近日,
工業和信息化部印發通知,
對移動網際網路應用服務提出要求。
比如,
對手機APP中存在的
默認勾選、強制捆綁、「搖一搖」等誘導操作,
頻繁彈窗、自動續訂、申請非必要權限等事項,
進行規範。
具體包括:
確保用戶知情同意後安裝,
APP不得欺騙用戶靜默下載;
啟動運行場景合理,
非必需不得關聯啟動其它APP;
服務續期前及時提醒,
自動續費前5日應以顯著方式提醒,
提供便捷的隨時退訂、取消自動付費的途徑;
自動續訂、自動續費
不得默認勾選、強制捆綁開通;
不得頻繁彈窗干擾正常使用;
不得利用「全屏熱力圖」、高靈敏度「搖一搖」等,
易造成誤觸發的方式誘導用戶操作。
全文如下
工業和信息化部關於進一步提升移動網際網路應用服務能力的通知
工信部信管函〔2023〕26號
近年來,工業和信息化部大力推動提升移動網際網路應用服務質量,切實維護用戶合法權益,取得積極社會成效,但部分企業服務行為不規範、相關環節責任落實不到位等問題仍時有發生。為優化服務供給,改善用戶體驗,維護良好的信息消費環境,促進行業高質量發展,依據《個人信息保護法》《電信條例》《規範網際網路信息服務市場秩序若干規定》《電信和網際網路用戶個人信息保護規定》等相關法律法規規章,現就有關事項通知如下:
一、提升全流程服務感知,保護用戶合法權益
(一)規範安裝卸載行為
1.確保知情同意安裝。向用戶推薦下載APP應遵循公開、透明原則,真實、準確、完整地明示開發運營者、產品功能、隱私政策、權限列表等必要信息,並同步提供明顯的取消選項,經用戶確認同意後方可下載安裝,切實保障用戶知情權、選擇權。不得通過「偷梁換柱」「強制捆綁」「靜默下載」等方式欺騙誤導用戶下載安裝。
2.規範網頁推薦下載行為。在用戶瀏覽頁面內容時,未經用戶同意或主動選擇,不得自動或強制下載APP,或以摺疊顯示、主動彈窗、頻繁提示等方式強迫用戶下載、打開APP,影響用戶正常瀏覽信息。無正當理由,不得將下載APP與閱讀網頁內容相綁定。
3.實現便捷卸載。除基本功能軟體外,APP應當可便捷卸載,不得以空白名稱、透明圖標、後台隱藏等方式惡意阻撓用戶卸載。
(二)優化服務體驗
4.窗口關閉用戶可選。開屏和彈窗信息窗口提供清晰有效的關閉按鈕,保證用戶可以便捷關閉;不得頻繁彈窗干擾用戶正常使用,或利用「全屏熱力圖」、高靈敏度「搖一搖」等易造成誤觸發的方式誘導用戶操作。
5.服務事項提前告知。清晰明示產品功能權益及資費等內容,存在開通會員、收費等附加條件的,應當顯著提示。未經明示,不得在提供產品服務過程中擅自添加限制性條件,並以此為由終止用戶正常使用的產品功能和服務,或降低服務體驗。
6.啟動運行場景合理。在非服務所必需或無合理場景下,不得自啟動和關聯啟動其它APP,或進行喚醒、調用、更新等行為。
7.服務續期及時提醒。採取自動續訂、自動續費方式提供服務的,應當徵得用戶同意,不得默認勾選、強制捆綁開通。在自動續訂、自動續費前5日以簡訊、消息推送等顯著方式提醒用戶,服務期間提供便捷的隨時退訂方式和自動續訂、自動續費取消途徑。
(三)加強個人信息保護
8.堅持合法正當必要原則。從事個人信息處理活動,應具有明確合理的目的,不得僅以服務體驗、產品研發、算法推薦、風險控制等為由,強制要求用戶同意超範圍或者與服務場景無關的個人信息處理行為。用戶拒絕提供非當前服務所必需的個人信息時,不得影響用戶使用該服務的基本功能。
9.明示個人信息處理規則。通過簡潔、清晰、易懂的方式告知用戶個人信息處理規則,如發生變動,應及時告知用戶最新情況。突出顯示敏感個人信息的處理目的、方式和範圍,建立已收集個人信息清單,不得採用默認勾選、縮小文字、冗長文本等方式誘導用戶同意個人信息處理規則。
10.合理申請使用權限。在對應業務功能啟動時,動態申請所需權限,不得要求用戶一攬子同意多個非本業務功能的必要權限。在調用終端相冊、通訊錄、位置等權限時,同步告知用戶申請該權限的目的。未經用戶同意,不得更改用戶未授權權限狀態。
(四)響應用戶訴求
11.設立客服熱線。鼓勵網際網路企業建立客服熱線,主要網際網路企業在網站、APP顯著位置公示客服熱線電話號碼,簡化人工服務轉接程序。鼓勵提高客服熱線響應能力,月均響應時限最長為30秒,人工服務應答率超過85%。
12.妥善處理用戶投訴。公布有效聯繫方式,接受用戶投訴。按照規範要求答覆網際網路信息服務投訴平台上的投訴,確保15日內處理完成,提高投訴處理滿意率。鼓勵在APP中設置用戶滿意度測評連結,引導用戶參與測評。
二、提升全鏈條管理能力,營造健康服務生態
(一)落實APP開發運營者主體責任
1.完善內部管理機制。明確用戶服務和權益保護的牽頭管理部門和負責人,建立全生命周期個人信息保護機制,健全考核問責制度,將相關法規政策要求落實到產品研發、推廣和運營各環節,不斷提高合規水平。定期對個人信息保護措施及執行情況等進行合規審計,有效防範風險隱患。
