个保法实施后APP合规5大落实步骤

作为个人信息保护的专项立法,《个人信息保护法》明确了个人信息保护原则,赋予了个人信息保护权利,同时向企业在个人信息处理活动中提出了更高要求。APP作为个人信息处理活动的重要载体,有效落实合规义务、保障个人合法权益刻不容缓。本文将重点梳理,《个人信息保护法》下APP合规应当关注的重要内容,作为合规参考。


一、落实单独同意规则,确保用户知情同意

《个人信息保护法》(以下简称“个保法”)在同意的基础上,对于可能对个人信息产生重要影响的处理活动,增加了单独同意制度,以更好保护用户的知情同意和选择权。

APP应当在如下场景设置单独同意机制:



二、提供权利实现途径,保障用户合法权益

为更好保障个人信息权益,《个保法》赋予了用户相关权利,如用户要求实现相应个人权利,则APP应当及时响应并提供合理的权利实现路径。其中,APP运营者应当重点关注如下权利,提前设计权利实现方案,以及时响应用户要求。

01  知情权、决定权

用户对于APP处理用户个人信息的情况享有知情权,同时,用户有权限制或拒绝他人对其个人信息进行处理。

02  查阅复制权、可携带权

用户有权查阅、复制在APP运营过程中收集、产生的用户个人信息,一旦用户提出要求查阅复制,APP运营者应当及时提供;同时,用户有权要求APP运营者将其个人信息转移至用户指定的个人信息处理者。APP运营者应当尽快制定有效可行的方案,以满足用户查阅复制和实现可携带权的要求。

03  其他权利

除上述权利外,用户还享有更正权、删除权和解释权,即对于不准确或不完整的信息,用户可请求APP运营者进行更正和补充;在特定情形下,用户发现APP运营者未履行删除义务,则用户有权请求删除;对于APP公布的隐私政策等处理规则,用户有权要求APP运营者进行解释说明。


三、保证决策公正透明,规范引导科技向善

如APP涉及利用个人信息进行自动化决策场景(即通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动,例如针对不同群体的用户推送不同类别的商品或资讯),应当保证透明、公平、公正,不得在价格等方面实行不合理的差别待遇;同时仍需在推送、营销过程中,提供不针对个人特征的选项或便捷的绝句方式;如自动化决策对个人权益产生重大影响,则用户有权要求APP运营者进行说明并有权拒绝。


四、建立合规管理制度,健全内部制度规程

在个保法的合规框架下,APP运营者应当在制度上采取相应措施,确保个人信息安全获得制度保障,具体包括制定内部管理制度和操作规程、确定操作权限、开展安全教育和培训等;同时,对于大型APP运营者(即处理个人信息达到国家网信部门规定数量的处理者)应当指定个人信息保护负责人,公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。


五、加强外部审计监督,提前防范合规风险

01  超大互联网平台需接受外部监督

作为本次个保法备受关注的内容之一,个保法重点规定了超大互联网平台的个人信息保护义务,超大互联网平台应成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督,并要求其定期发布个人信息保护社会责任报告等。

02  APP专项个人信息保护测评

本次个保法也着重强调了对APP的监管,规定监管机构组织APP个人信息保护测评,并公布测评结果。这意味着APP违法违规检查等活动将会继续活跃。对此,APP运营者应当提前主动合规,积极应对合规测评,履行企业信息保护义务。


结语

从重要场景下的单独同意、到用户权利的有效实现、再到外部审计监督,《个人信息保护法》向APP提出了高标准的合规要求。APP未能满足相关合规要求,则可能面临通报、高额罚款、吊销许可或营业执照等法律风险。为此,APP运营者应当提前部署,响应合规要求,落实权利保障,定期合规检查,以满足《个人信息保护法》的要求,合规稳健运营,共建清朗环境。


点击了解:隐私合规检测

WebEye从移动安全、隐私合规、数据安全、内容安全等方面帮您增强移动业务全生命周期的防护能力,一站式服务解决您的合规需求,帮助企业预防并规避产品因隐私保护不合规带来的财产损失、监管处罚、产品停止运营、强制下架等风险。

返回全部