息收集状态。
三是提高APP风险预警能力。推动开展APP电子签名认证,并向用户进行预警提示,提高对仿冒、不良、违规等风险APP的识别能力。
在夯实接入企业责任方面,一是准确登记信息。在为APP、SDK提供网络接入服务时,登记并核验APP、SDK开发运营者的真实身份、联系方式等信息,提高溯源能力。二是确保有效处置。按照电信监管部门要求,依法对违规APP、SDK采取停止接入等必要措施,有效阻止其侵害用户权益的违规行为。