2021年4月26日，在国家互联网信息办公室的统筹指导下，工信部会同公安部、市场监管总局发布《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》（以下简称“《规定》”），对移动互联网应用程序个人信息处理活动作出专门规定，此规定是在近两年四部委联合治理成果的基础上出台的制度性规范文件，明确了政府机构、行业组织、企业、用户等多元主体在App个人信息保护工作中相应的法律义务和社会责任，对全行业移动互联网应用程序个人信息保护规范治理具有指导意义。

梆梆安全作为行业领先的应用安全服务商，一直关注移动互联网应用程序在个人信息保护安全问题以及国家监管要求，并提供完善的解决方案，包括移动应用安全检测工具/服务、个人信息合规检测工具/服务等。针对本次发布的《规定》，梆梆安全进行了专业的解读：

重点内容

两大原则

《规定》共计22条。以知情同意和最小必要两项个人信息保护的基本原则为纲，为App个人信息保护明确底线、划出红线。“知情同意”规定，从事APP个人信息处理活动的，应当以清晰易懂的语言告知用户个人信息处理规则，由用户在充分知情的前提下，作出自愿、明确的意思表示，并明确了“六项应当”要求。“最小必要”规定，从事APP个人信息处理活动的，应当具有明确、合理的目的，并遵循最小必要原则，不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动，并提出了“六项不得”要求。

五类对象

《规定》以App开发运营者、App分发平台、App第三方服务提供者、移动智能终端生产企业以及网络接入服务提供者等主体作为重点监管对象，按照主体对象分别规定了应当遵循的个人信息保护总体要求和应承担的义务。

六个举措

《规定》明确从事个人信息处理活动的有关主体违反要求的，依次按照通知整改与社会公告、下架处置、断开接入、恢复上架、恢复接入、信用管理流程进行处置，并明确具体时间期限要求。特别提出，对未按要求完成整改或反复出现问题、采取技术对抗等违规情节严重的APP，将对其进行直接下架；且下架后的APP在40个工作日内不得通过任何渠道再次上架的管理要求。此外，监督管理部门将指导APP分发平台和移动智能终端生产企业在集成、分发、预置和安装等环节进行风险提示，情节严重的采取禁入措施。

合规要点分析

《规定》明确了各类主体应当共同遵循的个人信息保护总体性要求，其中对App开发运营主体规定了六条要求，除了遵循基础的“知情同意”和“最小必要”原则之外，以下几条规定更值得关注：

与第三方服务提供方划清责任

企业内法务或开发管理部门应该注意《规定》第8.3条规定：使用第三方服务的，应当制定管理规则，明示App第三方服务提供者的名称、功能、个人信息处理规则等内容；应与第三方服务提供者签订个人信息处理协议，明确双方相关权利义务，并对第三方服务提供者的个人信息处理活动和信息安全风险进行管理监督；App开发运营者未尽到监督义务的，应当依法与第三方服务提供者承担连带责任。对企业来说虽然增加了对第三方服务提供者的监督管理成本，但此举可帮助企业有效规避外部风险，很大程度上降低影响或损失。

加强个人信息安全防护和监测响应

《规定》首次提到了App开发运营者应“加强前端和后端安全防护、访问控制、技术加密、安全审计等工作，主动监测发现个人信息泄露等违规行为，及时响应处置要求。”此项在《个人信息保护法(草案)》中也属于重点条款，企业有义务履行对用户个人信息的检测、防护、监测响应闭环管理工作，在此特意提到前后端的同时保护，对企业信息安全建设提出了新的要求和挑战，各企业应及时出备完善方案，在前后端落实相关举措，做到对个人信息的全方位保护。

评估认证成为大势所趋

《规定》第六条释放了开展App个人信息保护能力评估、认证的信号，同时也提到要对企业实行信用风险管理的规定。虽然对于实施计划并未明确，但评估认证的工作已开展一年多的时间，且最新信安标委刚出台《信息安全技术 移动互联网应用程序（App）个人信息安全测评规范(征求意见稿)》，此测评规范的前身是四部委开展App安全认证的35273国标，基于此，后续评估认证工作将会步入快车道，建议企业增强对行业认证以及App安全认证工作的关注，认识到接受监管单位的评估认证也是检验自身App个人信息保护工作的是否落实到位的关键工作。

自四部门联合开展App专项治理以来，梆梆安全积极响应监管号召，基于梆梆安全合规检测产品等不断优化检测引擎，提升检测能力，参与了工信部全国App检测平台搭建，为多个省市的App专项治理行动提供技术支撑，参与了《信息安全技术 移动互联网应用程序（App）个人信息安全测评规范》等标准的制定工作，在移动互联网应用程序个人信息保护领域拥有非常丰富的实践经验。梆梆安全将持续关注移动互联网应用程序个人信息保护政策动向，协助监管机构、企业做好App安全及合规，共创安全的智能生活生态。