2.增強技術保障能力。採取訪問控制、技術加密、去標識化等安全技術措施,加強前端和後端安全防護。主動監測發現個人信息泄露、竊取、篡改、毀損、丟失、非法使用等風險威脅,及時響應處置要求。
3.加強軟體開發工具(SDK)使用管理。使用SDK前對其進行個人信息保護能力評估,通過合同等形式明確約定各方權利和義務,確保個人信息處理依法合規。集中展示並及時更新嵌入的SDK名稱、功能及其處理個人信息的規則。共同處理用戶個人信息,侵害用戶權益造成損害的,依法承擔相應責任。
(二)強化平台分發管理
4.嚴格APP上架審核。準確登記並核驗APP開發運營者的真實身份和聯繫方式、APP的主要功能及用途等基本信息,並對擬上架APP進行技術檢測。相關審核應明確負責人,並留存審核日誌記錄,不符合要求的不予上架。全量公示在架APP,並在顯著位置標明APP名稱及功能、開發運營者、版本號、所需獲取的用戶終端權限列表及用途、個人信息處理規則等信息。尚未建立分發明示界面的,應將APP下載連結到應用商店,引導用戶從正規渠道下載所分發的APP。
5.強化在架APP巡查。加強對APP的動態巡查,確保公示信息真實準確。對與公示信息不一致,或採用「熱更新、熱切換」等方式擅自更改APP主要功能、申請的權限、個人信息收集使用的場景和範圍等違規APP,應當停止提供服務。
6.完善分發管理機制。建立APP開發運營者信用評價、風險提示等機制,鼓勵對分發APP進行電子簽名認證,實現上架應用、分發行為全流程可溯源。加強與面向移動網際網路應用程式的檢測及認證公共服務平台聯動,做好信息上報、監測溯源、信息共享、響應處置工作。
(三)規範SDK應用服務
7.建立信息公示機制。公開明示SDK名稱、開發者、版本號、主要功能、使用說明等基本信息,以及個人信息處理規則。SDK獨立採集、傳輸、存儲個人信息的,應當單獨作出說明。鼓勵發揮SDK管理服務平台作用,引導APP開發運營者使用合規的SDK。
8.優化功能配置。遵循最小必要原則,根據不同應用場景或用途,明確SDK功能和對應的個人信息收集範圍,並向APP開發運營者提供功能模塊及個人信息收集的配置選項,不得一攬子過度收集個人信息。
9.加強服務協同。在產品使用全生命周期過程中,通過明確易懂的方式主動向APP開發運營者提供合規使用指南,引導APP開發運營者正確合理使用,共同提高合規水平。當個人信息處理規則變更或發現風險時,及時更新並告知APP開發運營者。
(四)築牢終端安全防線
10.強化APP運行管理。為用戶提供APP自啟動和關聯啟動的關閉功能,以及便捷的相關設備識別碼重置選項,加強對APP靜默下載、熱更新的監測,防範未經用戶同意私自啟動、下載、安裝等行為。
11.加強APP行為記錄提醒。增強對權限調用行為的記錄能力,為用戶查詢權限調用情況提供便利。建立通訊錄、麥克風、相機、位置、剪切板等權限在用狀態的明顯提示機制,保障用戶及時準確了解個人信息收集狀態。
12.提高APP風險預警能力。推動開展APP電子簽名認證,並向用戶進行預警提示,提高對仿冒、不良、違規等風險APP的識別能力。
(五)夯實接入企業責任
13.準確登記信息。在為APP、SDK提供網絡接入服務時,登記並核驗APP、SDK開發運營者的真實身份、聯繫方式等信息,提高溯源能力。
14.確保有效處置。按照電信監管部門要求,依法對違規APP、SDK採取停止接入等必要措施,有效阻止其侵害用戶權益的違規行為。
三、工作要求
(一)抓好組織落實。各單位要堅持以人民為中心的發展思想,提高政治站位,強化責任擔當,細化分解任務,認真抓好本通知的貫徹實施,確保取得實效。相關企業要落實主體責任,對照本通知要求開展自查自糾,切實維護用戶合法權益。同時,健全長效機制,創新模式方法,不斷提升移動網際網路應用服務水平,不斷增強用戶的獲得感、幸福感、安全感。
(二)加強指導監督。工業和信息化部健全完善測評、通報、排名、公示機制,推動工作紮實有序開展,及時總結、推廣優秀案例和經驗做法。各地通信管理局要加強監督檢查,指導督促屬地企業落實本通知各項要求。對落實不到位或出現違規行為的,依法採取責令限期整改、向社會公告、組織下架等措施,嚴肅問責查處。
(三)強化技術運用。中國信息通信研究院要組織產業力量,綜合運用人工智慧、大數據等新技術新手段,升級打造面向移動網際網路應用程式的全國檢測及認證公共服務平台,持續完善平台功能,做好技術檢測、監測服務和監管支撐工作。積極推廣應用電子簽名認證等可溯源技術手段,促進提高服務管理能力。
(四)推動行業自律。鼓勵行業協會及相關機構制定行業自律公約、技術標準、服務規範,加強評估認證和人才培養。進一步暢通渠道傾聽群眾意見,促進各方交流互動,引導企業依法合規經營,不斷優化改進服務,營造爭先創優、互促共進的良好環境,以高質量服務促進高質量發展。
工業和信息化部
2023年2月6日